GitHub Enterprise Server에서 SCIM을 사용하여 사용자 프로비저닝 정보

GitHub Enterprise Server 인스턴스에서 SCIM을 통해 사용자 계정의 수명 주기를 관리하는 방법을 알아봅니다.

이 기사에서

참고

SCIM 지원은 GitHub Enterprise Server의 이 버전에서 공개 미리 보기로 제공됩니다. SCIM 지원은 일반적으로 버전 3.17 이상에서 사용할 수 있습니다.

GitHub Enterprise Server에 대한 사용자 프로비전 정보

GitHub Enterprise Server 인스턴스에서 SAML Single Sign-On (SSO)를 사용하는 경우, SCIM을 구성하여 IDP의 애플리케이션 할당 상태에 따라 사용자 계정을 자동으로 생성 또는 일시 중단하고 인스턴스 액세스 권한을 관리할 수 있습니다. SCIM에 관한 자세한 내용은 IETF 웹 사이트에서 SCIM(System for Cross-domain Identity Management): 프로토콜(RFC 7644)을 참조하세요.

SCIM을 통한 사용자 프로비저닝을 구성하지 않을 경우, IdP는 사용자에게 애플리케이션을 할당하거나 할당 해제할 때 GitHub Enterprise Server와 자동으로 통신하지 않습니다. SCIM을 사용하지 않는 경우, 사용자가 처음으로 GitHub Enterprise Server에 접속하여 IdP 인증을 통해 로그인할 때 SAML JIT(Just-In-Time) 프로비저닝을 통해 사용자 계정이 생성됩니다.

엔터프라이즈에 대한 프로비전을 구성하려면 GitHub Enterprise Server에서 프로비전을 사용하도록 설정해야 합니다. 그 다음, IdP에 프로비전 애플리케이션을 설치 및 구성하거나 SCIM에 대한 GitHub의 REST API 엔드포인트를 사용하여 수동으로 SCIM 프로비전을 구성합니다.

지원되는 ID 공급자

GitHub는 일부 ID 관리 시스템 개발자와 협력하여 GitHub Enterprise Server와의 "포장된 경로" 통합을 제공합니다. 구성을 간소화하고 완전한 지원을 보장하기 위해, 인증 및 프로비전 모두에 단일 파트너 IdP를 사용합니다.

파트너 ID 공급자

다음 IDP는 파트너 IDP입니다. SAML 인증과 SCIM 프로비저닝을 모두 구성하는 데 사용할 수 있는 애플리케이션을 제공합니다.

  • Microsoft Entra ID
  • Okta
  • PingFederate (공개 미리 보기)

인증 및 프로비저닝 모두에 단일 파트너 IdP를 사용하는 경우 GitHub은(는) 파트너 IdP의 애플리케이션과 GitHub의 IdP 통합을 지원합니다. SAML 인증 및 SCIM 프로비전 모두에 동일한 애플리케이션을 사용해야 합니다. PingFederate 지원은 공개 미리 보기 버전입니다.

Azure Government Entra ID를 사용하는 경우 지원되는 파트너 애플리케이션이 없습니다.

다른 ID 관리 시스템

인증과 프로비전 모두에 단일 파트너 IdP를 사용할 수 없는 경우, 다른 ID 관리 시스템을 사용하거나 여러 시스템을 조합해 사용할 수 있습니다. 시스템은 다음을 수행해야 합니다.

SCIM을 활용한 사용자 수명 주기 관리 방법은 무엇인가요?

SCIM을 사용하면 IdP에서 사용자 계정의 수명 주기를 관리할 수 있습니다.

  • 새 사용자를 프로비전하면 IdP는 GitHub Enterprise Server 인스턴스에서 계정을 만들고 사용자에게 온보딩 이메일을 보내라는 메시지를 표시합니다. IdP에서 애플리케이션에 그룹을 할당하는 경우 IdP는 그룹의 모든 구성원에 대한 계정을 프로비저닝합니다.
  • IdP에서 사용자 ID와 관련된 정보를 업데이트하면 IdP가 GitHub의 사용자 계정을 업데이트합니다.
  • IdP 애플리케이션에서 사용자를 할당 해제하거나 IdP에서 사용자 계정을 비활성화하면 IdP는 GitHub과(와) 통신하여 모든 세션을 무효화하고 구성원의 계정을 비활성화합니다. 사용하지 않도록 설정된 계정의 정보는 유지되며 사용자 이름은 원래 사용자 이름의 해시로 변경됩니다.
  • 사용자를 IdP 애플리케이션에 다시 할당하거나 IdP에서 계정을 다시 활성화하면 사용자 계정이 다시 활성화되고 사용자 이름이 복원됩니다.

팀과 조직 멤버십, 리포지토리 액세스, 권한을 구성하려면 IdP에서 그룹을 사용할 수 있습니다. 자세한 내용은 ID 공급자 그룹을 사용하여 팀 멤버 자격 관리을(를) 참조하세요.

SCIM을 활성화하면 GitHub Enterprise Server에서 SCIM으로 프로비저닝된 사용자를 직접 삭제, 일시 중단 또는 승격할 수 없습니다. IdP에서 이러한 프로세스를 관리해야 합니다.

일시 중단된 구성원을 보려면 엔터프라이즈 설정의 “일시 중단된 구성원” 탭으로 이동합니다. GitHub Enterprise Server에서 SCIM이 활성화되어 있으면 이 페이지가 표시됩니다.

  1. GitHub Enterprise Server의 오른쪽 위 모서리에서 프로필 사진과 Enterprise settings를 차례로 클릭합니다.
  2. 페이지 왼쪽에 있는 엔터프라이즈 계정 사이드바에서 사람을 클릭합니다.
  3.        **일시 중단된 구성원**을 클릭합니다.

SCIM 기능을 활성화하면 어떤 변화가 생기나요?

현재 SAML SSO를 사용 중이며 SCIM을 활성화하려는 경우, SCIM이 활성화된 후 GitHub Enterprise Server의 기존 사용자 계정에 어떤 변화가 발생하는지 미리 알아두어야 합니다.

  • SAML 매핑을 사용하는 기존 사용자는 SCIM을 통해 해당 사용자의 ID가 프로비저닝될 때까지 로그인할 수 없습니다.
  •         **기본 제공 인증** 으로 생성된 기존 사용자는 **기본 제공 인증** 이 계속 활성화되어 있는 경우에만 로그인할 수 있습니다.
  • 인스턴스가 SCIM 요청을 받으면 SCIM의 userName 속성 값과 GitHub Enterprise Server의 사용자 이름을 비교하여 SCIM ID가 기존 사용자와 일치됩니다. 즉, 기존 GitHub Enterprise Server 사용자 계정은 로컬에서 직접 생성되었든 SAML JIT 프로비저닝을 통해 생성되었든 상관없이, 이 두 값이 일치하면 SCIM으로 연결된 계정으로 변환할 수 있습니다.
    • 일치하는 사용자 이름을 가진 계정이 존재할 경우, GitHub Enterprise Server는 해당 계정에 SCIM ID를 연결합니다.
    • 일치하는 사용자 이름을 가진 사용자 계정이 없으면 GitHub Enterprise Server가 새 사용자 계정을 만들고 이를 해당 SCIM ID에 연결합니다.
  • GitHub에서 SAML을 통해 인증하는 사용자를 기존 사용자 계정과 성공적으로 일치시켰지만 이메일 주소, 이름, 성과 같은 계정 세부 정보가 일치하지 않는 경우, 인스턴스는 세부 정보를 IdP 값으로 덮어씁니다. SCIM에서 프로비저닝된 기본 이메일 외에도 사용자 계정에 등록된 이메일 주소가 삭제됩니다.

SAML 인증 과정에서는 어떤 절차가 진행되나요?

IdP 관리자가 사용자에게 GitHub Enterprise Server 인스턴스에 대한 액세스 권한을 부여하면, 사용자는 IdP를 통해 인증하여 SAML SSO를 사용해 GitHub Enterprise Server에 액세스할 수 있습니다.

  • 사용자가 SAML을 통해 인증할 때, GitHub은(는) 사용자를 SAML ID와 연결하기 위해 IdP(또는 구성한 다른 값)의 정규화된 NameID 선언을 계정의 사용자 이름과 비교합니다. 정규화에 대한 자세한 내용은 외부 인증에 대한 사용자 이름 고려 사항을(를) 참조하세요.
  • 인스턴스에 일치하는 사용자 이름을 가진 계정이 없으면 사용자가 로그인할 수 없습니다.
    • GitHub Enterprise Server는 IDP의 SAML NameId 클레임과 인스턴스의 SCIM에서 프로비저닝된 각 사용자 계정에 대한 SCIM userName 속성을 비교합니다.
    • 또한 Entra ID를 사용하는 경우, GitHub Enterprise Server는 SAML 요청의 개체 식별자를 기존 SCIM 외부 ID와 비교합니다.
  • 환경에서 사용자를 고유하게 식별하는 데 NameID 을 사용하지 않는 경우, 사이트 관리자는 인스턴스에 사용자 정의 사용자 속성을 구성할 수 있습니다. GitHub Enterprise Server는 SCIM이 구성되면 이 매핑을 따릅니다. 사용자 특성 매핑에 대한 자세한 내용은 엔터프라이즈에 대한 SAML Single Sign-On 구성을(를) 참조하세요.

SCIM은 어떻게 비활성화되나요?

SCIM을 비활성화할 수 있는 다양한 방법에 대한 자세한 내용은 사용자에 대한 SCIM 프로비전 사용 안 함을(를) 참조하세요.

시작

SCIM을 시작하려면 다음을 수행하세요.

  1.        [AUTOTITLE](/admin/managing-iam/provisioning-user-accounts-with-scim/configuring-scim-provisioning-for-users)에서 사용할 IdP의 종류와 관계없이 필요한 초기 설정을 완료해 주세요.
  2. IdP에서 설정을 구성합니다.