À propos de l’authentification pour votre entreprise
Les propriétaires d’entreprise sur GitHub Enterprise Cloud peuvent contrôler les exigences en matière d’authentification et d’accès aux ressources de l’entreprise.
Vous pouvez choisir d’autoriser les membres à créer et à gérer des comptes d’utilisateur, ou votre entreprise peut créer et gérer des comptes pour les membres avec Enterprise Managed Users. Si vous autorisez les membres à gérer leurs propres comptes, vous pouvez également configurer l’authentification SAML pour accroître la sécurité et centraliser l’identité et l’accès aux applications web que votre équipe utilise.
Après en avoir appris plus sur ces options, pour déterminer la méthode la mieux adaptée à votre entreprise, consultez « Identification de la meilleure méthode d’authentification pour votre entreprise ».
Méthodes d’authentification pour GitHub Enterprise Cloud
Les options suivantes sont disponibles pour la gestion des comptes et l’authentification sur GitHub Enterprise Cloud.
- Authentification via GitHub.com
- Authentification via GitHub.com avec une restriction d’accès SAML supplémentaire
- Authentication avec Enterprise Managed Users et la fédération
Authentification via GitHub.com
Par défaut, chaque membre doit créer un compte personnel sur GitHub.com. Vous accordez l’accès à votre entreprise, et le membre peut accéder aux ressources de votre entreprise après la connexion au compte sur GitHub.com. Le membre gère le compte et peut contribuer à d’autres entreprises, organisations et dépôts sur GitHub.com.
Authentification via GitHub.com avec une restriction d’accès SAML supplémentaire
Si vous configurez une restriction d’accès SAML supplémentaire, chaque membre doit créer et gérer un compte personnel sur GitHub.com. Vous accordez l’accès à votre entreprise, et le membre peut accéder aux ressources de votre entreprise après la connexion au compte sur GitHub.com et s’authentifier avec succès auprès de votre fournisseur d’identité SAML. Le membre peut contribuer à d’autres entreprises, organisations et dépôts sur GitHub.com à l’aide de son compte personnel. Pour plus d’informations sur la nécessité d’une authentification SAML pour tous les accès aux ressources de votre entreprise, consultez « À propos de SAML pour la gestion des identités et des accès d’entreprise ».
Vous pouvez choisir entre configurer SAML au niveau de l’entreprise, ce qui permet d’appliquer la même configuration SAML à toutes les organisations au sein de l’entreprise, ou configurer SAML séparément pour des organisations individuelles.
Décider de configurer SAML au niveau de l’entreprise ou au niveau de l’organisation
Si certains groupes de votre entreprise doivent utiliser différents fournisseurs d’authentification SAML pour accorder l’accès à vos ressources sur GitHub.com, vous pouvez configurer SAML pour des organisations individuelles. Vous avez la possibilité d’implémenter SAML pour vos organisations au fil du temps en permettant aux utilisateurs de s’authentifier progressivement à l’aide de SAML. Il est également envisageable d’exiger l’authentification SAML à une date donnée. Les membres de l’organisation qui ne s’authentifient pas à l’aide de SAML à cette date seront supprimés. Pour plus d’informations sur le protocole SAML au niveau de l’organisation, consultez « À propos de la gestion des identités et des accès avec l’authentification unique SAML ».
Si vous configurez SAML au niveau de l’organisation, les membres ne sont pas tenus de s’authentifier par le biais du protocole SAML pour accéder aux dépôts internes. Pour plus d’informations sur les dépôts internes, consultez « À propos des dépôts ».
Si vous avez besoin de protéger des dépôts internes ou d’appliquer une expérience d’authentification cohérente pour toutes les organisations de votre entreprise, vous pouvez plutôt configurer l’authentification SAML pour votre compte d’entreprise. La configuration SAML pour votre entreprise écrase celle des organisations individuelles. Par ailleurs, les organisations ne peuvent pas remplacer la configuration d’entreprise. Si SAML est configuré pour l’entreprise, les membres d’une organisation doivent s’authentifier avec SAML pour pouvoir accéder aux ressources de l’organisation, y compris aux dépôts internes.
SCIM n’est pas disponible pour les comptes d’entreprise et la synchronisation d’équipe est uniquement disponible pour SAML au niveau de l’entreprise si vous utilisez Azure AD comme fournisseur d’identité. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes dans votre entreprise ».
Quelle que soit l’implémentation SAML choisie, il n’est pas possible d’ajouter des collaborateurs externes à des organisations ni à des équipes, mais seulement à des référentiels individuels.
Authentication avec Enterprise Managed Users et la fédération
Si vous avez besoin de contrôler davantage les comptes de vos membres d’entreprise sur GitHub.com, vous pouvez utiliser Enterprise Managed Users. Avec Enterprise Managed Users, vous provisionnez et gérez les comptes pour vos membres d’entreprise sur GitHub.com à l’aide de votre fournisseur d’identité. Chaque membre se connecte à un compte que vous créez, et votre entreprise gère le compte. Les contributions au reste de GitHub.com sont limitées. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Identification de la meilleure méthode d’authentification pour votre entreprise
L’authentification unique SAML et Enterprise Managed Users renforcent tous deux la sécurité des ressources de votre entreprise. Enterprise Managed Users vous permet en outre de contrôler les comptes d’utilisateur des membres de votre entreprise et de restreindre ce que ces comptes peuvent faire. Toutefois, ces restrictions peuvent être inacceptables pour votre entreprise si elles obstruent les workflows de vos développeurs.
Pour déterminer si votre entreprise bénéficierait davantage de l’authentification unique SAML ou de Enterprise Managed Users, posez-vous les questions suivantes.
- Voulez-vous contrôler les comptes de vos utilisateurs ?
- Quel fournisseur d’identité votre entreprise utilise-t-elle ?
- Vos développeurs travaillent-ils dans des référentiels publics, des gists ou des sites GitHub Pages ?
- Vos développeurs s’appuient-ils sur la collaboration en dehors de votre entreprise ?
- Votre entreprise s’appuie-t-elle sur des collaborateurs externes ?
- Votre entreprise peut-elle tolérer les coûts de migration ?
Voulez-vous contrôler les comptes de vos utilisateurs ?
Enterprise Managed Users peut convenir à votre entreprise si vous ne voulez pas que les membres de l’entreprise utilisent leurs comptes personnels sur GitHub.com pour accéder aux ressources de votre entreprise.
Avec l’authentification unique SAML, les développeurs créent et gèrent leurs propres comptes personnels, et chaque compte est lié à une identité SAML dans votre fournisseur d’identité. Enterprise Managed Users fonctionne davantage comme d’autres solutions d’authentification unique familières, puisque vous approvisionnerez les comptes de vos utilisateurs. Vous pouvez également vous assurer que les comptes d’utilisateur sont conformes à l’identité de votre entreprise, en contrôlant les noms d’utilisateur et les adresses e-mail associées aux comptes.
Si vous demandez actuellement à vos utilisateurs de créer un nouveau compte sur GitHub.com pour l’utiliser uniquement avec votre entreprise, Enterprise Managed Users pourrait vous convenir. Toutefois, l’authentification unique SAML peut être une meilleure option si l’utilisation de votre fournisseur d’identité comme source de vérité pour votre utilisateur et la gestion des accès ajouterait trop de complexité. Par exemple, votre entreprise n’a peut-être pas de processus établi pour l’intégration de nouveaux utilisateurs dans votre fournisseur d’identité.
Quel fournisseur d’identité votre entreprise utilise-t-elle ?
Enterprise Managed Users est accepté par un nombre limité de fournisseurs d’identité et exige SCIM. L’authentification unique SAML, à l’inverse, offre une prise en charge complète par un plus grand nombre de fournisseurs d’identité, ainsi qu’une prise en charge limitée pour tous les fournisseurs d’identité qui mettent en œuvre la norme SAML 2.0. SCIM n’est pas requis par SAML. Pour obtenir la liste des fournisseurs d’identité pris en charge pour chaque option, voir « À propos d’Enterprise Managed Users » et « À propos de SAML pour la gestion des identités et des accès d’entreprise. »
Vous pouvez utiliser Enterprise Managed Users avec un fournisseur d’identité non pris en charge uniquement si vous fédérez le fournisseur d’identité non pris en charge sur un fournisseur d’identité pris en charge à utiliser comme point d’intégration. Si vous souhaitez éviter cette complexité supplémentaire, l’authentification unique SAML peut être une meilleure solution pour vous.
Vos développeurs travaillent-ils dans des référentiels publics, des gists ou des sites GitHub Pages ?
Pour éviter que les membres de l’entreprise divulguent accidentellement au public du contenu appartenant à l’entreprise sur GitHub.com, Enterprise Managed Users impose de fortes restrictions sur ce que les utilisateurs peuvent faire. Par exemple, les comptes d’utilisateur managés ne peuvent pas créer de dépôts publics, de gists d’aucune visibilité, ou de sites GitHub Pages visibles en dehors de l’entreprise. Pour une liste complète des restrictions, consultez « Capacités et restrictions des comptes d’utilisateur managés ».
Ces restrictions sont inacceptables pour certaines entreprises. Pour déterminer si Enterprise Managed Users vous conviendra, examinez les restrictions avec vos développeurs et confirmez si l’une d’entre elles entravera vos workflows existants. Dans ce cas, l’authentification unique SAML peut être un meilleur choix pour votre entreprise.
Vos développeurs s’appuient-ils sur la collaboration en dehors de votre entreprise ?
Les Comptes d’utilisateur managés peuvent seulement contribuer aux dépôts de votre entreprise. Si vos développeurs doivent contribuer aux dépôts à la fois à l’intérieur ou à l’extérieur de votre entreprise, ce qui inclut les dépôts privés, Enterprise Managed Users peut ne pas être approprié pour votre entreprise. L’authentification unique SAML peut être une meilleure solution.
Certaines entreprises gèrent les dépôts au sein d’une entreprise existante à l’aide de l’authentification unique SAML sur GitHub.com, et créent également une entreprise avec utilisateurs managés. Les développeurs qui contribuent à des dépôts appartenant aux deux entreprises à partir d’une seule station de travail doivent basculer d’un compte à l’autre sur GitHub.com dans un seul et même navigateur, ou utiliser un navigateur différent pour chaque compte. Le développeur peut également avoir besoin de personnaliser la configuration Git de la station de travail pour prendre en charge les deux comptes. La complexité de ce workflow peut augmenter le risque de fuite de code interne vers le public.
Si vous décidez de créer une entreprise avec utilisateurs managés mais que vous demandez aux développeurs de contribuer aux ressources en dehors de l’entreprise à partir d’une seule et même station de travail, vous pouvez fournir une prise en charge du changement de compte dans la configuration Git locale d’un développeur. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Votre entreprise s’appuie-t-elle sur des collaborateurs externes ?
Avec l’authentification unique SAML, vous pouvez accorder l’accès à des référentiels spécifiques aux personnes qui ne sont pas membres de l’annuaire de votre fournisseur d’identité, à l’aide du rôle de collaborateur externe. Cela peut être particulièrement utile pour les collaborateurs externes à votre entreprise, comme les entrepreneurs. Pour plus d’informations, consultez « Ajout de collaborateurs externes aux dépôts dans votre organisation ».
Avec Enterprise Managed Users, le rôle de collaborateur extérieur n’existe pas. Les ressources de votre entreprise ne sont accessibles qu’aux comptes d’utilisateur managés, qui sont toujours provisionnés par votre fournisseur d’identité. Pour permettre aux collaborateurs externes d’accéder à votre entreprise, vous devez utiliser des comptes invités dans votre fournisseur d’identité. Si Enterprise Managed Users vous intéresse, vérifiez auprès de vos développeurs si cela entrave leurs workflows existants. Dans ce cas, l’authentification unique SAML peut être une meilleure solution.
Votre entreprise peut-elle tolérer les coûts de migration ?
Si votre entreprise n’a jamais utilisé GitHub.com, l’authentification unique SAML et Enterprise Managed Users sont tout aussi faciles à adopter l’un que l’autre.
Si vous utilisez déjà GitHub.com avec des développeurs gérant leurs propres comptes d’utilisateurs, l’adoption de Enterprise Managed Users nécessite une migration vers un nouveau compte d’entreprise. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Bien que Enterprise Managed Users soit gratuit, le processus de migration peut nécessiter du temps ou des frais pour votre équipe. Vérifiez que ce processus de migration est acceptable pour votre entreprise et vos développeurs. Si ce n’est pas le cas, l’authentification unique SAML peut être le meilleur choix pour vous.