{"meta":{"title":"Provisionar usuários e grupos com SCIM usando a API REST","intro":"Gerencie o ciclo de vida das contas de usuário do seu provedor de identidade usando a API REST do GitHub como Sistema de Gerenciamento de Usuários entre Domínios (SCIM).","product":"Administradores da empresa","breadcrumbs":[{"href":"/pt/enterprise-cloud@latest/admin","title":"Administradores da empresa"},{"href":"/pt/enterprise-cloud@latest/admin/managing-iam","title":"Gerenciamento de identidade e de acesso"},{"href":"/pt/enterprise-cloud@latest/admin/managing-iam/provisioning-user-accounts-with-scim","title":"Provisionar contas de usuário gerenciadas "},{"href":"/pt/enterprise-cloud@latest/admin/managing-iam/provisioning-user-accounts-with-scim/provisioning-users-and-groups-with-scim-using-the-rest-api","title":"SCIM usando API REST"}],"documentType":"article"},"body":"# Provisionar usuários e grupos com SCIM usando a API REST\n\nGerencie o ciclo de vida das contas de usuário do seu provedor de identidade usando a API REST do GitHub como Sistema de Gerenciamento de Usuários entre Domínios (SCIM).\n\n> \\[!NOTE] A GitHub recomenda que você teste o provisionamento em um ambiente isolado dos dados de produção no IdP e no GitHub.\n\n## Sobre o IAM para Enterprise Managed Users\n\nSe sua empresa no GitHub foi criada para Enterprise Managed Users, você deve configurar um sistema de gerenciamento de identidades externo para provisão e manutenção das contas de usuário. O sistema de gerenciamento de identidades deve oferecer a seguinte funcionalidade:\n\n* Autenticação de logon único implementando um dos seguintes padrões de logon único (SSO):\n * SAML (Security Assertion Markup Language) 2.0\n * O OIDC (OpenID Connect), que só terá suporte se você usar Microsoft Entra ID (anteriormente conhecido como Azure AD)\n* Gerenciamento do ciclo de vida do usuário com o SCIM (Sistema de Gerenciamento de Usuários entre Domínios)\n\nAo configurar a autenticação e o provisionamento para a empresa, você pode usar um IdP parceiro ou outra combinação de sistemas de gerenciamento de identidades.\n\n* [Usar um provedor de identidade parceiro](#using-a-partner-identity-provider)\n* [Usar outros sistemas de gerenciamento de identidades](#using-other-identity-management-systems)\n\n### Usar um provedor de identidade parceiro\n\nCada IdP parceiro fornece um aplicativo simplificado que implementa o SSO e o gerenciamento do ciclo de vida do usuário. Para simplificar a configuração, a GitHub recomenda que você use um aplicativo de IdP parceiro único para autenticação e provisionamento. Para obter mais informações e uma lista de IdPs parceiros, consulte [Sobre os Enterprise Managed Users](/pt/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/about-enterprise-managed-users#identity-management-systems).\n\nPara obter mais informações sobre como configurar o provisionamento do SCIM usando um IdP parceiro, confira [Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa](/pt/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/configuring-scim-provisioning-for-enterprise-managed-users).\n\n### Usar outros sistemas de gerenciamento de identidades\n\nSe você não puder usar um IdP parceiro único para autenticação e provisionamento devido à sobrecarga de migração, custos de licenciamento ou inércia organizacional, poderá usar outro sistema de gerenciamento de identidades ou uma combinação de sistemas. Os sistemas devem fornecer a autenticação usando SAML e o gerenciamento do ciclo de vida do usuário usando SCIM. Eles também devem aderir às diretrizes de integração do GitHub.\n\nO GitHub não oferece suporte expresso à mistura de IdPs de parceiros para autenticação e provisionamento e não testa todos os sistemas de gerenciamento de identidades. **A equipe de suporte do GitHub talvez não consiga ajudar você em problemas relacionados a sistemas misturados ou não testados.** Se você precisar de ajuda, consulte a documentação do sistema, a equipe de suporte ou outros recursos.\n\n> \\[!IMPORTANT] A combinação do **Okta e do Entra ID** para SSO e SCIM (em qualquer ordem) **não tem suporte** explicitamente. A API do SCIM do GitHub retornará um erro para o provedor de identidade mediante tentativas de provisionamento se essa combinação estiver configurada.\n\n## Pré-requisitos\n\n* Quando você começou a usar GitHub Enterprise Cloud, você deve ter optado por criar um empresa com usuários gerenciados. Para saber mais, confira [Escolher um tipo de empresa para o GitHub Enterprise Cloud](/pt/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/identifying-the-best-authentication-method-for-your-enterprise).\n* Antes de configurar o provisionamento, você deve configurar a autenticação para os usuários. Essa configuração exige a configuração no sistema de gerenciamento de identidades e no GitHub. Para saber mais, confira [Configurar a autenticação para usuários empresariais gerenciados](/pt/enterprise-cloud@latest/admin/identity-and-access-management/configuring-authentication-for-enterprise-managed-users).\n* Você deve habilitar uma configuração SCIM aberta para a empresa. Para saber mais, confira [Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa](/pt/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/configuring-scim-provisioning-for-enterprise-managed-users#configuring-provisioning-for-other-identity-management-systems).\n* Para autenticar solicitações para pontos de extremidade da API REST para SCIM, você deve usar um personal access token (classic) associado ao usuário de configuração da sua empresa. O token requer o escopo **scim:enterprise**. O GitHub recomenda não configurar uma data de término para o token. Confira [Introdução aos Enterprise Managed Users](/pt/enterprise-cloud@latest/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users#create-a-personal-access-token).\n* Para provisionar usuários e grupos com a API REST do GitHub, seu sistema de gerenciamento de identidades deve oferecer suporte ao padrão SCIM 2.0. Para obter mais informações, confira as seguintes RFCs no site do IETF:\n\n * [RFC 7642: Definições, visão geral, conceitos e requisitos](https://tools.ietf.org/html/rfc7642)\n * [RFC 7643: Esquema principal](https://tools.ietf.org/html/rfc7643)\n * [RFC 7644: Protocolo](https://tools.ietf.org/html/rfc7644)\n* Os registros de usuários para os sistemas que você usa em autenticação e provisionamento devem compartilhar um identificador exclusivo e atender aos critérios de correspondência do GitHub. Para saber mais, confira [Pontos de extremidade da API REST para SCIM](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#mapping-of-saml-and-scim-data) na documentação da API REST.\n\n## Melhores práticas para provisionamento do SCIM usando a API REST do GitHub\n\nAo configurar o sistema de gerenciamento de identidades para provisionamento de usuários ou grupos de usuários no GitHub, o GitHub recomenda enfaticamente que você siga as diretrizes a seguir.\n\n* [Garantir que o sistema de gerenciamento de identidades seja a única fonte de operações de gravação](#ensure-your-identity-management-system-is-the-only-source-of-write-operations)\n* [Enviar solicitações válidas para endpoints da API REST](#send-valid-requests-to-rest-api-endpoints)\n* [Provisionar usuários antes de provisionar grupos](#provision-users-before-you-provision-groups)\n* [Validar o acesso para grupos no GitHub](#validate-access-for-groups-on-github)\n* [Entenda os limites de taxa em GitHub](#understand-rate-limits-on-github)\n* [Configurar o streaming de log de auditoria](#configure-audit-log-streaming)\n* [Limitar o escopo do token SCIM](#limit-the-scope-of-the-scim-token)\n* [Entender os efeitos do desprovisionamento](#understand-the-effects-of-deprovisioning)\n\n### Garanta que o sistema de gestão de identidades seja a única fonte de operações de escrita\n\nPara garantir que seu ambiente tenha uma fonte única de verdade, você deve apenas escrever programaticamente na API REST para provisionamento SCIM a partir do seu sistema de gerenciamento de identidades. O GitHub recomenda enfaticamente que apenas um sistema envie solicitações `POST`, `PUT`, `PATCH` ou `DELETE` à API.\n\nNo entanto, você pode recuperar com segurança informações das APIs do GitHub com solicitações `GET` em scripts ou solicitações ad hoc de um proprietário da empresa.\n\n> \\[!WARNING]\n> Se você usar um IdP parceiro para provisionamento do SCIM, o aplicativo no IdP deverá ser o único sistema que faz solicitações de gravação à API. Se você fizer solicitações ad hoc usando os métodos `POST`, `PUT`, `PATCH` ou `DELETE`, tentativas posteriores de sincronização falharão e o provisionamento não funcionará adequadamente para sua empresa.\n\n### Enviar solicitações válidas para pontos de extremidade da API REST\n\nOs endpoints da API REST do GitHub para provisionar usuários via SCIM exigem solicitações bem-formadas. Leve em consideração as seguintes diretrizes:\n\n* As solicitações que não corresponderem às expectativas da API retornarão um erro `400 Bad Request`.\n* Os pontos de extremidade da API REST para provisionamento de usuários com SCIM exigem um cabeçalho `User-Agent`. O GitHub rejeitará solicitações sem esse cabeçalho.\n* Se a sua empresa estiver no GHE.com, assegure-se de enviar solicitações de API ao endpoint da sua empresa em `api.SUBDOMAIN.ghe.com`.\n\n### Provisionar usuários antes de provisionar grupos\n\nOs grupos SCIM são eficazes para o gerenciamento do acesso de usuários em escala. Por exemplo, você pode usar grupos no sistema de gerenciamento de identidades para gerenciar a associação de equipes e organizações no GitHub.\n\nPara gerenciar a associação da equipe com grupos no sistema de gerenciamento de identidades, conclua sequencialmente as seguintes etapas:\n\n1. Provisionar contas de usuário no GitHub.\n2. Provisionar um grupo no GitHub.\n3. Atualize a associação do grupo no sistema de gerenciamento de identidades.\n4. Crie uma equipe no GitHub mapeada ao grupo no sistema de gerenciamento de identidades.\n\n### Validar o acesso para grupos no GitHub\n\nSe você gerencia o acesso usando grupos no sistema de gerenciamento de identidades, você pode validar o acesso que os usuários devem obter. Você pode usar a API REST para comparar as associações de grupo do seu sistema com a interpretação desses grupos pelo GitHub. Para saber mais, confira [Endpoints de API REST para grupos externos](/pt/enterprise-cloud@latest/rest/teams/external-groups#about-external-groups) e [Endpoints de API REST para equipes](/pt/enterprise-cloud@latest/rest/teams/teams#get-a-team-by-name) na documentação da API REST.\n\n### Entender os limites de taxa em GitHub\n\nPara garantir a disponibilidade e a confiabilidade da plataforma, o GitHub implementa limites de taxa.\n\nSe os limites de taxa não forem considerados, a primeira integração de grandes empresas com o Enterprise Managed Users provavelmente excederá os limites.\nPara evitar exceder o limite de taxa do GitHub, não atribua mais de 1.000 usuários por hora à integração do SCIM no IdP. Se você usar grupos para atribuir usuários ao aplicativo do IdP, não adicione mais de mil usuários a cada grupo por hora. Se você exceder esses limites, as tentativas de provisionar usuários poderão falhar com um erro de \"limite de taxa\". Você pode examinar os logs do IdP para confirmar se houve falha no provisionamento do SCIM ou nas operações de push devido a um erro de limite de taxa. A resposta a uma tentativa de provisionamento com falha dependerá do IdP.\n\nPara saber mais, confira [Limites de taxa para a API REST](/pt/enterprise-cloud@latest/rest/using-the-rest-api/rate-limits-for-the-rest-api).\n\n### Configurar o streaming de log de auditoria\n\nO log de auditoria da empresa exibe detalhes sobre atividades em sua empresa. Você pode usar o log de auditoria para oferecer suporte à configuração do SCIM. Para saber mais, confira [Log de auditoria para uma empresa](/pt/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/about-the-audit-log-for-your-enterprise).\n\nDevido ao volume de eventos nesse log, o GitHub retém os dados por 180 dias. Para garantir que você não perca dados do log de auditoria e veja atividades mais detalhadas no log, a GitHub recomenda configurar o streaming de log de auditoria. Ao transmitir o log de auditoria, você pode, opcionalmente, optar por transmitir eventos para solicitações de API, incluindo solicitações a pontos de extremidade da API REST para provisionamento do SCIM. Para saber mais, confira [Como transmitir o log de auditoria para sua empresa](/pt/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise).\n\n### Limitar o escopo do token SCIM\n\nPara uma melhor postura de segurança, recomendamos o uso de um personal access token (classic) com apenas o escopo `scim:enterprise` para limitar o acesso do token aos endpoints da API REST necessários para fazer chamadas SCIM.\n\nSe você usa atualmente um token com o escopo `admin:enterprise`, lembre-se de que esse token permite acesso a todas as ações na empresa. Você pode trocar seu token por um novo token apenas com o escopo `scim:enterprise` sem interrupção.\n\n### Entender os efeitos do desprovisionamento\n\nPara remover o acesso de um usuário do GitHub, você pode enviar uma solicitação de \"desprovisionamento brando\" ou \"desprovisionamento rígido\" para o seu provedor SCIM. O desprovisionamento permanente é uma ação irreversível que suspende em caráter definitivo a conta do GitHub de um usuário.\n\nAntes de implementar uma integração de API, entenda os tipos de desprovisionamento e os seus efeitos. Para saber mais sobre os diferentes tipos de desprovisionamento, seus efeitos e os eventos de log de auditoria gerados, confira [Desprovisionar e restabelecer usuários com SCIM](/pt/enterprise-cloud@latest/admin/managing-iam/provisioning-user-accounts-with-scim/deprovisioning-and-reinstating-users).\n\n## Provisionar usuários usando a API REST\n\nPara provisionar, listar ou gerenciar usuários, faça solicitações para os pontos de extremidade da API REST a seguir. Você pode ler sobre os pontos de extremidade de API associados na documentação da API REST, ver exemplos de código e revisar eventos de log de auditoria associados a cada solicitação.\n\nPara que uma pessoa com uma identidade no sistema de gerenciamento de identidades possa acessar a empresa, você deverá criar o usuário correspondente. Sua empresa não exige uma licença disponível para provisionar uma nova conta de usuário.\n\n* Para obter uma visão geral dos atributos com suporte para usuários, confira [SCIM](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#supported-scim-user-attributes) na documentação da API REST.\n* Você pode exibir usuários provisionados na interface do usuário do GitHub. Para saber mais, confira [Visualizar pessoas na sua empresa](/pt/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-people-in-your-enterprise).\n\n| Ação | Método | Ponto de extremidade e mais informações | Eventos no log de auditoria |\n| :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| Liste todos os usuários provisionados da empresa, que inclui todos os usuários desprovisionados controladamente, definindo `active` como `false`. | `GET` | [`/scim/v2/enterprises/{enterprise}/Users`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#list-scim-provisioned-identities-for-an-enterprise) | N/D |\n| Crie um usuário. A resposta da API inclui um campo `id` para identificar exclusivamente o usuário. | `POST` | [`/scim/v2/enterprises/{enterprise}/Users`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#provision-a-scim-enterprise-user) | - `external_identity.provision`
- `user.create`
- Se a solicitação adicionar a função `enterprise_owner`, `business.add_admin`
- Se a solicitação adicionar a função `billing_manager`, `business.add_billing_manager`
- Se a solicitação for bem-sucedida, `external_identity.scim_api_success`
- Se a solicitação apresentar falhas, `external_identity.scim_api_failure`
|\n| Recupere um usuário existente na empresa usando o campo `id` da solicitação `POST` enviada para a criação do usuário. | `GET` | [`/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#get-scim-provisioning-information-for-an-enterprise-user) | N/D |\n| Atualize todos os atributos de um usuário existente usando o campo `id` da solicitação `POST` enviada para a criação do usuário. Atualize `active` para `false` para desprovisionamento controlado do usuário ou `true` para reativá-lo. Para obter mais informações, confira [Desprovisionamento controlado de usuários usando a API REST](#soft-deprovisioning-users-with-the-rest-api) e [Reativar usuários com a API REST](#reactivating-users-with-the-rest-api). | `PUT` | [`/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#set-scim-information-for-a-provisioned-enterprise-user) | - `external_identity.update`, a menos que esteja realizando desprovisionamento controlado ou reprovisionamento
- Se a solicitação adicionar a função `enterprise_owner`, `business.add_admin`
- Se a solicitação adicionar `billing_manager`, `business.add_billing_manager`
- Se a solicitação remover a função `enterprise_owner`, `business.remove_admin`
- Se a solicitação remover a função `billing_manager`, `business.remove_billing_manager`
- Se a solicitação for bem-sucedida, `external_identity.scim_api_success`
- Se a solicitação apresentar falhas, `external_identity.scim_api_failure`
|\n| Atualize um atributo individual para um usuário existente usando o campo `id` da solicitação `POST` enviada para a criação do usuário. Atualize `active` para `false` para desprovisionamento controlado do usuário ou `true` para reativá-lo. Para obter mais informações, confira [Desprovisionamento controlado de usuários usando a API REST](#soft-deprovisioning-users-with-the-rest-api) e [Reativar usuários com a API REST](#reactivating-users-with-the-rest-api). | `PATCH` | [`/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#update-an-attribute-for-a-scim-enterprise-user) | - `external_identity.update`, a menos que esteja realizando desprovisionamento controlado ou reprovisionamento
- Se a solicitação adicionar a função `enterprise_owner`, `business.add_admin`
- Se a solicitação adicionar `billing_manager`, `business.add_billing_manager`
- Se a solicitação remover a função `enterprise_owner`, `business.remove_admin`
- Se a solicitação remover a função `billing_manager`, `business.remove_billing_manager`
- Se a solicitação for bem-sucedida, `external_identity.scim_api_success`
- Se a solicitação apresentar falhas, `external_identity.scim_api_failure`
|\n| Para suspender de forma permanente um usuário existente, você pode desprovisioná-lo. Após esse desprovisionamento, não será possível reativar o usuário e você deverá provisioná-lo como um novo usuário. Para obter mais informações, confira [Desprovisionamento rigoroso de usuários com a API REST](#hard-deprovisioning-users-with-the-rest-api). | `DELETE` | [`/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#delete-a-scim-user-from-an-enterprise) | - `external_identity.deprovision`
- `user.remove_email`
- Se a solicitação for bem-sucedida, `external_identity.scim_api_success`
- Se a solicitação apresentar falhas, `external_identity.scim_api_failure`
|\n\n## Desprovisionamento suave de usuários usando a API REST\n\nPara impedir que um usuário inicie uma sessão para acessar a empresa, você pode desprovisioná-lo controladamente enviando uma solicitação `PUT` ou `PATCH` para atualizar o campo `active` do usuário de `false` para `/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`. Quando você desprovisiona temporariamente um usuário, o GitHub oculta os campos `login` e `email` dos registros do usuário e ele é suspenso.\n\n## Reativar usuários com a API REST\n\nPara permitir que um usuário desprovisionado controladamente inicie uma sessão para acessar a empresa, cancele a suspensão do usuário enviando uma solicitação `PUT` ou `PATCH` para `/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}` que atualize o campo `active` do usuário para `true`.\n\n## Desprovisionamento completo de usuários usando a API REST\n\n> \\[!IMPORTANT] O desprovisionamento permanente é uma ação irreversível que suspende em caráter definitivo a conta do GitHub de um usuário. Confira [Noções básicas sobre os efeitos do desprovisionamento](#understand-the-effects-of-deprovisioning).\n\nVocê pode desprovisionar o usuário enviando uma solicitação `DELETE` para `/scim/v2/enterprises/{enterprise}/Users/{scim_user_id}`. A empresa reterá todos os recursos e comentários criados pelo usuário.\n\n## Provisionamento de grupos usando a API REST\n\nPara controlar o acesso a repositórios em sua empresa, você pode usar grupos no sistema de gerenciamento de identidades para controlar a associação da organização e da equipe para usuários da empresa. Você pode ler sobre os pontos de extremidade de API associados na documentação da API REST, ver exemplos de código e revisar eventos de log de auditoria associados a cada solicitação.\n\nEmbora sua empresa não exija uma licença disponível para provisionar uma nova conta de usuário, se você provisionar um grupo que resulte na adição de usuários a uma organização, será necessário ter licenças disponíveis para esses usuários. Se sua empresa usar apenas o Assinaturas do Visual Studio com GitHub Enterprise, o usuário associado deverá ser atribuído a um assinante. Para saber mais, confira [Sobre assinaturas do Visual Studio com GitHub Enterprise](/pt/enterprise-cloud@latest/billing/managing-billing-for-your-products/managing-licenses-for-visual-studio-subscriptions-with-github-enterprise/about-visual-studio-subscriptions-with-github-enterprise#about-licenses-for-visual-studio-subscriptions-with-github-enterprise).\n\n* Para obter uma visão geral dos atributos com suporte para grupos, consulte [SCIM](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#supported-scim-group-attributes) na documentação da API REST.\n* Para obter uma visão geral dos eventos de log de auditoria relacionados a grupos, confira [Auditar eventos de log para sua empresa](/pt/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/audit-log-events-for-your-enterprise#external_group).\n* Você pode exibir grupos provisionados na interface do usuário do GitHub. Para saber mais, confira [Gerenciando associações de equipes com grupos de provedores de identidade](/pt/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/managing-team-memberships-with-identity-provider-groups#viewing-idp-groups-group-membership-and-connected-teams).\n\n| Ação | Método | Ponto de extremidade e mais informações | Eventos relacionados no log de auditoria |\n| :---------------------------------------------------------------------------------------------------------------------------------------------- | :------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| Liste todos os grupos definidos para a empresa. | `GET` | [`/scim/v2/enterprises/{enterprise}/Groups`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#list-provisioned-scim-groups-for-an-enterprise) | N/D |\n| Para definir um novo grupo de IdP para a empresa, crie o grupo. A resposta da API inclui um campo `id` para identificar exclusivamente o grupo. | `POST` | [`/scim/v2/enterprises/{enterprise}/Groups`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#provision-a-scim-enterprise-group) | - `external_group.provision`
- `external_group.update_display_name`
- Se a solicitação incluir uma lista de usuários, `external_group.add_member`
- Se a solicitação for bem-sucedida, `external_group.scim_api_success`
- Se a solicitação apresentar falhas, `external_group.scim_api_failure`
|\n| Recupere um grupo existente na empresa usando `id` da solicitação `POST` enviada para a criação do grupo. | `GET` | [`/scim/v2/enterprises/{enterprise}/Groups/{scim_group_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#get-scim-provisioning-information-for-an-enterprise-group) | N/D |\n| Atualize todos os atributos de um grupo existente. | `PUT` | [`/scim/v2/enterprises/{enterprise}/Groups/{scim_group_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#set-scim-information-for-a-provisioned-enterprise-group) | - `external_group.update`
- Se a solicitação atualizar o nome do grupo, `external_group.update_display_name`
- Se a solicitação adicionar um usuário ao grupo, `external_group.add_member`
- Se a solicitação remover um usuário do grupo, `external_group.remove_member`
- Se a solicitação for bem-sucedida, `external_group.scim_api_success`
- Se a solicitação apresentar falhas, `external_group.scim_api_failure`
- Podem surgir eventos adicionais no log de auditoria caso o usuário já seja membro da organização com a equipe vinculada ao grupo do IdP. Para saber mais, confira [Eventos de log de auditoria adicionais para alterações em grupos do IdP](#additional-audit-log-events-for-changes-to-idp-groups).
|\n| Atualize um atributo individual para um grupo existente. | `PATCH` | [`/scim/v2/enterprises/{enterprise}/Groups/{scim_group_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#update-an-attribute-for-a-scim-enterprise-group) | - `external_group.update`
- Se a solicitação atualizar o nome do grupo, `external_group.update_display_name`
- Se a solicitação adicionar um usuário ao grupo, `external_group.add_member`
- Se a solicitação remover um usuário do grupo, `external_group.remove_member`
- Se a solicitação for bem-sucedida, `external_group.scim_api_success`
- Se a solicitação apresentar falhas, `external_group.scim_api_failure`
- Podem surgir eventos adicionais no log de auditoria caso o usuário já seja membro da organização com a equipe vinculada ao grupo do IdP. Para saber mais, confira [Eventos de log de auditoria adicionais para alterações em grupos do IdP](#additional-audit-log-events-for-changes-to-idp-groups).
|\n| Excluir completamente um grupo existente. | `DELETE` | [`/scim/v2/enterprises/{enterprise}/Groups/{scim_group_id}`](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#delete-a-scim-group-from-an-enterprise) | - `external_group.delete`
- Se a solicitação excluir um grupo vinculado a uma equipe em uma organização na qual o usuário não possui outra associação de equipe, `org.remove_member`
- Se a solicitação excluir um grupo vinculado a uma equipe em uma organização na qual o usuário possui outra associação de equipe, `team.remove_member`
- Se a solicitação for bem-sucedida, `external_group.scim_api_success`
- Se a solicitação apresentar falhas, `external_group.scim_api_failure`
|\n\n### Eventos de log de auditoria adicionais para alterações em grupos do IdP\n\nSe você atualizar os membros de um grupo existente usando uma solicitação `PUT` ou `PATCH` para `/scim/v2/enterprises/{enterprise}/Groups/{scim_group_id}`, o GitHub poderá adicionar o usuário à organização ou removê-lo, dependendo da associação atual do usuário na organização. Se o usuário já for membro de pelo menos uma equipe na organização, ele será membro da organização. Se o usuário não for membro de nenhuma equipe na organização, ele provavelmente também não é membro da organização.\n\nSe sua solicitação atualizar um grupo vinculado a uma equipe em uma organização na qual um usuário ainda não é membro, além de `external_group.update`, os seguintes eventos aparecerão no log de auditoria:\n\n* `org.add_member`\n* Se a solicitação adicionar um usuário a um grupo vinculado a uma equipe em uma organização da qual o usuário ainda não é membro, `org.add_member`\n* Se a solicitação adicionar o usuário a um grupo vinculado a uma equipe em uma organização, `team.add_member`\n\nSe sua solicitação atualizar um grupo vinculado a uma equipe em uma organização na qual um usuário já é membro, além de `external_group.update`, os seguintes eventos aparecerão no log de auditoria:\n\n* Se a solicitação remover o usuário de um grupo vinculado a uma equipe em uma organização e a equipe não for a última equipe da organização da qual o usuário é membro, `team.remove_member`\n* Se a solicitação remover um usuário de um grupo vinculado à última equipe em uma organização da qual o usuário já é membro, `org.remove_member`\n\n## Migrar para um novo provedor SCIM\n\nApós configurar o provisionamento do SCIM para a empresa, talvez seja necessário migrar para um novo provedor SCIM. Para saber mais, confira [Como migrar a empresa para um novo provedor de identidade ou locatário](/pt/enterprise-cloud@latest/admin/identity-and-access-management/reconfiguring-iam-for-enterprise-managed-users/migrating-your-enterprise-to-a-new-identity-provider-or-tenant).\n\n## Solução de problemas de provisionamento do SCIM\n\n* Se as suas solicitações à API REST tiverem limitação de taxa, saiba mais em [Compreender as limitações de taxa no GitHub](#understand-rate-limits-on-github).\n\n* Todas as solicitações SCIM recebidas pelo GitHub, com exceção de solicitações `GET` HTTP bem-sucedidas, gerarão um evento de [log de auditoria](/pt/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/audit-log-events-for-your-enterprise#external_identity). Esses logs conterão informações úteis sobre o resultado da solicitação, informações de conteúdo e erros. Esses logs podem ser usados para determinar se o GitHub recebeu uma solicitação SCIM e solucionar problemas de falhas da API.\n * Para determinar se um usuário foi provisionado, você pode usar a seguinte consulta do log de auditoria: `action:external_identity.provision user:USERNAME_SHORTCODE`\n * Se você não encontrar um usuário usando a consulta acima, poderá pesquisar eventos `action:external_identity.scim_api_failure` na data em que esperava ter recebido a solicitação.\n\n* Se uma solicitação do SCIM falhar e você não conseguir determinar a causa, verifique o status do sistema de gerenciamento de identidades para garantir que os serviços estejam disponíveis. Além disso, verifique a página de status do GitHub. Para saber mais, confira [Sobre GitHub suporte](/pt/enterprise-cloud@latest/support/learning-about-github-support/about-github-support#about-github-status).\n\n* Se uma solicitação de provisionamento de um usuário falhar com o erro `400` e a mensagem de erro no log do sistema de gerenciamento de identidades indicar problemas com a propriedade da conta ou a formatação do nome de usuário, consulte [Considerações de nome de usuário para autenticação externa](/pt/enterprise-cloud@latest/admin/identity-and-access-management/iam-configuration-reference/username-considerations-for-external-authentication).\n\n* Após a autenticação bem-sucedida, o GitHub vincula o usuário autenticado a uma identidade provisionada pelo SCIM. Os identificadores exclusivos para autenticação e provisionamento devem corresponder. Para obter mais informações, consulte [Pontos de extremidade da API REST para SCIM](/pt/enterprise-cloud@latest/rest/enterprise-admin/scim#mapping-of-saml-and-scim-data). Você também pode exibir esse mapeamento em GitHub. Confira [Visualizar e gerenciar o acesso SAML de um usuário à sua empresa](/pt/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-a-linked-identity).\n\n* Se você gerenciar o acesso usando grupos no sistema de gerenciamento de identidades, poderá solucionar problemas usando a API REST ou a interface do usuário Web do GitHub.\n\n * Você pode usar a API REST para comparar as associações de grupo do sistema de gerenciamento de identidades com a interpretação desses grupos pelo GitHub. Confira [Endpoints de API REST para grupos externos](/pt/enterprise-cloud@latest/rest/teams/external-groups#about-external-groups) e [Endpoints de API REST para equipes](/pt/enterprise-cloud@latest/rest/teams/teams#get-a-team-by-name).\n * Para obter mais informações sobre como solucionar problemas usando a interface do usuário Web, consulte [Solucionar problemas de subscrição de equipe com grupos de provedores de identidade](/pt/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/troubleshooting-team-membership-with-identity-provider-groups).\n\nPara obter sugestões adicionais de solução de problemas, confira [Solução de problemas de gerenciamento de identidade e acesso da empresa](/pt/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/troubleshooting-identity-and-access-management-for-your-enterprise#scim-provisioning-errors)."}