Configurando o provisionamento do SCIM com o Okta

Saiba como configurar o Okta para se comunicar com sua empresa usando o SCIM (Sistema de Gerenciamento de Usuários entre Domínios).

Quem pode usar esse recurso?

People with admin access to the IdP

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira "Sobre os Enterprise Managed Users".

Neste artigo

Sobre o provisionamento com Okta

Se você usar o Okta como provedor de identidade, poderá usar o aplicativo do Okta para provisionar contas de usuário, bem como gerenciar associações à empresa e à equipe nas organizações da sua empresa. O Okta é um IdP de parceiro, de modo que você pode simplificar sua configuração de autenticação e provisionamento usando o aplicativo Oktapara Enterprise Managed Users. Para obter mais informações, consulte "Sobre os Enterprise Managed Users".

Como alternativa, caso só pretenda usar o Okta para autenticação SAML e deseje usar outro provedor de identidade para provisionamento, você poderá fazer a integração com a API REST do GitHub para SCIM. Para obter mais informações, consulte "Provisionar usuários e grupos com SCIM usando a API REST".

Recursos com suporte

O Enterprise Managed Users oferece suporte aos recursos de provisionamento para o Okta a seguir.

RecursoDescrição
Fazer push de novos usuáriosOs usuários atribuídos ao aplicativo GitHub Enterprise Managed User no Okta são automaticamente criados na empresa no GitHub Enterprise Cloud.
Fazer push da atualização do perfilAs atualizações feitas no perfil do usuário no Okta serão enviadas por push para GitHub Enterprise Cloud.
Grupos de PushOs grupos no Okta que estão atribuídos ao aplicativo GitHub Enterprise Managed User como Grupos de Push são criados automaticamente na empresa no GitHub Enterprise Cloud.
Fazer push de desativações de usuárioCancelar a atribuição do usuário do aplicativo GitHub Enterprise Managed User Okta desabilitará o usuário no GitHub Enterprise Cloud. O usuário não poderá efetuar o login, mas as informações do usuário serão mantidas.
Reativar usuáriosOs usuários no Okta cujas contas do Okta forem reativadas e que forem atribuídos novamente aos ao aplicativo do GitHub Enterprise Managed User no Okta serão habilitados.

Observação: os Enterprise Managed Users não dão suporte a modificações em nomes de usuário.

Pré-requisitos

  • A GitHub recomenda que você autentique apenas solicitações com o aplicativo SCIM do Okta usando um personal access token (classic) associado ao usuário de configuração da sua empresa. O token requer o escopo admin:enterprise. Para obter mais informações, confira "Introdução aos Enterprise Managed Users".

  • Você deve usar o aplicativo do Okta para autenticação e provisionamento.

  • Seu produto Okta deve oferecer suporte ao Sistema de Gerenciamento de Usuários entre Domínios (SCIM). Para obter mais informações, consulte a documentação da Okta ou entre em contato com a equipe de suporte do Okta.

1. Defina o nome da empresa

Após a criação do empresa com usuários gerenciados, você poderá começar a configurar o provisionamento definindo o nome da sua empresa no Okta.

  1. Acesse o seu aplicativo deGitHub Enterprise Managed User no Okta.
  2. Clique na guia Logon.
  3. Para fazer alterações, clique em Editar.
  4. Em "Configurações Avançadas de Login", na caixa de texto "Nome da empresa", digite o nome da sua empresa. Por exemplo, se você acessar sua empresa em https://github.com/enterprises/octoinc, o nome da empresa será "octoinc".
  5. Para salvar o nome da empresa, clique em Salvar.

2. Configure o SCIM

Depois de definir o nome da empresa, você pode continuar a definir as configurações de provisionamento.

Para configurar o provisionamento, o usuário de configuração com nome de usuário @SHORT-CODE_admin precisará fornecer um personal access token (classic) com o escopo admin:enterprise. Consulte "Introdução aos Enterprise Managed Users".

  1. Acesse o seu aplicativo deGitHub Enterprise Managed User no Okta.

  2. Clique o provisionamento guia.

  3. No menu de configurações, clique em Integração.

  4. Para fazer alterações, clique em Editar.

  5. Clique em Configurar Integração de API.

  6. No campo "Token de API", insira o personal access token (classic) com o escopo admin:enterprise pertencente ao usuário da instalação.

    Note

    "Importar grupos" não tem o suporte do GitHub. Marcar ou desmarcar a caixa de seleção não afeta a configuração.

  7. Clique em Testar Credenciais da API. Se o teste for bem sucedido, será exibida uma mensagem de verificação na parte superior da tela.

  8. Para salvar o token, clique em Salvar.

  9. No menu de configurações, clique em No Aplicativo.

  10. À direita de "Provisionamento no Aplicativo", para permitir que as alterações sejam feitas, clique em Editar.

  11. Selecione Habilitar à direita de Criar usuários, Atualizar Atributos de Usuário e Desativar Usuários.

  12. Para concluir a configuração do provisionamento, clique em Salvar.

Quando terminar de configurar o SCIM, você poderá desabilitar algumas configurações do SAML habilitadas para o processo de configuração. Consulte "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

Como faço para atribuir usuários e grupos?

Depois de configurar a autenticação e o provisionamento, você poderá provisionar novos usuários no GitHub ao atribuir usuários ou grupos ao GitHub Enterprise Managed User aplicativo.

Observação: Para evitar exceder o limite de taxa no GitHub Enterprise Cloud, não atribua mais de 1.000 usuários por hora à integração SCIM no seu IdP. Se você usar grupos para atribuir usuários ao aplicativo do IdP, não adicione mais de mil usuários a cada grupo por hora. Se você exceder esses limites, as tentativas de provisionar usuários poderão falhar com um erro de "limite de taxa". Você pode examinar os logs do IdP para confirmar se houve falha no provisionamento do SCIM ou nas operações de push devido a um erro de limite de taxa. A resposta a uma tentativa de provisionamento com falha dependerá do IdP. Para obter mais informações, consulte "Solução de problemas de gerenciamento de identidade e acesso da empresa".

Você também pode gerenciar automaticamente a associação à organização atribuindo grupos à guia "Grupos de Push" no Okta. Quando o grupo for provisionado com sucesso, ele estará disponível para conectar-se a equipes das organizações da empresa. Para saber mais sobre como gerenciar equipes, confira "Gerenciando associações de equipes com grupos de provedores de identidade".

Ao atribuir aos usuários, você poderá usar o atributo "Funções" no aplicativo em seu IdP para definir a função de um usuário na empresa no GitHub Enterprise Cloud. Para saber mais sobre as funções disponíveis para atribuição, confira "Funções em uma empresa".

Observação: só é possível definir o atributo "Funções" para um usuário individual, não para um grupo. Se você quiser definir funções para todos em um grupo atribuído ao aplicativo no Okta, você deverá usar o atributo "Funções" para cada membro do grupo individualmente.

Como faço para desprovisionar usuários e grupos?

Para remover um usuário ou grupo de GitHub Enterprise Cloud, remova o usuário ou o grupo da guia "Atribuições" e da guia "Grupos de push" no Okta. Para usuários, verifique se o usuário foi removido de todos os grupos na guia "Grupos de Push".