Skip to main content

Configuration de l’authentification unique SAML pour Enterprise Managed Users

Vous pouvez gérer automatiquement l’accès à votre compte d’entreprise sur GitHub en configurant l’authentification unique (SAML) Security Assertion Markup Language (SAML).

Who can use this feature?

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

À propos de l’authentification unique (SSO) SAML pour Enterprise Managed Users

Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com doit être authentifié par le biais de votre fournisseur d’identité (IdP). Au lieu de se connecter à GitHub avec un nom d’utilisateur et un mot de passe GitHub, les membres de votre entreprise se connectent par le biais de votre IdP.

Nous vous recommandons de stocker vos codes de récupération une fois l’authentification unique (SSO) SAML configurée pour que vous puissiez récupérer l’accès à votre entreprise en cas d’indisponibilité de votre fournisseur d’identité.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Prérequis

  • Vérifiez que vous comprenez les exigences d’intégration et le niveau de prise en charge de votre fournisseur d’identité. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

  • Votre fournisseur d’identité doit respecter la spécification SAML 2.0. Pour plus d'informations, consultez le Wiki SAML sur le site web OASIS.

  • Pour configurer l’authentification unique (SSO) SAML pour votre fournisseur d’identité avec Enterprise Managed Users, vous devez disposer d’un accès client et administratif sur votre fournisseur d’identité.

  • Une fois la configuration initiale de l’authentification et de l’approvisionnement terminée, GitHub ne recommande pas de migrer vers une autre plateforme pour ces deux fonctionnalités. Si vous devez migrer une entreprise existante vers une autre plateforme pour l’authentification ou l’approvisionnement, contactez votre responsable de compte sur L’équipe commerciale GitHub.

Configuration de l’authentification unique (SSO) SAML pour Enterprise Managed Users

Afin de configurer l’authentification unique (SSO) SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub.com. Après avoir configuré l’authentification unique SAML, vous pouvez configurer le provisionnement d’utilisateur.

  1. Configurer votre fournisseur d’identité
  2. Configurer votre entreprise
  3. Activer l’approvisionnement

Configuration de votre fournisseur d’identité

  1. Si vous utilisez un fournisseur d’identité partenaire, pour installer l’application GitHub Enterprise Managed User, cliquez sur l’un des liens suivants.

  2. Pour configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, lisez la documentation suivante. Si vous n’utilisez pas de fournisseur d’identité partenaire, vous pouvez utiliser la référence de configuration SAML pour GitHub Enterprise Cloud afin de créer et de configurer une application SAML 2.0 générique sur votre fournisseur d’identité.

  3. Pour tester et configurer votre entreprise, affectez l’utilisateur qui configurera l’authentification unique (SSO) SAML pour votre entreprise sur GitHub.com ou vous-même à l’application que vous avez configurée pour Enterprise Managed Users sur votre fournisseur d’identité.

  4. Pour poursuivre la configuration de votre entreprise sur GitHub.com, recherchez les informations suivantes sur l’application que vous avez installée sur votre fournisseur d’identité et notez-les.

    ValeurAutres nomsDescription
    URL de connexion IdPURL de connexion, URL de l’IdPURL de l’application sur votre IdP
    URL d’identificateur de l’IdPÉmetteurIdentificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML
    Certificat de signature, encodé en Base64Certificat publicCertificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification

Configuration de votre entreprise

Après avoir configuré l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, vous pouvez configurer votre entreprise sur GitHub.com.

Après la configuration initiale de l’authentification unique (SSO) SAML, le seul paramètre que vous pouvez mettre à jour sur GitHub.com pour votre configuration SAML existante est le certificat SAML. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Disabling authentication for Enterprise Managed Users ».

  1. Connectez-vous à GitHub.com en tant qu’utilisateur de configuration de votre entreprise avec le nom d’utilisateur @SHORT-CODE_admin , en remplaçant SHORT-CODE par le code court de votre entreprise.

    Remarque : Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.

  2. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  5. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  6. Sous « Authentification unique SAML », sélectionnez Exiger l'authentification SAML.

  7. Sous URL de connexion, saisissez le point de terminaison HTTPS de votre fournisseur d’identité pour les demandes SSO que vous avez notées au moment de la configuration du fournisseur d’identité.

  8. Sous Émetteur, saisissez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.

  9. Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.

  10. Sous votre certificat public, à droite des méthodes de signature et de synthèse actuelles, cliquez sur .

    Capture d’écran de la méthode de signature et de la méthode de synthèse actuelles dans les paramètres SAML. L’icône représentant un crayon est mise en évidence à l’aide d’un rectangle orange.

  11. Sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.

  12. Avant d'activer l'authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.

  13. Cliquez sur Enregistrer.

    Remarque : une fois que vous exigez l’authentification unique (SSO) SAML pour votre entreprise, l’utilisateur de configuration n’aura plus accès à l’entreprise, mais restera connecté à GitHub. Seuls les comptes d’utilisateur managés provisionnés par votre fournisseur d’identité auront accès à l’entreprise.

  14. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub.com si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

Activation de l'approvisionnement

Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

Activation des collaborateurs invités

Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.

Si vous utilisez Entra ID ou Okta pour l’authentification SAML, il vous faudra peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités. Pour plus d’informations, consultez « Activation des collaborateurs invités ».