この記事では、自動ユーザー プロビジョニングを構成するために GitHub Enterprise Managed User と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成が完了すると、Microsoft Entra ID は Microsoft Entra プロビジョニング サービスを使用して、GitHub Enterprise Managed User へのユーザーとグループのプロビジョニングとプロビジョニング解除を自動的に実行します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
注
GitHub Enterprise Managed User (EMU) は、異なる種類の GitHub Enterprise アカウントです。 EMU インスタンスを特別に要求していない限り、標準の GitHub Enterprise Account になります。 その場合は、EMU 以外の組織でユーザー プロビジョニングを構成するための ドキュメント を参照してください。 ユーザー プロビジョニングは 標準の GitHub Enterprise アカウントではサポートされていませんが、GitHub Enterprise Managed User (EMU) の下の組織ではサポートされています。
サポートされる機能
- GitHub Enterprise Managed User でユーザーを作成する
- アクセスが不要になった場合に GitHub Enterprise Managed User のユーザーを削除する
- Microsoft Entra ID と GitHub Enterprise Managed User 間でユーザー属性の同期を維持する
- GitHub Enterprise Managed User でグループとグループ メンバーシップをプロビジョニングする
- GitHub Enterprise Managed User へシングル サインオンする (推奨)
前提条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- Microsoft Entra テナント
- アプリケーション管理者、クラウド アプリケーション管理者、またはアプリケーション所有者のいずれかのロール。
- Enterprise Managed User で GitHub Enterprise が有効にされ、Microsoft Entra テナントを介して SAML SSO でログインするように構成済みであること。
注
この統合は、Microsoft Entra US Government Cloud 環境からも利用できます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあります。パブリック クラウドの場合と同じように構成してください。
手順 1:プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみについて説明します。
- プロビジョニングのスコープに含めるユーザーを決定します。
- Microsoft Entra ID と GitHub Enterprise Managed User の間でマップするデータを決定します。
手順 2: Microsoft Entra ID によるプロビジョニングの構成を準備する
テナントの URL を特定します。 この値を、GitHub Enterprise Managed User アプリケーションの [プロビジョニング] タブにある [テナント URL] フィールドに入力します。
- GitHub.com のエンタープライズの場合、テナント URL は
https://api.github.com/scim/v2/enterprises/{enterprise}です。 - GHE.com のエンタープライズの場合、テナント URL は
https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain}です
- GitHub.com のエンタープライズの場合、テナント URL は
企業のセットアップ ユーザーの scim:enterprise スコープでトークンを作成していることを確認します。 この値を、GitHub Enterprise Managed User アプリケーションの [プロビジョニング] タブにある [シークレット トークン] フィールドに入力します。 GitHub Docs の エンタープライズ マネージド ユーザーの概要 を参照してください。
手順 3: Microsoft Entra アプリケーション ギャラリーから GitHub Enterprise Managed User を追加する
Microsoft Entra アプリケーション ギャラリーから GitHub Enterprise Enterprise Managed User を追加して、GitHub Enterprise Managed User へのプロビジョニングの管理を開始します。 SSO のために GitHub Enterprise Managed User を以前に設定している場合は、その同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからのアプリケーションの追加の詳細については、 こちらをご覧ください。
手順 4: プロビジョニングのスコープに含まれるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、 スコープ フィルターを使用できます。
小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。
手順 5: GitHub Enterprise Managed User への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザー/グループの割り当てに基づいて TestApp 内のユーザー/グループを作成、更新、無効にするよう、Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
Microsoft Entra ID: で GitHub Enterprise Managed User への自動ユーザー プロビジョニングを構成するには:
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>Enterprise アプリに移動する
![[エンタープライズ アプリケーション] ブレード](common/enterprise-applications.png)
アプリケーションの一覧で、 GitHub Enterprise Managed User を選択します。
[プロビジョニング] タブ を 選択します。
![[プロビジョニング] タブ](common/provisioning.png)
[プロビジョニング モード] を[自動] に設定します。
![[プロビジョニング] タブの [自動]](common/provisioning-automatic.png)
[ 管理者資格情報 ] セクションで、GitHub Enterprise マネージド ユーザー テナントの URL とシークレット トークンを入力します。 [ テスト接続] を選択して、Microsoft Entra ID が GitHub Enterprise Managed User に接続できることを確認します。 接続に失敗する場合は、GitHub Enterprise Managed User アカウントによてシークレット トークンがエンタープライズ所有者として作成されていることを確認し、やり直してください。
[ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクション で 、[ Microsoft Entra ユーザーを GitHub Enterprise Managed User に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から GitHub Enterprise Managed User に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作のために GitHub Enterprise Managed User のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、その属性に基づくユーザーのフィルター処理が GitHub Enterprise Managed User API でサポートされていることを確認する必要があります。 [ 保存 ] ボタンを選択して変更をコミットします。
属性 タイプ フィルター処理のサポート externalId 糸 ✓ ユーザー名 糸 活動中 ボーリアン roles 糸 displayName 糸 name.givenName 糸 name.familyName 糸 name.formatted 糸 emails[type eq "work"].value 糸 emails[type eq "home"].value 糸 emails[type eq "other"].value 糸 [マッピング] セクション で 、[ Microsoft Entra グループを GitHub Enterprise Managed User に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から GitHub Enterprise Managed User に同期されるグループ 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で GitHub Enterprise Managed User のグループとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。
属性 タイプ フィルター処理のサポート externalId 糸 ✓ displayName 糸 members 関連項目 スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 を参照してください。
GitHub Enterprise Managed User に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
![プロビジョニングの状態を [オン] に切り替える](common/provisioning-toggle-on.png)
[設定] セクションの [スコープ] で目的の値を選択して、GitHub Enterprise Managed User にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、[ 保存] を選択します。
この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
手順 6:デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、 アプリケーションプロビジョニングの検疫状態 に関する記事を参照してください。