تفويض المستخدم

  • 7 دقائق

بعد مصادقة المستخدم بنجاح من خلال موفر الهوية (IdP) باستخدام تسجيل الدخول الأحادي (SSO) SAML، فإن الخطوة الهامة التالية هي التخويل - منح أدوات مثل رموز الوصول الشخصية (PATs) أو مفاتيح SSH أو تطبيقات OAuth مع القدرة على الوصول إلى موارد المؤسسة.

أتمتة تخويل المستخدم باستخدام SAML SSO وSCIM

تمكن لغة ترميز تأكيد الأمان (SAML) SSO مالكي المؤسسات والمؤسسات من التحكم في الوصول إلى موارد GitHub مثل المستودعات والمشكلات وطلبات السحب. يعمل دمج SCIM (نظام إدارة الهوية عبر المجالات) على تحسين التحكم في الوصول من خلال أتمتة تزويد المستخدمين وإلغاء حق الوصول.

لقطة شاشة لإعداد SCIM.

مع SCIM، يتم منح الموظفين الجدد الذين تمت إضافتهم إلى IdP الخاص بك حق الوصول إلى GitHub تلقائيا، بينما تتم إزالة المستخدمين المغادرين، ما يقلل من الخطوات اليدوية ويحسن الأمان.

إشعار

بدون SCIM، لا يدعم SAML SSO وحده إلغاء التزويد التلقائي لأعضاء المؤسسة.

يبطل SCIM أيضا الرموز المميزة التي لا معنى لها بعد انتهاء جلسة العمل، ما يقلل من مخاطر الأمان. بدون SCIM، يجب إلغاء الرموز المميزة القديمة يدويا.

إدارة مفاتيح SSH وPATs باستخدام SAML SSO

يعمل SAML SSO وSCIM معا لعكس تغييرات الهوية في GitHub. لدعم هذا التماسك:

  • NameID userName ويجب أن تتطابق بين SAML IdP وعميل SCIM.
  • تجميع التغييرات في تحديثات SCIM لمشغل IdP في GitHub.

يجب على المستخدمين الذين يصلون إلى واجهات برمجة التطبيقات أو Git استخدام مفتاح PAT أو SSH معتمد. هذه الأساليب قابلة للتدقيق ومرتبطة بأمان ب SAML SSO.

لقطة شاشة لمفتاح SSH.

لتبسيط الإعداد، قم بتوفير المستخدمين باستخدام: https://github.com/orgs/ORGANIZATION/sso/sign_up. عرض هذا الارتباط في لوحة معلومات IdP.

عندما يقوم المستخدمون بالمصادقة لأول مرة، يربط GitHub حسابهم وبيانات SCIM بمؤسستك. يمكن للمسؤولين لاحقا تدقيق الجلسات وبيانات الاعتماد أو إبطالها لأتمتة إلغاء الإلحاق.

تكامل SCIM مع GitHub

يبسط SCIM إدارة الهوية في GitHub Enterprise Cloud من خلال دعم كل من التكاملات الأصلية والتكوينات المخصصة.

موفرو SCIM المعتمدون

يدعم GitHub في الأصل:

  • Okta
  • معرف Microsoft Entra
  • OneLogin
  • هوية Ping
  • مساحة عمل Google

تضمن عمليات التكامل هذه تكوينا وتوافقا موثوقا به.

عمليات تكامل SCIM المخصصة

إذا لم يكن IdP الخاص بك مدعوما أصلا، فاستخدم واجهة برمجة تطبيقات SCIM الخاصة ب GitHub لإنشاء عمليات تكامل مخصصة.

نظرة عامة على واجهة برمجة تطبيقات SCIM

تتيح لك واجهة برمجة تطبيقات SCIM 2.0 ما يلي:

  • إنشاء المستخدمين وتحديثهم وحذفهم
  • إدارة مجموعات

مثال طلب توفير مستخدم

POST /scim/v2/Users
Content-Type: application/json

{
  "userName": "jdoe",
  "name": {
    "givenName": "John",
    "familyName": "Doe"
  },
  "emails": [
    {
      "value": "jdoe@example.com",
      "primary": true
    }
  ]
}

يعالج GitHub هذا الطلب ويضيف المستخدم إلى مؤسستك.

البدء

للموفرين المدعومين

  1. سجل الدخول إلى وحدة تحكم مسؤول IdP.
  2. تمكين تزويد SCIM.
  3. توفير عنوان URL الأساسي ل GitHub والرمز المميز للحامل.

لقطة شاشة لخطوات تكوين SCIM في وحدة التحكم الإدارية ل IdP.

بالنسبة إلى موفري IdPs المخصصين

  1. استخدم واجهة برمجة تطبيقات REST ل GitHub.
  2. المصادقة باستخدام PAT.
  3. اختبر التكامل مع طلبات العينة.

الفوائد الرئيسية ل SCIM Integration

  • توفير: إنشاء حسابات تلقائيا.
  • مستجدات: مزامنة الأدوار والأقسام.
  • إلغاء التوفير: قم بإزالة الوصول على الفور عند خروج المستخدم.

SCIM مقابل إدارة المستخدم اليدوية

الجانب إدارة SCIM-Based إدارة يدوية
اتمته أتمتة التوفير وإلغاء التوفير التدخل اليدوي مطلوب
الاتساق بيانات المستخدم الموحدة عبر الأنظمة خطر عدم التناسق
الأمان إلغاء تنشيط الوصول في الوقت المناسب الإبطالات المتأخرة أو الفائتة
قابلية التوسع مقاييس مع قواعد مستخدم كبيرة مرهق على نطاق واسع
الامتثال يساعد على تلبية متطلبات النهج والتدقيق من الصعب تتبعها والإبلاغ عنها

توصيل IdP الخاص بك ب GitHub

يمكنك استخدام موفر هوية مدعوم أو إحضار SAML 2.0 IdP الخاص بك.

موفري IdPs المدعومين (المسار الممهد)

  • Okta
  • معرف Microsoft Entra
  • مساحة عمل Google

بعض مزايا استخدام IdPs المدعومة هي:

  • اندماج
  • يدعم GitHub
  • جهد إعداد أقل

إحضار IdP الخاص بك

يتطلب إحضار IdP دعم SAML 2.0. فهو يتمتع بميزة السماح بالمرونة الكاملة.

خطوات التكامل

نوع ‏‏الخطوات
مسار معبد: 1. انتقل إلى إعدادات أمان المؤسسة.
2. حدد IdP الخاص بك.
3. اتبع إرشادات الإعداد.
موفر هوية مخصص: 1. انتقل إلى إعدادات الأمان.
2. اختر IdP المخصص.
3. أدخل بيانات تعريف SAML. 4. تحقق من صحة الاتصال.

مقارنة مسارات تكامل IdP

ميزة مسار معبد إحضار IdP الخاص بك
عملية الإعداد ✅ الإعداد الإرشادي ⚠️ التكوين اليدوي
المرونة ⚠️ يقتصر على IdPs المدرجة ✅ أي موفر هوية SAML 2.0
صيانة ✅ إدارة GitHub ⚠️ التي تديرها المؤسسة
التخصيص ⚠️ الحد الأدنى ✅ قابل للتخصيص بالكامل
تحديثات الدعم ✅ يدعم GitHub ⚠️ المدارة ذاتيا

إدارة الهويات والوصول

تكوين SAML SSO

  1. تكوين عنوان URL لتسجيل الدخول الأحادي إلى SAML.
  2. قم بتوفير شهادتك العامة.
  3. إضافة بيانات تعريف IdP.

إدارة بيانات الاعتماد

يجب تخويل PATs ومفاتيح SSH بشكل صريح وربطها بهويات IdP للوصول إلى موارد المؤسسة بشكل آمن.

تدقيق جلسات عمل SAML

  • عرض جلسات العمل النشطة في الإعدادات.
  • إبطال جلسات العمل الفردية حسب الحاجة.

اعتبارات عضوية GitHub

نوع الاعتبار
عضوية مثيل GitHub - الوصول إلى المستودعات العامة
- إنشاء مشاريع شخصية
- رؤية ملف التعريف العام
عضوية المؤسسة - الوصول الداخلي المستند إلى الدور
- ملف التعريف المرئي لمسؤولي المؤسسة
- قد يؤثر على الفوترة
عضويات مؤسسة متعددة - أدوار مختلفة عبر المؤسسات
- وصول أوسع إلى الموارد
- الإذن المعقد والفوترة
- يتطلب حوكمة صارمة