Esta versão do GitHub Enterprise Server foi descontinuada em 2026-03-17. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Desprovisionar e restabelecer usuários com SCIM

Saiba detalhes sobre como desprovisionar ou restabelecer usuários.

Quem pode usar esse recurso?

Enterprises that use Enterprise Managed Users, or GitHub Enterprise Server instances with SCIM enabled

Neste artigo

Observação

O suporte ao SCIM está em beta nesta versão do GitHub Enterprise Server. O suporte ao SCIM está em disponibilidade geral na versão 3.17 e posterior.

Se você habilitou o SCIM para sua instância do GitHub Enterprise Server, usará o SCIM para:

  • Desprovisionar usuários e grupos para remover o acesso deles.
  • Reprovisionar usuários anteriormente desprovisionados.

Antes de desprovisionar um usuário, é importante entender os efeitos do desprovisionamento, que dependem do tipo de chamada à API de desprovisionamento que o GitHub recebe do provedor de identidade.

Importante

Antes de ler mais, entenda como sua empresa implementou o SCIM. O GitHub fornece um aplicativo que "abre o caminho" quando você usa um IdP (provedor de identidade) com suporte para autenticação e provisionamento. Se você não usar um aplicativo de caminho pavimentado, usará a API REST para fazer solicitações SCIM. Confira Sobre o provisionamento de usuário com o SCIM no GitHub Enterprise Server.

Tipos de desprovisionamento de usuário

Quando um usuário é desprovisionado, a conta do GitHub é suspensa, o que significa que o usuário não pode acessar sua empresa. Independentemente do tipo de desprovisionamento, uma conta desprovisionada nunca é excluída de uma empresa.

O tipo de chamada de desprovisionamento que o GitHub recebe de seu provedor de identidade determina se é possível desprovisionar (restabelecer) um usuário desprovisionado.

  •         **Desprovisionamento temporário**: em cenários específicos, o usuário pode ser reintegrado por meio da integração SCIM.

  •         **Desprovisionamento forçado**: não é possível reintegrar o usuário. Uma nova conta deve ser provisionada se a pessoa precisar recuperar o acesso.

Efeitos do desprovisionamento de um usuário

Quando você desprovisiona uma conta de usuário, por meio do IdP ou da API REST, GitHub fará alterações na conta de usuário.

Efeitos do desprovisionamento suave

  • O usuário é suspenso e perde o acesso à sua empresa e a todos os recursos privados.
  • Depois que a conta de usuário for suspensa, ela será listada na página "Suspended members", em vez de na página "Members" na seção "People" das configurações da empresa.
  • O nome de usuário é ofuscado para um hash do nome de usuário original.
  • Com a ID do Entra, o endereço de email do usuário permanece igual. Em todos os outros casos, o email do usuário é ofuscado.
  • A identidade SCIM do usuário permanece vinculada à sua conta de usuário em GitHub. Com o Entra ID, o valor do atributo active em sua identidade SCIM vinculada armazenada é atualizado de True para False.
  • Se o usuário tiver bifurcações de repositórios privados ou internos, elas serão excluídas dentro de 24 horas. As bifurcações serão restauradas se o usuário for reintegrado em 90 dias.
  • Se o usuário for membro de qualquer grupo de IdP provisionado por SCIM, ele ficará oculto desses grupos e será removido de todas as equipes mapeadas para eles. Observe que isso acontece mesmo se o usuário ainda for membro do grupo no lado do IdP.
  • Se a associação à organização for gerenciada por grupos de IdP, o usuário será removido das organizações quando for removido desses grupos de IdP ou removido de todas as equipes mapeadas para grupos de IdP na organização.
  • Se a associação à organização for gerenciada diretamente, o usuário permanecerá como um "membro suspenso" da organização, sem acesso, até ser removido manualmente.

Efeitos do desprovisionamento permanente

  • O usuário é suspenso e perde o acesso à sua empresa e a todos os recursos privados.
  • Depois que a conta de usuário for suspensa, ela será listada na página "Suspended members", em vez de na página "Members" na seção "People" das configurações da empresa.
  • O nome de usuário é ofuscado para um hash do nome de usuário original.
  • O endereço de email do usuário é ofuscado.
  • O nome de exibição do usuário é definido como uma sequência vazia.
  • A identidade SCIM vinculada do usuário, incluindo todos os atributos SCIM do usuário, é excluída.
  • personal access tokens, fine-grained personal access tokens, chaves SSH, chaves GPG e autorizações de aplicativo do usuário são excluídos. A exclusão de chaves pode afetar a verificação de confirmação. Confira Sobre a verificação de assinatura de commit.
  • Repositórios de propriedade do usuário são excluídos.
  • Os recursos criados pelo usuário, como comentários, são mantidos.
  • Se o usuário for membro de qualquer grupo de IdP provisionado por SCIM, ele ficará oculto desses grupos e será removido de todas as equipes mapeadas para eles. Observe que isso acontece mesmo se o usuário ainda for membro do grupo no lado do IdP.
  • Se a associação à organização for gerenciada por grupos de IdP, o usuário será removido das organizações quando for removido desses grupos de IdP ou removido de todas as equipes mapeadas para grupos de IdP na organização.
  • Se a associação à organização for gerenciada diretamente, o usuário permanecerá como um "membro suspenso" da organização, sem acesso, até ser removido manualmente.

Ações que disparam o desprovisionamento

Diferentes ações disparam desprovisionamento suave e desprovisionamento rígido, e os gatilhos variam conforme a integração do SCIM. Em geral, a maioria das ações executadas nos aplicativos IdP "facilitados" só dispara desprovisionamento temporário, com algumas exceções.

Gatilhos de desprovisionamento temporário

Integração do SCIMGatilho de desprovisionamento temporário
API RESTUma solicitação PUT ou PATCH é enviada para /scim/v2/Users/{scim_user_id}, atualizando o campo active de um usuário para false.
Entra IDUm usuário está desabilitado no Entra ID, não atribuído ao aplicativo, removido de todos os grupos atribuídos ou excluído temporariamente do locatário pelo administrador. Para obter mais detalhes, confira Exclusões temporárias na documentação da Microsoft.
OktaO usuário é desatribuído do aplicativo, removido de todos os grupos atribuídos ou desativado com o botão "Desativar". Observe que o botão "Suspend" não envia uma solicitação para GitHub. O Okta envia apenas chamadas de desprovisionamento suave.
PingFederateO usuário está suspenso, desabilitado ou removido do repositório de usuários direcionado pelo provisionador.

Gatilhos de desprovisionamento permanente

Integração do SCIMGatilho de desprovisionamento permanente
API RESTUma solicitação DELETE é enviada para /scim/v2/Users/{scim_user_id}.
Entra IDA exclusão permanente de uma conta de usuário do Entra ID, conforme descrito em Exclusões permanentes na documentação da Microsoft. Os usuários do Entra ID excluídos de forma reversível (encontrados na página "Usuários > Usuários excluídos" do portal de administração do Entra ID) são automaticamente removidos de forma permanente pelo Entra ID 30 dias após a exclusão reversível.
OktaN/A. Okta não envia solicitações de desprovisionamento permanente.
PingFederateSe a configuração "Remove User Action" estiver definida como "Delete" em vez de "Disable" devido a uma configuração incorreta, essa ação enviará uma chamada de desprovisionamento definitivo. Confira a documentação do PingIdentity.

Reinstaurar uma conta de usuário que foi desativada temporariamente

Para restaurar o acesso do usuário e os detalhes da conta, você pode reprovisionar a conta de um usuário que tenha sido desprovisionada temporariamente, desde que a conta de usuário do IdP seja a mesma. A conta de usuário do IdP deve ser a mesma, pois uma conta de usuário desprovisionada de forma temporária ainda está vinculada a essa identidade externa, com base no SCIM external ID (ID do objeto de usuário IdP) e SCIM User ID. Não é possível alterar a identidade externa que é vinculada a uma conta de usuário individual desprovisionada de modo reversível.

Efeitos do reprovisionamento

  • A suspensão do usuário é cancelada e ele recupera o acesso à sua empresa.
  • O nome de usuário e o endereço de email do usuário são restaurados.
  • Se o usuário for membro de um grupo IdP provisionado por SCIM que está mapeado para uma equipe em uma organização, ele será adicionado à organização logo após o reprovisionamento da conta de usuário. Se ele antes era membro da organização, sua associação será restabelecida, desde que não tenham se passado mais de 90 dias desde a remoção. Confira Como reinstaurar um antigo membro da sua organização.
  • Se o usuário não for membro de um grupo IdP provisionado por SCIM, que será mapeado para uma equipe em uma organização, um proprietário da organização GitHub precisará adicionar manualmente a conta do usuário à organização após ser reprovisionado.
  • As bifurcações excluídas serão restauradas se o usuário for reintegrado até 90 dias após a suspensão.
  • Os itens associados ao usuário são restaurados, incluindo:
    • GitHub Apps, OAuth apps e autorizações de aplicativo
    • Personal access tokens
    • Chaves SSH
    • Autorizações de token e chave
    • Repositórios de propriedade do usuário

Ações que disparam o reprovisionamento

A forma como você reprovisiona um usuário depende da integração do SCIM e da ação que desencadeou o desprovisionamento temporário.

Implementação do SCIMAção para reprovisionar usuários
Entra IDReabilite uma conta desabilitada ou reatribua um usuário ao aplicativo, diretamente ou por meio de um grupo atribuído. Aguarde 40 minutos para que as alterações sejam processadas ou agilize com o botão "Provision on Demand".
OktaReative a conta ou reatribua o usuário para o aplicativo, diretamente ou por meio de um grupo.
PingFederateDesabilite ou reabilite o usuário no repositório de usuários, ou leia o usuário para o grupo de armazenamento de dados ou filtro almejado pelo provisionador.
API RESTEnvie uma solicitação PUT ou PATCH para /scim/v2/Users/{scim_user_id}, atualizando o campo active do usuário para true.

Reinstaurar uma conta de usuário que foi desativada de forma permanente

          **Não é possível** restaurar uma conta de usuário do GitHub que foi desprovisionada de modo permanente via SCIM. Em vez disso, você precisará provisionar uma nova conta GitHub para o usuário.

Você poderá reutilizar o nome de usuário que foi desprovisionado de modo permanente ao provisionar a nova conta. Mas, não é possível mesclar a conta de usuário desprovisionada de forma permanente com a nova conta de usuário em GitHub.

  • Se o endereço de email do usuário desprovisionado e do novo usuário for o mesmo, o GitHub atribuirá os commits existentes do Git associados ao endereço de email ao novo usuário.
  • Os recursos e comentários existentes criados pelo usuário original não serão associados ao novo usuário.

Eventos do log de auditoria

O log de auditoria da empresa exibe detalhes sobre atividades em sua empresa. Você pode usar o log de auditoria para oferecer suporte à configuração do SCIM. Para saber mais, confira Log de auditoria para uma empresa.

Importante

É altamente recomendável que um proprietário de empresa habilite recursos de auditoria empresarial, como o streaming de log de auditoria, divulgação de IP de origem e a opção de transmitir solicitações de API. Transmitir esses eventos permite que os administradores definam uma política de retenção de log que atenda às necessidades de seus negócios e usem suas ferramentas preferenciais para consultar esses logs.

Eventos para desprovisionamento temporário

Quando você desprovisiona um usuário controladamente, o evento external_identity.update não é exibido no log de auditoria. Os seguintes eventos são exibidos no log de auditoria:

  • user.suspend
  • user.remove_email
  • user.rename
  • external_identity.deprovision
  • Se a solicitação for bem-sucedida, external_identity.scim_api_success
  • Se a solicitação falhar, external_identity.scim_api_failure
  • Se o usuário for membro de qualquer grupo de IdP mapeado para as equipes, team.remove_member
  • Se a associação de um usuário em uma organização for gerenciada pelo IdP e ele for removido de todas as equipes mapeadas para grupos de IdP na organização, org.remove_member

Eventos para desprovisionamento permanente

  • external_identity.deprovision
  • user.remove_email
  • Se a solicitação for bem-sucedida, external_identity.scim_api_success
  • Se a solicitação falhar, external_identity.scim_api_failure
  • Se o usuário for membro de qualquer grupo de IdP mapeado para as equipes, team.remove_member
  • Se a associação de um usuário em uma organização for gerenciada pelo IdP e ele for removido de todas as equipes mapeadas para grupos de IdP na organização, org.remove_member

Eventos para reprovisionamento

Quando você reativa um usuário, o evento external_identity.update não é exibido no log de auditoria. Os seguintes eventos são exibidos no log de auditoria:

  • user.unsuspend
  • user.remove_email
  • user.rename
  • external_identity.provision
  • Se a solicitação for bem-sucedida, external_identity.scim_api_success
  • Se a solicitação falhar, external_identity.scim_api_failure
  • Se o usuário for membro de um grupo IdP provisionado por SCIM e esse grupo for mapeado para uma equipe em uma organização, org.add_member

Leitura adicional

  •         [AUTOTITLE](/admin/managing-iam/provisioning-user-accounts-with-scim/provisioning-users-and-groups-with-scim-using-the-rest-api)