What are Enterprise Managed Users in GitHub?
With Enterprise Managed Users, you manage the lifecycle and authentication of your users on GitHub.com or GHE.com from an external identity management system, or IdP:
- Your IdP provisions new user accounts on GitHub, with access to your enterprise.
- Users must authenticate on your IdP to access your enterprise's resources on GitHub.
- You control usernames, profile data, organization membership, and repository access from your IdP.
- If your enterprise uses OIDC SSO, GitHub will validate access to your enterprise and its resources using your IdP's Conditional Access Policy (CAP). See IdP の条件付きアクセス ポリシーのサポートについて.
- マネージド ユーザー アカウント cannot create public content or collaborate outside your enterprise. See マネージド ユーザー アカウントの機能と制限.
メモ
Enterprise Managed Users is not the best solution for every customer. To determine whether it's right for your enterprise, see Enterprise types for GitHub Enterprise Cloud.
How does EMUs integrate with identity management systems?
GitHub は、ID 管理システムの一部の開発者と提携し、Enterprise Managed Users との「舗装されたパス」統合を提供します。 構成を簡略化して完全なサポートを確保するため、認証とプロビジョニングの両方に単一のパートナー IdP を使用します。
What are partner identity providers?
Partner IdPs provide authentication using SAML or OIDC, and provide provisioning with System for Cross-domain Identity Management (SCIM).
| Partner IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
When you use a single partner IdP for both authentication and provisioning, GitHub provides support for the application on the partner IdP and the IdP's integration with GitHub.
Can I use identity management systems other than the supported partners?
If you cannot use a single partner IdP for both authentication and provisioning, you can use another identity management system or combination of systems. The system must:
- Adhere to GitHub's integration guidelines
- Provide authentication using SAML, adhering to SAML 2.0 specification
- Provide user lifecycle management using SCIM, adhering to the SCIM 2.0 specification and communicating with GitHub's REST API (see REST API を使用した SCIM でユーザーとグループのプロビジョニング)
GitHub は、認証とプロビジョニングのためにパートナー IdP の混在を明示的にサポートしていません。また、すべての ID 管理システムをテストしていません。 GitHub のサポート チームは、混合または未テストのシステムに関連する問題を支援できない場合があります。 ヘルプが必要な場合は、システムのドキュメント、サポート チーム、またはその他のリソースを参照する必要があります。
重要
SSO と SCIM に対する Okta と Entra ID の組み合わせ (順序は問いません) は、明示的にサポートされていません。 この組み合わせが構成されている場合、GitHub の SCIM API から、プロビジョニングの試行時に ID プロバイダーにエラーが返されます。
How are usernames and profile information managed for EMUs?
GitHub automatically creates a username for each developer by normalizing an identifier provided by your IdP. If the unique parts of the identifier are removed during normalization, a conflict may occur. See 外部認証のユーザー名に関する考慮事項.
The profile name and email address of a マネージド ユーザー アカウント is provided by the IdP:
- マネージド ユーザー アカウント cannot change their profile name or email address on GitHub.
- The IdP can only provide one email address.
- Changing a user's email address in your IdP will unlink the user from the contribution history associated with the old email address.
How are roles and access managed for EMUs?
In your IdP, you can give each マネージド ユーザー アカウント a role in your enterprise, such as member, owner, or guest collaborator. See Abilities of roles in an enterprise.
Organization memberships (and repository access) can be managed manually, or you can update memberships automatically using IdP groups. See ID プロバイダー グループを使用したチーム メンバーシップの管理.
How do マネージド ユーザー アカウント authenticate to GitHub?
The locations where マネージド ユーザー アカウント can authenticate to GitHub depends on how you configure authentication (SAML or OIDC). See Enterprise Managed Users による認証.
By default, when an unauthenticated user attempts to access your enterprise, GitHub displays a 404 error. You can optionally enable automatic redirects to single sign-on (SSO) instead. See Enterprise でセキュリティ設定のポリシーを適用する.