Acerca de SCIM para las organizaciones
Si tu organización usa el inicio de sesión único de SAML, puedes implementar SCIM para agregar, administrar y quitar el acceso de los miembros de la organización a GitHub Enterprise Cloud. Por ejemplo, un administrador puede desaprovisionar a un miembro de la organización usando el SCIM y eliminar automáticamente el miembro de la organización.
Nota: Para utilizar el inicio de sesión único de SAML, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, vea "Configuración de una versión de prueba de GitHub Enterprise Cloud".
No puedes usar esta implementación de SCIM con una cuenta de empresa o con una organización con usuarios administrados. Si la empresa está habilitada para Enterprise Managed Users, debes usar otra implementación de SCIM. De lo contrario, SCIM no está disponible en el nivel empresarial. Para obtener más información, vea «Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales».
Si usa el inicio de sesión único de SAML sin implementar SCIM, no podrá usar el desaprovisionamiento automático. Cuando las sesiones de los miembros de una organización expiran después de quitar su acceso del IdP, los miembros no se quitan automáticamente de la organización. Los tokens autorizados conceden acceso a la organización incluso después de que expiren sus sesiones. Si no se usa SCIM, para quitar el acceso de un miembro por completo, un propietario de la organización debe quitar el acceso del miembro en el IdP y quitar el miembro de la organización en GitHub de forma manual.
Si el aprovisionamiento de SCIM se implementa para su organización, los cambios en la pertenencia a la organización de un usuario se deben desencadenar desde el proveedor de identidades. Si se invita a un usuario manualmente a una organización en lugar de mediante una integración de SCIM existente, es posible que su cuenta de usuario no se vincule correctamente a su identidad de SCIM. Esto puede impedir que la cuenta de usuario se desaprovisione a través de SCIM en el futuro. Si un usuario se quita manualmente en lugar de mediante una integración de SCIM existente, permanecerá una identidad vinculada obsoleta, lo que puede provocar problemas si el usuario necesita volver a unirse a la organización.
Proveedores de identidad compatibles
Estos proveedores de identidades (IdP) son compatibles con la API de SCIM de GitHub Enterprise Cloud para las organizaciones. Para obtener más información, vea «Puntos de conexión de API de REST para SCIM».
- Microsoft Entra ID (anteriormente conocido como Azure AD)
- Okta
- OneLogin
Acerca de la configuración de SCIM para las organizaciones
Para usar SCIM con tu organización, debes usar una OAuth app propiedad de terceros. La OAuth app la debe autorizar un usuario específico de GitHub y, posteriormente, actuar en nombre de este. Si el usuario que ha autorizado por última vez esta OAuth app abandona la organización o le eliminan de esta, SCIM dejará de funcionar. Para evitar este problema, se recomienda crear una cuenta de usuario dedicada para configurar SCIM. Esta cuenta de usuario debe ser un propietario de la organización y consumirá una licencia.
Para poder autorizar la OAuth app, debes tener una sesión de SAML activa. Para obtener más información, vea «Acerca de la autenticación con el inicio de sesión único de SAML».
Note
El IdP de SAML y el cliente de SCIM deben usar los mismos valores de NameID
y userName
para cada usuario. Esto le permite al usuario que se autentica mediante SAML el poder enlazarse con su identidad aprovisionada de SCIM.