Configuration de l’authentification unique SAML pour Enterprise Managed Users

À propos de l’authentification unique (SSO) SAML pour Enterprise Managed Users

Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com doit être authentifié par le biais de votre fournisseur d’identité (IdP). Au lieu de se connecter à GitHub avec un nom d’utilisateur et un mot de passe GitHub, les membres de votre entreprise se connectent par le biais de votre IdP.

Nous vous recommandons de stocker vos codes de récupération une fois l’authentification unique (SSO) SAML configurée pour que vous puissiez récupérer l’accès à votre entreprise en cas d’indisponibilité de votre fournisseur d’identité.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Prérequis

• Vérifiez que vous comprenez les exigences d’intégration et le niveau de prise en charge de votre fournisseur d’identité. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

• Votre fournisseur d’identité doit respecter la spécification SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

• Pour configurer l’authentification unique (SSO) SAML pour votre fournisseur d’identité avec Enterprise Managed Users, vous devez disposer d’un accès client et administratif sur votre fournisseur d’identité.

• Une fois la configuration initiale de l’authentification et de l’approvisionnement terminée, GitHub ne recommande pas de migrer vers une autre plateforme pour ces deux fonctionnalités. Si vous devez migrer une entreprise existante vers une autre plateforme pour l’authentification ou l’approvisionnement, contactez votre responsable de compte sur L’équipe commerciale GitHub.

Configuration de l’authentification unique (SSO) SAML pour Enterprise Managed Users

Afin de configurer l’authentification unique (SSO) SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub.com. Après avoir configuré l’authentification unique SAML, vous pouvez configurer le provisionnement d’utilisateur.

1. Configurer votre fournisseur d’identité
2. Configurer votre entreprise
3. Activer l’approvisionnement

Configuration de votre fournisseur d’identité

1. Si vous utilisez un fournisseur d’identité partenaire, pour installer l’application GitHub Enterprise Managed User, cliquez sur l’un des liens suivants.

   • Application Azure AD dans la Place de marché Azure

   • Application Okta dans le répertoire d’intégrations d’Okta

   • Site web des téléchargements PingFederate

     • Pour télécharger le connecteur PingFederate, accédez à l’onglet Modules complémentaires et sélectionnez GitHub EMU Connector 1.0.

2. Pour configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, lisez la documentation suivante. Si vous n’utilisez pas de fournisseur d’identité partenaire, vous pouvez utiliser la référence de configuration SAML pour GitHub Enterprise Cloud afin de créer et de configurer une application SAML 2.0 générique sur votre fournisseur d’identité.

   • Instructions pour Azure AD dans la documentation Azure AD
   • Instructions pour Okta dans la documentation Okta
   • Instructions PingFederate dans la documentation PingIdentity
   • « Référence de configuration SAML »

3. Pour tester et configurer votre entreprise, affectez l’utilisateur qui configurera l’authentification unique (SSO) SAML pour votre entreprise sur GitHub.com ou vous-même à l’application que vous avez configurée pour Enterprise Managed Users sur votre fournisseur d’identité.

4. Pour poursuivre la configuration de votre entreprise sur GitHub.com, recherchez les informations suivantes sur l’application que vous avez installée sur votre fournisseur d’identité et notez-les.

   Valeur	Autres noms	Description
   URL de connexion IdP	URL de connexion, URL de l’IdP	URL de l’application sur votre IdP
   URL d’identificateur de l’IdP	Émetteur	Identificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML
   Certificat de signature, encodé en Base64	Certificat public	Certificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification

Configuration de votre entreprise

Après avoir configuré l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, vous pouvez configurer votre entreprise sur GitHub.com.

Après la configuration initiale de l’authentification unique (SSO) SAML, le seul paramètre que vous pouvez mettre à jour sur GitHub.com pour votre configuration SAML existante est le certificat SAML. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Disabling authentication for Enterprise Managed Users ».

1. Connectez-vous à GitHub.com en tant qu’utilisateur de configuration de votre entreprise avec le nom d’utilisateur @SHORT-CODE_admin , en remplaçant SHORT-CODE par le code court de votre entreprise.

   Remarque : Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.

2. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

4. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

5. Sous Paramètres, cliquez sur Sécurité de l’authentification.

6. Sous « Authentification unique SAML », sélectionnez Exiger l’authentification SAML.

7. Sous URL de connexion, saisissez le point de terminaison HTTPS de votre fournisseur d’identité pour les demandes SSO que vous avez notées au moment de la configuration du fournisseur d’identité.

8. Sous Émetteur, saisissez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.

9. Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.

10. Sous votre certificat public, à droite des méthodes de signature et de synthèse actuelles, cliquez sur .

    

11. Sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.

12. Avant d’activer l’authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.

13. Cliquez sur Enregistrer.

    Remarque : une fois que vous exigez l’authentification unique (SSO) SAML pour votre entreprise, l’utilisateur de configuration n’aura plus accès à l’entreprise, mais restera connecté à GitHub. Seuls les comptes d’utilisateur managés provisionnés par votre fournisseur d’identité auront accès à l’entreprise.

14. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub.com si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

Activation de l'approvisionnement

Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

Activation des collaborateurs invités

Si votre entreprise utilise Enterprise Managed Users, vous pouvez utiliser le rôle de collaborateur invité pour octroyer un accès limité aux fournisseurs et aux prestataires. Les collaborateurs invités sont approvisionnés par votre fournisseur d’identité et ont accès uniquement aux organisations ou référentiels spécifiques auxquels vous les ajoutez. Les collaborateurs invités ont accès uniquement aux référentiels internes au sein des organisations dont ils sont membres et aux dépôts privés auxquels ils sont expressément autorisés à accéder. Les collaborateurs invités ne verront jamais les référentiels internes d’une organisation dont ils ne sont pas membres. Pour plus d’informations, consultez « Rôles dans une entreprise ».

Si vous utilisez Azure AD ou Okta pour l’authentification SAML, vous devrez peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités.

Activation des collaborateurs invités si vous utilisez Azure AD

1. Connectez-vous au portail Azure.

2. Cliquez sur Identité.

3. Cliquez sur Applications.

4. Cliquez sur Applications d’entreprise.

5. Cliquez sur Toutes les applications.

6. Afficher les détails de votre application Enterprise Managed Users.

7. Dans la barre latérale de gauche, cliquez sur Utilisateurs et groupes.

8. Affichez l’inscription d’application.

   • Si l’inscription d’application affiche les rôles Utilisateur avec accès restreint ou Collaborateur invité, vous êtes prêt à inviter des collaborateurs invités dans votre entreprise.
   • Si l’inscription d’application n’affiche pas ces rôles, passez à l’étape suivante.

9. Dans le portail Azure, cliquez sur Inscriptions d’applications.

10. Cliquez sur Toutes les applications, puis utilisez la barre de recherche pour rechercher votre application pour Enterprise Managed Users.

11. Cliquez sur votre application SAML.

12. Dans la barre latérale de gauche, cliquez sur Manifeste.

13. Sous appRoles, ajoutez les éléments suivants :

    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Guest Collaborator",
      "displayName": "Guest Collaborator",
      "id": "1ebc4a02-e56c-43a6-92a5-02ee09b90824",
      "isEnabled": true,
      "lang": null,
      "origin": "Application",
      "value": "null"
    },
    

    Remarque : la valeur id est essentielle. Si une autre valeur id est présente, la mise à jour échoue.

14. Cliquez sur Enregistrer.

Activation des collaborateurs invités pour votre entreprise avec Okta

Pour ajouter le rôle de collaborateur invité à votre application Okta :

1. Accédez à votre application pour Enterprise Managed Users sur Okta.

2. Cliquez sur Approvisionnement.

3. Cliquez sur Accéder à l’éditeur de profils.

4. Recherchez Rôles en bas de l’éditeur de profils, puis cliquez sur l’icône de modification.

5. Ajoutez un nouveau rôle.

   • Pour Nom complet, saisissez Guest Collaborator.
   • Pour Valeur, saisissez guest_collaborator.

6. Cliquez sur Enregistrer.

Ajout de collaborateurs invités à votre entreprise

Après avoir activé les collaborateurs invités pour votre entreprise, vous pouvez ajouter des collaborateurs invités à votre entreprise. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».