Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern

Zum Erstellen, Verwalten und Deaktivieren von Benutzerkonten für Ihre Unternehmensmitglieder auf GitHub musskann Ihr IdP SCIM für die Kommunikation mit GitHub implementieren. SCIM ist eine offene Spezifikation für die Verwaltung von Benutzeridentitäten zwischen Systemen. Verschiedene IdPs bieten unterschiedliche Erfahrungen für die Konfiguration der SCIM-Bereitstellung.

Wenn Sie einen Partner-IdP verwenden, können Sie die Konfiguration der SCIM-Bereitstellung mithilfe der Anwendung des Partner-IdP vereinfachen. Wenn Sie keinen Partner-IdP für die Bereitstellung verwenden, können Sie SCIM mithilfe von Aufrufen von REST-API für SCIM von GitHub implementieren. Weitere Informationen findest du unter Informationen zur Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

Wer muss diese Anweisungen befolgen?

Auch wenn Ihre Instanz bereits SAML-Authentifizierung verwendet oder sie bei einer früheren private Beta-Version-Version bei der SCIM-GitHub Enterprise Server registriert wurden, müssen Sie sicherstellen, dass Sie alle Anweisungen in diesem Handbuch befolgt haben, um SCIM in Version 3.14 und höher zu aktivieren.

Diese Anleitung gilt in einer der folgenden Situationen.

• Sie richten SAML und SCIM zum ersten Mal ein: Sie folgen diesen Anweisungen, um zu beginnen.
• Sie verwenden bereits die SAML-Authentifizierung: Sie müssen SCIM auf Ihrer Instanz aktivieren und entweder SAML mit einer IdP-Anwendung neu konfigurieren, die die automatisierte Bereitstellung unterstützt oder eine SCIM-Integration mit der REST-API einrichten.
• Sie wurden in der private Beta-Version von SCIM registriert: Sie müssen SCIM auf Ihrer Instanz wieder aktivieren und, wenn Sie einen Partner-IdP verwenden, Ihre Einstellungen in einer aktualisierten IdP-Anwendung neu konfigurieren.

Voraussetzungen

• SCIM ist ein Server-zu-Server-Protokoll. Auf die REST-API-Endpunkte deiner Instanz muss dein SCIM-Anbieter zugreifen können.

Diese Tabelle enthält die Netzwerkanforderungen zum Konfigurieren von GHES SCIM mit einem IdP:

System	Richtung	Zweck	Protokoll/ Port	Hinweise
GitHub Enterprise Server	Eingehend	Empfängt SCIM-API-Anforderungen von IdP für Benutzer und Gruppen	TCP 443 (HTTPS)

          [AUTOTITLE](/rest/enterprise-admin/scim) muss über IdP erreichbar sein |

| Identitätsanbieter (IdP) | Ausgehend | Sendet SCIM-Bereitstellungsanforderungen an GitHub für Benutzer und Gruppen | TCP 443 (HTTPS) | IdP fungiert als SCIM-Client und initiiert ausgehende HTTPS-Verbindungen mit den SCIM-API-Endpunkten GitHub. |

• Für die Authentifizierung muss Ihre Instance SAML-SSO oder eine Mischung aus SAML und integrierter Authentifizierung verwenden.
  • Sie können SCIM nicht mit anderen externen Authentifizierungsmethoden kombinieren. Wenn Sie CAS oder LDAP verwenden, müssen Sie vor der Verwendung von SCIM zu SAML migrieren.
  • Nachdem Sie SCIM konfiguriert haben, müssen Sie die SAML-Authentifizierung aktiviert lassen, um SCIM weiterhin verwenden zu können.
• Sie müssen über Administratorzugriff auf Ihren IdP verfügen.
• Du benötigst Zugriff auf die Verwaltungskonsole auf GitHub Enterprise Server.
• Wenn Sie SCIM für eine Instance mit vorhandenen Benutzern konfigurieren, stellen Sie sicher, dass Sie verstanden haben, wie SCIM diese Benutzer identifizieren und aktualisieren wird. Weitere Informationen findest du unter Informationen zur Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

1. Erstellen eines integrierten Setup-Benutzers

Um sicherzustellen, dass Sie sich weiterhin anmelden und Einstellungen konfigurieren können, wenn SCIM aktiviert ist, erstellen Sie einen Unternehmensbesitzer mithilfe der integrierten Authentifizierung.

1. Melde dich bei GitHub Enterprise Server als Benutzer mit Zugriff auf die Verwaltungskonsole an.

2. Wenn du bereits die SAML-Authentifizierung aktiviert hast, stelle sicher, dass deine Einstellungen es dir ermöglichen, einen integrierten Authentifizierungsbenutzer zu erstellen und zu bewerben. Wechseln Sie zum Abschnitt „Authentifizierung“ der Verwaltungskonsole, und aktivieren Sie die folgenden Einstellungen:

   • Wählen Sie Erlauben Sie die Erstellung von Konten mit integrierter Authentifizierung, damit Sie den Benutzer erstellen können.
   • Wählen Sie Administrator-Herabstufung/Heraufstufung deaktivieren aus, so dass Administratorberechtigungen außerhalb Ihres SAML-Anbieters erteilt werden können.

   Hilfe zum Auffinden dieser Einstellungen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

3. Erstelle ein integriertes Benutzerkonto zum Ausführen von Bereitstellungsaktionen für deine Instanz. Weitere Informationen findest du unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

   Stellen Sie sicher, dass sich die E-Mail und der Benutzername des Benutzers von jedem Benutzer unterscheiden, den Sie über SCIM bereitstellen möchten. Wenn Ihr E-Mail-Anbieter dies unterstützt, können Sie eine E-Mail-Adresse ändern, indem Sie +admin hinzufügen, z. B. johndoe+admin@example.com.

4. Kopiere den Link zur Kennwortzurücksetzung, nachdem du den Benutzer erstellt hast, und öffne ihn in einem privaten Browserfenster. Lege ein Kennwort für diesen Benutzer fest.

   Wichtig

   Da dieser Benutzer als Notfallkonto fungiert, stelle sicher, dass du das Kennwort in einem Kennwort-Manager sicher speicherst. Andernfalls besteht das Risiko, dass du den Zugriff auf dieses Konto verlierst.

5. Stufe den Benutzer auf „Unternehmensbesitzer“ hoch. Weitere Informationen findest du unter Websiteadministrator hoch- oder zurückstufen.

2. Erstellen eines personal access token

1. Melden Sie sich bei Ihrer Instance als der integrierte Setupbenutzer an, den Sie im vorherigen Abschnitt erstellt haben.

2. Erstellen Sie ein personal access token (classic). Anweisungen findest du unter Verwalten deiner persönlichen Zugriffstoken.

   • Das Token muss den admin:enterprise Scope aufweisen.
   • Das Token darf kein Ablaufdatum aufweisen. Wenn du ein Ablaufdatum angibst, funktioniert SCIM nach dem Ablaufdatum nicht mehr.

3. Speichere das Token sicher in einem Passwort-Manager, bis du das Token später im Setup-Prozess erneut benötigst. Sie benötigen das Token zum Konfigurieren von SCIM auf Ihrem IdP.

3. Aktivieren von SAML für Ihre Instance

1. Melden Sie sich bei Ihrer Instance als Benutzer mit Zugriff auf die Verwaltungskonsole an.

2. Wechseln Sie zum Abschnitt „Authentifizierung“ der Verwaltungskonsole,. Anweisungen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

3. Wählen Sie SAML aus.

4. Konfigurieren Sie die SAML-Einstellungen entsprechend Ihren Anforderungen und dem verwendeten IDP.

   • Damit sich der integrierte Setup-Benutzer weiterhin authentifizieren kann, stellen Sie sicher, dass Sie die folgenden Einstellungen auswählen:
     • Wählen Sie Kontoerstellung mit integrierter Authentifizierung zulassen aus
     • Deaktivieren von Administrator-Herabstufung/Heraufstufung
   • Wenn Sie einen Partner-IdP verwenden, folgen Sie dem Abschnitt „SAML konfigurieren“ des entsprechenden Leitfadens, um die Informationen zu finden, die Sie zum Konfigurieren der Einstellungen benötigen.
     • Konfigurieren von Authentifizierung und Bereitstellung mit Entra ID
     • Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate
     • Konfigurieren der -Authentifizierung und -Bereitstellung mit Okta

5. Optional: Vollständige Konfiguration der SAML-Einstellungen innerhalb der Anwendung in Ihrem IdP. Alternativ können Sie diesen Schritt bis zu einem späteren Zeitpunkt verlassen.

4. Aktivieren von SCIM für Ihre Instance

1. Melden Sie sich bei Ihrer Instance als der integrierte Setupbenutzer an, den Sie zuvor erstellt haben.

2. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

3. Klicke links auf der Seite auf der Randleiste des Enterprise-Kontos auf Settings.

4. Klicke unter Settings auf Authentication security.

5. Wählen Sie unter „SCIM-Konfiguration“ die Option SCIM-Konfiguration aktivieren aus.

Du kannst bestätigen, dass SCIM jetzt aktiviert ist, indem du die Überwachungsprotokolle deiner Instanz überprüfst. Sie sollten erwarten, dass ein "business.enable_open_scim"-Ereignis angezeigt wird, das angibt, dass GitHub SCIM REST-API für Ihre Instanz aktiviert wurde.

5. Konfigurieren des Identitätsanbieters

Nach Abschluss des Setups für GitHub können Sie die Bereitstellung auf Ihrem IdP konfigurieren. Die Anweisungen, die Sie befolgen sollten, unterscheiden sich je nachdem, ob Sie die Anwendung eines Partner-IdP für die Authentifizierung und Bereitstellung verwenden.

• Konfigurieren der Bereitstellung, wenn Sie die Anwendung eines Partner-IdP verwenden
• Konfigurieren der Bereitstellung für andere Identitätsverwaltungssysteme

Konfigurieren der Bereitstellung, wenn Sie die Anwendung eines Partner-IdP verwenden

Wenn Sie die Anwendung eines Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden möchten, lesen Sie die nachstehenden Anweisungen. Führen Sie die Schritte zum Aktivieren von SCIM sowie alle SAML-Konfigurationen aus, die Sie noch nicht ausgeführt haben.

• Konfigurieren von Authentifizierung und Bereitstellung mit Entra ID
• Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate
• Konfigurieren der -Authentifizierung und -Bereitstellung mit Okta

Konfigurieren der Bereitstellung für andere Identitätsverwaltungssysteme

Wenn Sie keinen Partner-IdP verwenden oder nur einen Partner-IdP für die SAML-Authentifizierung verwenden, können Sie den Lebenszyklus von Benutzerkonten mithilfe der REST-API-Endpunkte von GitHub für die SCIM-Bereitstellung verwalten. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

GitHub unterstützt nicht ausdrücklich das Mischen von Partner-IdPs für die Authentifizierung und Bereitstellung und testet nicht alle Identitätsverwaltungssysteme. Das GitHub-Supportteam ist möglicherweise nicht in der Lage, Ihnen bei Problemen im Zusammenhang mit gemischten oder ungetesteten Systemen zu helfen. Wenn Sie Hilfe benötigen, müssen Sie die Dokumentation, das Supportteam oder andere Ressourcen des Systems konsultieren.

6. Aktualisieren der Einstellungen

Nachdem du den Konfigurationsprozess abgeschlossen hast, solltest du die folgende Einstellung in der Verwaltungskonsole deaktivieren:

• Administratorherabstufung/-hinaufstufung deaktivieren: Deaktivieren Sie diese Einstellung, um die Zuweisung der Rolle „Unternehmensbesitzer“ über SCIM zuzulassen. Wenn diese Einstellung aktiviert bleibt, kannst du Unternehmensbesitzer nicht über SCIM zuweisen.

Optional kannst du auch die folgende Einstellung in der Verwaltungskonsole deaktivieren:

• Erstellen von Konten mit integrierter Authentifizierung zulassen: Deaktivieren Sie diese Einstellung, wenn alle Benutzer von Ihrem IdP bereitgestellt werden sollen.

7. Zuweisen von Benutzern und Gruppen

Nachdem Sie die Authentifizierung und Bereitstellung konfiguriert haben, können Sie neue Benutzer auf GitHub bereitstellen, indem Sie der GitHub Enterprise Managed UserAnwendungrelevanten Anwendung in Ihrer IdP Benutzer oder Gruppen zuweisen.

Beim Zuweisen von Benutzenden kannst du das Attribut „Roles“ in der Anwendung deines IdP verwenden, um die Rolle eines Benutzers in deinem Unternehmen festzulegen. Weitere Informationen zu den Rollen, die zugewiesen werden können, findest du unter Fähigkeiten von Rollen in einem Unternehmen.

Entra ID unterstützt die Bereitstellung geschachtelter Gruppen nicht. Weitere Informationen finden Sie unter Wie die Anwendungsbereitstellung in Microsoft Entra ID funktioniert auf Microsoft Learn.