Enterprise Managed Users について

ID プロバイダー (IdP) から GitHub のユーザーのライフサイクルと認証を Enterprise が管理する方法について説明します。

この記事で

GitHub の Enterprise Managed Users とは

Enterprise Managed Users を使用すると、GitHub.com または GHE.com において、外部の ID 管理システムや IdP を通じてユーザーのライフサイクルと認証を管理することができます。

  • IdP は、GitHub において、企業にアクセスできる新しいユーザーアカウントをプロビジョニングします。
  • GitHub でエンタープライズ リソースにアクセスするには、ユーザーを IdP で認証する必要があります。
  • IdP からユーザー名、プロファイル データ、organization メンバーシップ、リポジトリへのアクセスを制御します。
  • エンタープライズが OIDC SSO を使っている場合、GitHub は、お客様の IdP の条件付きアクセス ポリシー (CAP) を使って、Enterprise とそのリソースへのアクセスを検証します。 「IdP の条件付きアクセス ポリシーのサポートについて」を参照してください。
  • マネージド ユーザー アカウント では、パブリック コンテンツを作成したり、企業外で共同作業を行ったりすることはできません。 「マネージド ユーザー アカウントの機能と制限」を参照してください。

メモ

Enterprise Managed Users は、すべての顧客に最適なソリューションではありません。 ご自分の Enterprise に適しているかどうかの判断については、「GitHub Enterprise Cloud におけるエンタープライズ種別の選択」をご覧ください。

ETU は ID 管理システムとどのように統合されますか?

GitHub は、ID 管理システムの一部の開発者と提携し、Enterprise Managed Users との「舗装されたパス」統合を提供します。 構成を簡略化して完全なサポートを確保するため、認証とプロビジョニングの両方に単一のパートナー IdP を使用します。

パートナー ID プロバイダーとは

パートナー IDP は、SAML または OIDC を使用して認証を提供し、クロスドメイン ID 管理システム (SCIM) を使用してプロビジョニングを提供します。

パートナー IdPSAMLOIDCSCIM
保守する
Okta
PingFederate

認証とプロビジョニングの両方に 1 つのパートナー IdP を使用するとき、GitHub は、パートナー IdP でのアプリケーションにサポートを提供し、GitHub との統合を実現します。

サポートされているパートナー以外の ID 管理システムを使用できますか?

認証とプロビジョニングの両方に 1 つのパートナー IdP を使用できない場合、別の ID 管理システムまたはシステムの組み合わせを使用できます。 システムは次の手順を実行する必要があります。

  •         **GitHub の統合ガイドライン**に従う
  • SAML 2.0 仕様に従って SAML を使用した認証を提供する
  •         **SCIM を使用したユーザー ライフサイクル管理**を提供し、SCIM 2.0 仕様に準拠して、GitHub の REST API と通信する ([「AUTOTITLE」](/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/provisioning-users-with-scim-using-the-rest-api)を参照)

GitHub は、認証とプロビジョニングのためにパートナー IdP の混在を明示的にサポートしていません。また、すべての ID 管理システムをテストしていません。 GitHub のサポート チームは、混合または未テストのシステムに関連する問題を支援できない場合があります。 ヘルプが必要な場合は、システムのドキュメント、サポート チーム、またはその他のリソースを参照する必要があります。

重要

SSO と SCIM に対する Okta と Entra ID の組み合わせ (順序は問いません) は、明示的にサポートされていません。 この組み合わせが構成されている場合、GitHub の SCIM API から、プロビジョニングの試行時に ID プロバイダーにエラーが返されます。

ESU のユーザー名とプロファイル情報はどのように管理されますか?

GitHub は、IdP から提供された識別子を正規化することにより、各開発者のユーザー名を自動的に作成します。 識別子の一意の部分が正規化中に削除されると、競合が発生する場合があります。 「外部認証のユーザー名に関する考慮事項」を参照してください。

マネージド ユーザー アカウントのプロフィール名とメール アドレスは IdP によって提供されます。

  • マネージド ユーザー アカウント は、GitHub 上のプロフィール名またはメール アドレスを変更_できません_。
  • IdP は、1 つのメール アドレスのみを指定できます。
  • IdP のユーザーのメール アドレスを変更すると、古いメール アドレスに関連付けられている投稿履歴からユーザーのリンクが解除されます。

EMU のロールとアクセスはどのように管理されますか?

IdP では、各 マネージド ユーザー アカウント に、メンバー、所有者、ゲスト コラボレーターなど、Enterprise 内のロールを付与できます。 「企業における役割の能力」を参照してください。

Organization メンバーシップ (およびリポジトリ アクセス) は、手動で管理することも、IdP グループを使用して自動的に更新することもできます。 「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

マネージド ユーザー アカウント が GitHub に対して認証される方法

マネージド ユーザー アカウント が GitHub に対して認証できる場所は、認証の構成方法 (SAML または OIDC) によって異なります。 「Enterprise Managed Users による認証」を参照してください。

既定では、認証されていないユーザーがお客様の Enterprise にアクセスしようとすると、GitHub に 404 エラーが表示されます。 必要に応じて、代わりにシングル サインオン (SSO) への自動リダイレクトを有効にすることができます。 「Enterprise でセキュリティ設定のポリシーを適用する」を参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/admin/identity-and-access-management/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users)