Чтобы создать, управлять и деактивировать учетные записи пользователей для участников предприятия на GitHub, ваш идентификатор idP реализовать SCIM для связи с GitHub. SCIM — это открытая спецификация для управления удостоверениями пользователей между системами. Различные поставщики удостоверений предоставляют различные возможности для настройки подготовки SCIM.
При использовании поставщика удостоверений партнера можно упростить настройку подготовки SCIM с помощью приложения поставщика удостоверений партнера. Если вы не используете партнёрский IDP для провизионирования, вы можете реализовать SCIM, используя вызовы GitHubREST API для SCIM. Для получения дополнительной информации см. АВТОТИТРЫ.
Примечание.
GitHub не тестирует и не валидирует галереи идентификаторов (IDP) для использования в Government Cloud средах, включая Microsoft Entra ID Government Cloud и Okta Government Cloud. Вопросы аутентификации и предоставления SCIM, связанные с галерейными приложениями в этих средах, выходят за GitHubрамки поддержки.
Кто должен следовать этим инструкциям?
Даже если ваш экземпляр уже использует аутентификацию SAML или вы были зарегистрированы в SCIM Частный превью на предыдущей GitHub Enterprise Server версии, вы должны следовать всем инструкциям из этого руководства для включения SCIM в версии 3.14 и выше.
Это руководство применяется в любой из следующих ситуаций.
- Вы впервые** настраиваете **SAML и SCIM: выполните следующие инструкции, чтобы приступить к работе.
- Вы уже используете проверку подлинности SAML: необходимо включить SCIM в экземпляре, а также перенастроить SAML с приложением IdP, которое поддерживает автоматическую подготовку или настроить интеграцию SCIM с REST API.
- Вы были зарегистрированы в SCIM Частный превью: вам нужно будет повторно включить SCIM на вашем экземпляре и, если вы используете партнёрский IdP, перенастроить настройки на обновлённом приложении IdP.
Необходимые компоненты
- SCIM — это протокол между серверами. Конечные точки REST API экземпляра должны быть доступны поставщику SCIM.
В этой таблице приведены требования к сети для настройки GHES SCIM с поставщиком удостоверений:
| Система | Направление | Цель | Протокол / Порт | Примечания. |
|---|---|---|---|---|
| GitHub Enterprise Server | Входящий трафик | Получает запросы API SCIM от поставщика удостоверений для пользователей и групп | TCP 443 (HTTPS) | |
| Конечные точки REST API для SCIM должен быть доступен из IdP | ||||
| Поставщик удостоверений (IdP) | исходящий | Отправляет запросы на провизию SCIM на GitHub для пользователей и групп | TCP 443 (HTTPS) | IdP выступает в роли SCIM-клиента, инициируя исходящие HTTPS-соединения с конечными точками SCIM API GitHub. |
- Для проверки подлинности экземпляр должен использовать единый вход SAML или сочетание SAML и встроенной проверки подлинности.
- Вы не можете смешивать SCIM с другими внешними методами проверки подлинности. Если вы используете CAS или LDAP, перед использованием SCIM необходимо выполнить миграцию в SAML.
- После настройки SCIM необходимо сохранить проверку подлинности SAML для продолжения использования SCIM.
- Для поставщика удостоверений необходимо иметь административный доступ.
- У вас должен быть доступ к консоли управления на GitHub Enterprise Server.
- Если вы настраиваете SCIM на экземпляре с существующими пользователями, убедитесь, что вы поняли, как SCIM будет определять и обновлять этих пользователей. См . раздел AUTOTITLE.
1. Создание встроенного пользователя установки
Чтобы продолжить вход и настройку параметров при включении SCIM, вы создадите владельца предприятия с помощью встроенной проверки подлинности.
-
Войдите GitHub Enterprise Server в систему как пользователь с доступом к консоли управления.
-
Если вы уже включили проверку подлинности SAML, убедитесь, что параметры позволяют создавать и продвигать встроенного пользователя проверки подлинности. Перейдите в раздел "Проверка подлинности" консоли управления и включите следующие параметры:
- Выберите "Разрешить создание учетных записей с встроенной проверкой подлинности", чтобы создать пользователя.
- Выберите "Отключить понижение или повышение администратора", чтобы разрешения администратора могли быть предоставлены за пределами поставщика SAML.
Сведения о поиске этих параметров см. в разделе Настройка единого входа SAML для предприятия.
-
Создайте встроенную учётную запись с именем
scim-adminпользователя для выполнения действий по промыслу в вашем экземпляре. См . раздел AUTOTITLE.Убедитесь, что электронная почта пользователя и имя пользователя отличаются от любого пользователя, который планируется подготовить с помощью SCIM. Если ваш поставщик электронной почты поддерживает его, можно изменить адрес электронной почты, добавив
+admin, напримерjohndoe+admin@example.com.
Вы можете использовать любое имя пользователя для настройки, но мы рекомендуем использовать scim-admin.
scim-admin Хотя пользователь использует лицензию при первом создании, лицензия освобождается после включения SCIM. С любым другим именем пользователя пользователь продолжит использовать лицензию после включения SCIM.
-
Скопируйте ссылку сброса пароля после создания пользователя и откройте ее в частном окне браузера. Задайте пароль для этого пользователя.
Внимание
Так как этот пользователь будет выступать в качестве учетной записи разбиения, убедитесь, что пароль безопасно хранится в диспетчере паролей. В противном случае вы рискуете потерять доступ к этой учетной записи.
-
Повышение уровня пользователя до владельца предприятия. См . раздел AUTOTITLE.
2. Создайте personal access token
-
Войдите в экземпляр в качестве встроенного пользователя установки, созданного в предыдущем разделе.
-
Создайте personal access token (classic). Инструкции см. в разделе Управление личными маркерами доступа.
- Жетон должен иметь
admin:enterprise``scim:enterpriseприцел. - У маркера не должно быть срока действия. Если указать дату окончания срока действия, SCIM больше не будет работать после прохождения срока действия.
- Жетон должен иметь
-
Сохраните маркер безопасно в диспетчере паролей, пока не потребуется маркер позже в процессе установки. Для настройки SCIM на поставщике удостоверений потребуется маркер.
3. Включение SAML в экземпляре
Примечание.
Выполните этот раздел, если применяется одно из следующих ситуаций:
- Если проверка подлинности SAML еще не включена, необходимо сделать это, прежде чем включить SCIM.
- Если вы уже используете SAML-аутентификацию и хотите использовать партнёрский IDP для аутентификации и провизии, или вы обновляетесь с SCIM Частный превью, вам нужно перенастроить SAML с помощью нового приложения.
-
Войдите в свой экземпляр в качестве пользователя с доступом к консоли управления.
-
Перейдите в раздел "Проверка подлинности" консоли управления. Инструкции см. в разделе Настройка единого входа SAML для предприятия.
-
Выберите SAML.
-
Настройте параметры SAML в соответствии с вашими требованиями и поставщиком удостоверений, которые вы используете.
- Таким образом, встроенный пользователь установки может продолжать проверку подлинности, убедитесь, что выбраны следующие параметры:
- Разрешить создание учетных записей с встроенной проверкой подлинности
- Отключение понижения или повышения уровня администратора
- Если вы используете поставщик удостоверений партнера, чтобы найти сведения, необходимые для настройки параметров, следуйте разделу "Настройка SAML" соответствующего руководства.
- Таким образом, встроенный пользователь установки может продолжать проверку подлинности, убедитесь, что выбраны следующие параметры:
-
При необходимости полная настройка параметров SAML в приложении в поставщике удостоверений. Кроме того, этот шаг можно оставить до конца.
4. Включение SCIM в экземпляре
-
Войдите в экземпляр в качестве созданного ранее встроенного пользователя установки.
-
В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
-
В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
-
В разделе Settings, щелкните "Безопасность проверки подлинности".
-
В разделе "Конфигурация SCIM" выберите "Включить конфигурацию SCIM".
Вы можете убедиться, что SCIM теперь включен, проверив журналы аудита экземпляра. Ожидайте увидеть событие «business.enable_open_scim», указывающее на то, что GitHub SCIM REST API был включён на вашем экземпляре.
5. Настройка поставщика удостоверений
После завершения настройки на GitHub, вы можете настроить провизию на вашем IdP. Инструкции должны отличаться в зависимости от того, используется ли приложение поставщика удостоверений партнера для проверки подлинности и подготовки.
- Настройка подготовки при использовании приложения поставщика удостоверений партнера
- Настройка подготовки для других систем управления удостоверениями
Настройка подготовки при использовании приложения поставщика удостоверений партнера
Чтобы использовать приложение поставщика удостоверений партнера для проверки подлинности и подготовки, просмотрите приведенные ниже инструкции. Выполните действия по включению SCIM, а также любую конфигурацию SAML, которую вы еще не выполнили.
- Настройка проверки подлинности и подготовки с помощью идентификатора Entra
- Настройка проверки подлинности и подготовки с помощью PingFederate
- Настройка authentication и подготовки с помощью Okta
Настройка подготовки для других систем управления удостоверениями
Если вы не используете партнёрский IDP или только партнёрский IDP для SAML-аутентификации, вы можете управлять жизненным циклом учетных записей с помощью GitHubREST API конечных точек для предоставления SCIM. См . раздел AUTOTITLE.
Примечание.
Использование REST API для провизии SCIM не поддерживается с предприятиями, включёнными для OIDC.
GitHub не поддерживает сочетание поставщиков удостоверений для проверки подлинности и подготовки партнеров и не проверяет все системы управления удостоверениями. GitHubможет оказаться не в состоянии помочь вам с проблемами, связанными с смешанными или непроверенными системами. Если вам нужна помощь, необходимо обратиться к документации системы, группе поддержки или другим ресурсам.
Внимание
Сочетание Okta и Entra ID для единого входа и SCIM (в любом порядке) явно не поддерживается. API SCIM %% данных.product.github %}возвращает ошибку поставщику удостоверений при попытке подготовки при настройке этого сочетания.
6. Обновление параметров
После завершения процесса настройки необходимо отключить следующий параметр в консоли управления:
- Отключите понижение или повышение прав администратора. Отключите этот параметр, чтобы разрешить назначение роли владельца предприятия с помощью SCIM. Если этот параметр по-прежнему включен, вы не сможете подготовить владельцев предприятия через SCIM.
При необходимости можно отключить следующий параметр в консоли управления, а также:
- Разрешить создание учетных записей со встроенной проверкой подлинности. Отключите этот параметр, если вы хотите, чтобы все пользователи были подготовлены из поставщика удостоверений.
7. Назначать пользователей и группы
После настройки проверки подлинности и подготовки вы сможете подготовить новых пользователей на GitHub путем назначения пользователям или группам соответствующего приложения в idP.
При назначении пользователей можно использовать атрибут "Роли" в приложении в idP, чтобы задать роль пользователя в организации. Дополнительные сведения о ролях, доступных для назначения, см. в разделе Возможности ролей на предприятии.
Идентификатор записи не поддерживает подготовку вложенных групп. Для получения дополнительной информации см. How Application Provisioning Works in Microsoft Entra ID на Microsoft Learn.