Skip to main content

Configuration du provisionnement SCIM pour Enterprise Managed Users

Vous pouvez gérer le cycle de vie des comptes d’utilisateurs de votre entreprise sur GitHub.com à partir de votre fournisseur d’identité (IdP, Identity Provider) à l’aide de System for Cross-domain Identity Management (SCIM).

Qui peut utiliser cette fonctionnalité ?

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

À propos du provisionnement pour Enterprise Managed Users

Pour créer, gérer et désactiver des comptes d’utilisateurs pour les membres de votre entreprise sur GitHub.com, votre fournisseur d’identité doit implémenter SCIM pour la communication avec GitHub. SCIM est une spécification ouverte pour la gestion des identités utilisateur entre différents systèmes. Chaque IdP aura une expérience de configuration différente pour l’approvisionnement SCIM.

Après avoir configuré l’approvisionnement pour Enterprise Managed Users, votre fournisseur d’identité utilise SCIM pour approvisionner les comptes d’utilisateurs sur GitHub.com et ajouter les comptes à votre entreprise. Si vous attribuez un groupe à l’application, votre fournisseur d’identité approvisionnera les nouveaux comptes d’utilisateur managés de tous les utilisateurs du groupe.

Si vous utilisez un fournisseur d’identité partenaire, vous pouvez simplifier la configuration de l’approvisionnement SCIM à l’aide de l’application du fournisseur d’identité partenaire. Si vous n’utilisez pas de fournisseur d’identité partenaire pour l’approvisionnement, vous pouvez implémenter SCIM à l’aide d’appels à l’API REST de GitHub pour SCIM, qui est disponible en version bêta et susceptible d’être modifiée. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

SCIM gère le cycle de vie des comptes d’utilisateurs de votre entreprise. Quand vous mettez à jour les informations associées à l’identité d’un utilisateur sur votre IdP, celui-ci met à jour le compte d’utilisateur sur GitHub.com. Quand vous annulez l’attribution de l’utilisateur depuis l’application du fournisseur d’identité pour Enterprise Managed Users ou que vous désactivez un compte d’utilisateur sur votre fournisseur d’identité, votre fournisseur d’identité communique avec GitHub pour rendre toutes les sessions non valables et désactiver le compte du membre. Les informations du compte désactivé sont conservées et le nom d’utilisateur est remplacé par un hachage du nom d’utilisateur d’origine avec le code court en suffixe. Si vous réattribuez un utilisateur à l’application du fournisseur d’identité pour Enterprise Managed Users ou si vous réactivez son compte sur votre fournisseur d’identité, le compte d’utilisateur managé sur GitHub est réactivé et le nom d’utilisateur restauré.

Pour configurer l’appartenance à l’équipe et à l’organisation, l’accès au référentiel et les autorisations sur GitHub Enterprise Cloud, vous pouvez utiliser des groupes sur votre fournisseur d’identité. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Prérequis

  • Avant de configurer l’approvisionnement, vous devez configurer l’authentification. Pour plus d’informations, consultez « Configuration de l’authentification pour les utilisateurs gérés par l’entreprise ».

  • Avant de configurer l’approvisionnement, vérifiez que vous comprenez les exigences d’intégration et le niveau de prise en charge de votre fournisseur d’identité. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

  • Une fois la configuration initiale de l’authentification et de l’approvisionnement terminée, GitHub ne recommande pas de migrer vers une autre plateforme pour ces deux fonctionnalités. Si vous devez migrer une entreprise existante vers une autre plateforme pour l’authentification ou l’approvisionnement, contactez votre responsable de compte sur L’équipe commerciale GitHub.

Création d’un personal access token

Pour configurer le provisionnement pour votre entreprise avec utilisateurs managés, vous avez besoin d’un personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.

Avertissement : Si le jeton expire ou si un utilisateur provisionné crée le jeton, le provisionnement SCIM peut cesser de fonctionner de manière inattendue. Veillez à créer le jeton en étant connecté comme utilisateur de configuration et à ce que l’expiration du jeton soit définie sur « Pas d’expiration ».

  1. Connectez-vous à GitHub.com comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @CODE-COURT_admin.

  2. Dans le coin supérieur droit d’une page, cliquez sur votre photo de profil, puis sur Paramètres.

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  3. Dans la barre latérale gauche, cliquez sur Paramètres de développeur.

  4. Dans la barre latérale gauche, cliquez sur Personal access tokens.

  5. Cliquez sur Générer un nouveau jeton.

  6. Sous Note, donnez à votre jeton un nom descriptif.

  7. Sélectionnez le menu déroulant Expiration, puis cliquez sur Pas d’expiration.

  8. Sélectionnez l’étendue admin:enterprise. Capture d’écran d’une liste d’étendues avec des cases à cocher. L’étendue « admin:enterprise », accompagnée du texte « Contrôle total des entreprises », est sélectionnée et mise en évidence avec un encadré orange.

  9. Cliquez sur Générer un jeton.

  10. Pour copier le jeton dans le Presse-papiers, cliquez sur .

    Capture d’écran de la page « Personal access tokens ». À côté d’un jeton flouté, une icône de deux carrés qui se chevauchent est encadrée en orange.

  11. Pour enregistrer le jeton en vue d’une utilisation ultérieure, stockez le nouveau jeton de manière sécurisée dans un gestionnaire de mots de passe.

Configuration du provisionnement pour Enterprise Managed Users

Après avoir créé votre personal access token et l’avoir stocké en lieu sûr, vous pouvez configurer l’approvisionnement sur votre fournisseur d’identité. Les instructions que vous devez suivre diffèrent selon que vous utilisez un fournisseur d’identité partenaire pour l’approvisionnement ou non.

Configuration de l’approvisionnement si vous utilisez un fournisseur d’identité partenaire

Pour utiliser l’application d’un fournisseur d’identité partenaire à la fois pour l’authentification et l’approvisionnement, passez en revue les instructions du partenaire pour configurer l’approvisionnement dans les liens du tableau suivant.

Sinon, si vous avez configuré l’authentification sur un fournisseur d’identité partenaire, mais que vous souhaitez approvisionner des utilisateurs à partir d’un autre fournisseur d’identité, vous pouvez passer des appels à l’API REST de GitHub pour SCIM.

Configuration de l’approvisionnement si vous n’utilisez pas de fournisseur d’identité partenaire

Si vous n’utilisez pas de fournisseur d’identité partenaire, vous pouvez intégrer l’API REST de GitHub pour SCIM. L’API est en version bêta et susceptible d’être modifiée. Pour plus d’informations, consultez « Approvisionnement d’utilisateurs avec SCIM à l’aide de l’API REST ».

Affectation d'utilisateurs et de groupes

Après avoir configuré l’authentification unique SAML et le provisionnement, vous pourrez provisionner de nouveaux utilisateurs sur GitHub.com en attribuant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application GitHub Enterprise Managed User pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Cloud. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».

Entra ID ne prend pas en charge l’approvisionnement de groupes imbriqués. Pour plus d’informations, consultez Fonctionnement de l’approvisionnement d’applications dans Microsoft Entra ID sur Microsoft Learn.