Konfigurieren der SCIM -Bereitstellung mit Okta

Erfahre hier, wie du Okta für die Kommunikation mit deinem Unternehmen auf GitHub.com oder GHE.com konfigurierst.

Wer kann dieses Feature verwenden?

People with admin access to the IdP

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Informationen zur Bereitstellung mit Okta

Wenn Sie Okta als IdP verwenden, können Sie die Anwendung von Okta verwenden, um Benutzerkonten bereitzustellen, die Unternehmensmitgliedschaft zu verwalten und Teammitgliedschaften für Organisationen in Ihrem Unternehmen zu verwalten. Okta ist ein Partner-IDP, sodass Sie Ihre Authentifizierungs- und Bereitstellungskonfiguration vereinfachen können, indem Sie die Okta-Anwendung für Enterprise Managed Users verwenden. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Alternativ können Sie, wenn Sie okta nur für die SAML-Authentifizierung nutzen und einen anderen IdP für die Bereitstellung verwenden möchten, mit der REST-API für SCIM von GitHub integriert werden. Weitere Informationen finden Sie unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Unterstützte Funktionen

Enterprise Managed Users unterstützt die folgenden Bereitstellungsfunktionen für Okta.

FunktionBESCHREIBUNG
Push neuer BenutzerBenutzer, die der Anwendung GitHub Enterprise Managed User in Okta zugewiesen sind, werden automatisch im Unternehmen auf GitHub erstellt.
Push-ProfilaktualisierungAktualisierungen, die am Profil des Benutzers in Okta vorgenommen wurden, werden an GitHub gepusht.
Push-GruppenGruppen in Okta, die der Anwendung GitHub Enterprise Managed User als Pushgruppen zugewiesen sind, werden automatisch im Unternehmen auf GitHub erstellt.
Push Benutzer-DeaktivierungDurch das Aufheben der Zuweisung des Benutzers in der Anwendung GitHub Enterprise Managed User in Okta wird der Benutzer in GitHub deaktiviert. Der Benutzer kann sich nicht anmelden, aber die Informationen des Benutzers werden beibehalten.
Benutzer reaktivierenBenutzer in Okta, deren Okta-Konten reaktiviert werden und die zurück an die
Anwendung von GitHub Enterprise Managed User auf Okta zugewiesen werden, werden aktiviert.

Hinweis

Enterprise Managed Users bietet keine Unterstützung für Änderungen an Benutzernamen.

Voraussetzungen

Stelle sicher, dass du alle vorherigen Schritte der Erstkonfiguration abgeschlossen hast, bevor du eine SCIM-Bereitstellung für ein neues Unternehmen konfigurierst. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

Darüber hinaus:

  • Sie müssen die Anwendung von Okta sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
  • Ihr Okta-Produkt muss System for Cross-Domain Identity Management (SCIM) unterstützen. Wegen weiteren Informationen können Sie die Dokumentation von Okta heranziehen oder sich an das Supportteam von Okta wenden.

Konfigurieren von SCIM

Du kannst die Bereitstellungseinstellungen konfigurieren, sobald du die SAML-Einstellungen in der Okta-App konfiguriert hast. Wenn du die SAML-Einstellungen noch nicht konfiguriert hast, lies Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen.

Um die Bereitstellung zu konfigurieren, muss der einrichtende Benutzer mit dem @SHORT-CODE_admin Benutzernamen einen personal access token (classic) mit dem scim:enterprise Bereich bereitstellen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

  1. Navigiere auf Okta zu der Anwendung GitHub Enterprise Managed User.

  2. Klicke auf die Registerkarte Bereitstellung.

  3. Klicke im Einstellungsmenü auf Integration.

  4. Klicke auf Edit (Bearbeiten), um Änderungen vorzunehmen.

  5. Klicke auf API-Integration konfigurieren.

  6. Gib im Feld „API Token“ das personal access token (classic) ein, das dem Benutzer zugehört, der die Einrichtung vorgenommen hat.

    Hinweis

    „Gruppen importieren“ wird von GitHub nicht unterstützt. Das Aktivieren oder Deaktivieren des Kontrollkästchens hat keine Auswirkungen auf deine Konfiguration.

    Wichtig

    Gib für ein Unternehmen, das sich auf GitHub Enterprise-Cloud mit Datenresidenz (GHE.com) befindet, die folgende URL in das Feld Basis-URL ein: https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain} (Bitte ersetze {subdomain} durch die Unterdomäne deines Unternehmens).

           **Beispiel**: Wenn die Unterdomäne deines Unternehmens `acme`ist, lautet die Basis-URL `https://api.acme.ghe.com/scim/v2/enterprises/acme`.

  7. Klicke auf API-Anmeldeinformationen testen. Wenn der Test erfolgreich ist, wird oben auf dem Bildschirm eine Überprüfungsmeldung angezeigt.

  8. Klicke zum Speichern des Tokens auf Save (Speichern).

  9. Klicken Sie im Einstellungsmenü auf To App.

  10. Klicke rechts neben „Provisioning to App“ (Bereitstellung für App) auf Edit (Bearbeiten), damit Änderungen vorgenommen werden können.

  11. Wähle rechts von Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren die Option Aktivieren aus.

  12. Klicke auf Speichern (Save), um die Konfiguration der Bereitstellung abzuschließen.

Wie weise ich Benutzern und Gruppen zu?

Hinweis

Weise der SCIM-Integration bei deinem Identitätsanbieter maximal 1.000 Benutzerkonten pro Stunde zu, um eine Überschreitung der Ratenbegrenzung für GitHub zu vermeiden. Wenn du Gruppen verwendest, um der Identitätsanbieteranwendung Benutzerinnen hinzuzufügen, füge den einzelnen Gruppen jeweils maximal 1,000 Benutzerinnen pro Stunde hinzu. Bei Überschreitung dieser Schwellenwerte tritt bei der Benutzerbereitstellung möglicherweise ein Ratenlimitfehler auf, und die Bereitstellung ist nicht erfolgreich. Du kannst deine IdP-Protokolle überprüfen, um zu bestätigen, ob versuchte SCIM-Bereitstellungen oder Pushvorgänge aufgrund eines Fehlers bei der Ratenbegrenzung fehlgeschlagen sind. Die Antwort auf einen fehlgeschlagenen Bereitstellungsversuch hängt vom IdP ab. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deines Unternehmens.

Du kannst die Organisationsmitgliedschaft auch automatisch verwalten, indem du Gruppen zur Registerkarte „Push Groups“ in Okta hinzufügst. Wenn die Gruppe erfolgreich bereitgestellt wird, kann sie mit Teams in den Organisationen des Unternehmens verbunden werden. Weitere Informationen zum Verwalten von Teams findest du unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Die Zuweisung von Rollen im Unternehmensmanagement erfolgt nach folgenden Schritten:

Hinweis

Du kannst das Attribut „Rollen“ nur für einzelne Benutzer festlegen, nicht jedoch für Gruppen. Wenn Sie Rollen für alle Benutzer*innen in einer Gruppe festlegen möchten, die der Anwendung in Okta zugewiesen ist, musst du das Attribut „Rollen“ für jedes Gruppenmitglied einzeln festlegen.

Wie deprovisioniere ich Benutzer und Gruppen?

Wenn du Benutzer oder Gruppen aus GitHub entfernen möchtest, entferne sie in Okta aus der Registerkarte „Zuweisungen“ und der Registerkarte „Pushgruppen“. Stelle für Benutzer*innen sicher, dass sie aus allen Gruppen auf der Registerkarte „Pushgruppen“ entfernt werden.