Конфигурирование SCIM провизионирования с помощью Okta

Узнайте, как настроить Okta для связи с вашим предприятием на GitHub.com или GHE.com.

Кто может использовать эту функцию?

People with admin access to the IdP

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См . раздел AUTOTITLE.

В этой статье

Сведения о подготовке с помощью Okta

Если вы используете Okta в качестве поставщика удостоверений, вы можете использовать приложение Okta для подготовки учетных записей пользователей, управления членством в организации и управления членством в группах для организаций в организации. Okta — это партнёрский IDP, поэтому вы можете упростить конфигурацию аутентификации и провизии, используя приложение Okta для Enterprise Managed Users. Для получения дополнительной информации см. Сведения о Enterprise Managed Users.

Или, если вы планируете использовать только Okta для SAML-аутентификации и хотите использовать другой IDP для провизионирования, вы можете интегрироваться с GitHubREST API для SCIM. Дополнительные сведения см. в разделе Подготовка пользователей и групп с помощью SCIM с помощью REST API.

Поддерживаемые функции

Enterprise Managed Users

поддерживает следующие функции провизии для Okta.

ВозможностьDescription
Отправка новых пользователейПользователи, назначенные приложению GitHub Enterprise Managed UserGitHub, автоматически создаются в Enterprise на .GitHub
Принудительные обновления профиляОбновления профиля пользователя в Okta будут отправляться на GitHub.
Отправка группГруппы в Okta, назначенные GitHub Enterprise Managed UserGitHub виде push-групп, автоматически создаются в предприятии на .GitHub
Принудительная деактивация пользователяУдаление назначения пользователя из GitHub Enterprise Managed UserGitHub Okta отключит пользователя на .GitHub Пользователь не сможет войти в систему, но его данные сохранятся.
Повторная активация пользователейПользователи в Okta, чьи аккаунты Okta были повторно активированы и назначены обратно в GitHub Enterprise Managed UserGitHub, будут активированы.

Примечание.

Enterprise Managed Users не поддерживает изменения имён пользователей.

Необходимые компоненты

Если вы настраиваете подготовку SCIM для нового предприятия, обязательно выполните все предыдущие действия в процессе начальной настройки. См . раздел AUTOTITLE.

Кроме того:

  • Для проверки подлинности и подготовки необходимо использовать приложение Okta.
  • Продукт Okta должен поддерживать систему управления удостоверениями между доменами (SCIM). Дополнительные сведения см. в документации okta или обратитесь в службу поддержки Okta.

Настройка SCIM

После настройки параметров SAML в приложении Okta можно продолжить настройку параметров подготовки. Если вы еще не настроили параметры SAML, см. раздел Настройка единого входа SAML в Okta for Enterprise Managed Users.

Для настройки provisioning пользователю с именем@пользователя SHORT-CODE_admin необходимо предоставить personal access token (classic) scope scim: enterprise. См . раздел AUTOTITLE.

  1. Перейдите к вашей GitHub Enterprise Managed User заявке на Okta.

  2. Перейдите на вкладку "Подготовка ".

  3. В меню настроек щелкните Интеграция.

  4. Чтобы внести изменения, щелкните Правка.

  5. Нажмите кнопку "Настройка интеграции API".

  6. В поле «API Token» введите personal access token (classic) принадлежащие пользователю.

    Примечание.

    "Импорт групп" не** поддерживается **GitHub. Выбор или отмена выбора флажка не влияет на конфигурацию.

    Внимание

    Для предприятия на GitHub Enterprise Cloud с размещением данных (GHE.com), пожалуйста, введите следующий URL в поле Базовый URL : https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain} (чтобы заменить {subdomain} его на поддомен вашего предприятия).

Например: если поддомен вашего предприятия — acme, базовый URL будет .https://api.acme.ghe.com/scim/v2/enterprises/acme

  1. Нажмите Проверить учетные данные API. Если проверка выполнена успешно, в верхней части экрана появится проверочное сообщение.
  2. Чтобы сохранить маркер, щелкните Сохранить.
  3. В меню настроек щелкните Перейти к приложению.
  4. Чтобы разрешить внесение изменений, справа от пункта "Подготовка для приложения" щелкните Изменить.
  5. Выберите "Включить" справа от создания пользователей, обновления атрибутов пользователей и деактивации пользователей.
  6. Чтобы завершить настройку подготовки, щелкните Сохранить.

Разделы справки назначать пользователей и группы?

После настройки проверки подлинности и подготовки вы сможете подготовить новых пользователей на GitHub путем назначения пользователям или группам GitHub Enterprise Managed User приложения.

Примечание.

Чтобы избежать превышения предела скорости GitHub, не назначайте более 1000 пользователей в час интеграции SCIM с идентификатором поставщика удостоверений. Если вы используете группы для назначения пользователей приложению IdP, не добавляйте более 1000 пользователей в каждую группу в час. При превышении этих пороговых значений попытки подготовки пользователей могут завершиться ошибкой, связанной с ограничением скорости. Журналы поставщика удостоверений можно проверить, не удалось ли выполнить подготовку SCIM или операции отправки из-за ошибки ограничения скорости. Ответ на неудачную попытку подготовки будет зависеть от поставщика удостоверений. Дополнительные сведения см. в разделе Устранение неполадок с управлением удостоверениями и доступом для предприятия.

Вы также можете автоматически управлять членством в организации, добавив группы на вкладку "Push Groups" в Okta. После успешной подготовки группы она будет доступна для подключения к командам в организациях предприятия. Дополнительные сведения об управлении командами см. в разделе Управление членством в группах поставщиков удостоверений.

При назначении пользователей можно использовать атрибут "Роли" в приложении в idP, чтобы задать роль пользователя в организации. Дополнительные сведения о ролях, доступных для назначения, см. в разделе Возможности ролей на предприятии.

Примечание.

Атрибут "Роли" можно задать только для отдельного пользователя, а не группы. Если вы хотите задать роли для всех участников группы, назначенной приложению в Okta, необходимо использовать атрибут "Роли" для каждого члена группы по отдельности.

Разделы справки отмена подготовки пользователей и групп?

Чтобы удалить пользователя или группу из GitHub, удалите пользователя или группу из вкладок «Assignments» и «Push groups» в Okta. При удалении пользователя убедитесь, что он удален из всех групп на вкладке "Отправка групп".