À propos d’Enterprise Managed Users

Dans cet article

Vous pouvez gérer de manière centralisée l’identité et l’accès des membres de votre entreprise sur GitHub à partir de votre fournisseur d’identité (IdP).

À propos d’Enterprise Managed Users

Avec Enterprise Managed Users, vous gérez le cycle de vie et l’authentification de vos utilisateurs sur GitHub.com à partir d’un système de gestion des identités externe ou d’un fournisseur d’identité. Vous pouvez donner un accès à GitHub Enterprise Cloud aux personnes qui disposent d’identités existantes et d’appartenance à un groupe sur votre fournisseur d’identité. Votre fournisseur d’identité approvisionne de nouveaux comptes d’utilisateur avec accès à votre entreprise sur GitHub.com. Vous contrôlez les noms d’utilisateur, les données de profil, l’appartenance aux équipes et l’accès aux référentiels à partir de votre IdP.

Sur votre fournisseur d’identité, vous pouvez donner à chaque compte d’utilisateur managé un rôle, comme membre, propriétaire d’entreprise ou collaborateur invité. Les Comptes d’utilisateur managés peuvent posséder des organisations au sein de votre entreprise et ajouter d’autres comptes d’utilisateur managés aux organisations et aux équipes qui y sont incluses. Pour plus d’informations, consultez « Rôles dans une entreprise » et « À propos des organisations ».

Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé. Pour plus d’informations, consultez « About support for your IdP's Conditional Access Policy ».

Vous pouvez accorder l’accès aux comptes d’utilisateur managés et la capacité à contribuer aux dépôts de votre entreprise, mais les comptes d’utilisateur managés ne peuvent pas créer de contenu public ni collaborer avec d’autres utilisateurs, organisations et entreprises sur le reste de GitHub. Pour plus d’informations, consultez « Capacités et restrictions des comptes d’utilisateur managés ».

Les noms d’utilisateur des comptes d’utilisateur managés de votre entreprise et leurs informations de profil telles que les noms d’affichage et les adresses e-mail sont définis par le biais de votre IdP et ne peuvent pas être modifiés par les utilisateurs eux-mêmes. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

Les propriétaires d’entreprise peuvent auditer toutes les actions des comptes d’utilisateur managés sur GitHub. Pour plus d’informations, consultez « Événements du journal d’audit pour votre entreprise ».

Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour plus d’informations sur la création de ce compte, consultez « Bien démarrer avec Enterprise Managed Users ».

Remarque : il existe plusieurs options pour la gestion des identités et des accès avec GitHub Enterprise Cloud, et Enterprise Managed Users n’est pas la meilleure solution pour chaque client. Pour plus d’informations sur la question de savoir si Enterprise Managed Users convient à votre entreprise, consultez « Identification de la meilleure méthode d’authentification pour votre entreprise » et « Capacités et restrictions des comptes d’utilisateur managés ».

À propos de l’authentification et l’approvisionnement d’utilisateurs

Avec Enterprise Managed Users, votre fournisseur d’identité crée et met à jour les comptes d’utilisateur sur GitHub.com. Les utilisateurs doivent s’authentifier sur votre fournisseur d’identité pour accéder aux ressources de votre entreprise sur GitHub.com. GitHub Enterprise Cloud conserve un enregistrement de l’identité externe sur votre fournisseur d’identité qui correspond au compte d’utilisateur.

Les partenaires GitHub, avec certains développeurs de systèmes de gestion des identités, doivent fournir une intégration « prête à l’emploi » à Enterprise Managed Users. Ces fournisseurs d’identité fournissent principalement l’authentification à l’aide de SAML. Azure AD propose également OIDC pour l’authentification. Les applications IdP approvisionnent des utilisateurs avec System for Cross-domain Identity Management (SCIM).

Fournisseur d’identité du partenaireSAMLOIDCSCIM
Azure Active Directory
Okta
PingFederate

Les autres fournisseurs d’identité doivent respecter la spécification SAML 2.0 pour l’authentification. Vous pouvez configurer l’approvisionnement avec des fournisseurs d’identité qui adhèrent aux instructions d’intégration de GitHub. Le fournisseur d’identité doit respecter la spécification SCIM 2.0 et communiquer avec l’API REST de GitHub. Par exemple, le fournisseur d’identité peut être un système de gestion des identités commerciales que GitHub n’a pas testé, ou un système d’identité personnalisé que votre entreprise crée.

Remarque : la prise en charge de l’approvisionnement des utilisateurs avec le schéma SCIM public de GitHub est en phase bêta publique et sujette à modification. GitHub vous recommande de tester l’approvisionnement dans un environnement isolé des données de production sur votre fournisseur d’identité et GitHub.com.

Pour plus d’informations sur l’authentification et l’approvisionnement, consultez les articles suivants.

Certains clients ont signalé la réussite à l’aide de l’application d’un fournisseur d’identité du partenaire uniquement pour l’authentification, en combinaison avec un autre fournisseur d’identité pour l’approvisionnement. Par exemple, une combinaison d’Okta pour l’authentification et d’une solution SCIM personnalisée pour l’approvisionnement, ou une combinaison de Keycloak pour l’authentification et SailPoint pour l’approvisionnement. GitHub n’a pas testé tous les fournisseurs d’identité et ne teste pas les fournisseurs d’identité de partenaires en combinaison avec d’autres fournisseurs d’identité.

Pour plus d’informations sur l’approvisionnement des utilisateurs de votre fournisseur d’identité à l’aide de la version bêta publique du schéma SCIM de GitHub, consultez « Approvisionnement d’utilisateurs avec SCIM à l’aide de l’API REST » et consultez la documentation, l’équipe de support technique ou d’autres ressources de votre fournisseur d’identité.

Une fois la configuration initiale de l’authentification et de l’approvisionnement terminée, GitHub ne recommande pas de migrer vers une autre plateforme pour ces deux fonctionnalités. Si vous devez migrer une entreprise existante vers une autre plateforme pour l’authentification ou l’approvisionnement, contactez votre responsable de compte sur L’équipe commerciale GitHub.

Bien démarrer avec Enterprise Managed Users

Pour que vos développeurs puissent utiliser GitHub Enterprise Cloud avec Enterprise Managed Users, vous devez suivre une série d’étapes de configuration.

  1. Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour essayer Enterprise Managed Users ou pour discuter des options de migration à partir de votre entreprise existante, contactez l’équipe commerciale GitHub.

    Votre contact de l’équipe commerciale GitHub vous aidera à créer votre entreprise avec utilisateurs managés. Vous devrez fournir l’adresse e-mail de l’utilisateur qui configurera votre entreprise et un code court qui sera utilisé comme suffixe pour les noms d’utilisateur de vos membres d’entreprise. Le code court doit être propre à votre entreprise, une chaîne alphanumérique de trois à huit caractères, et ne doit contenir aucun caractère spécial. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

  2. Après avoir créé votre entreprise, vous recevrez un e-mail de GitHub vous invitant à choisir un mot de passe pour l’utilisateur de configuration de votre entreprise, qui sera le premier propriétaire de l’entreprise. Utilisez une fenêtre de navigation incognito ou privée pour définir le mot de passe et enregistrer les codes de récupération pour l’utilisateur. L’utilisateur de configuration est utilisé uniquement pour la configuration de l’authentification unique et l’intégration de l’approvisionnement SCIM pour l’entreprise. Il ne sera plus permis d’accéder aux paramètres de l’entreprise ou de l’organisation une fois le SSO configuré, à moins qu’un code de récupération SSO ne soit utilisé.

    Le nom d’utilisateur de l’utilisateur de l’installation est le code court de votre entreprise suivi de _admin, par exemple fabrikam_admin. Si vous devez vous connecter en tant qu’utilisateur d’installation ultérieurement, vous pouvez entrer le nom d’utilisateur et le mot de passe sur n’importe quelle page de connexion. Un lien vers la page de connexion est également fourni sur la page SSO, pour des raisons pratiques.

    Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.

  3. Une fois que vous vous êtes connecté en tant qu’utilisateur de configuration, nous vous recommandons d’activer l’authentification à 2 facteurs. Le mot de passe de l’utilisateur d’installation et les informations d’identification à deux facteurs peuvent également être utilisés pour entrer en mode sudo, ce qui est nécessaire pour effectuer des actions sensibles. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs » et « Mode sudo ».

  4. Pour démarrer, configurez comment vos membres s’authentifieront. Si vous utilisez Azure Active Directory comme fournisseur d’identité, vous pouvez choisir entre OpenID Connect (OIDC) et Security Assertion Markup Language (SAML). Nous recommandons OIDC, qui inclut la prise en charge des stratégies d’accès conditionnel (CAP). Si vous avez besoin de plusieurs entreprises avec des comptes d’utilisateur managés provisionnées à partir d’un locataire, vous devez utiliser SAML pour chaque entreprise après la première. Si vous utilisez un autre fournisseur d’identité, comme Okta ou PingFederate, vous pouvez utiliser SAML pour authentifier vos membres.

    Pour démarrer, lisez le guide relatif à la méthode d’authentification choisie.

  5. Une fois que vous avez configuré l’authentification unique, vous pouvez configurer l’approvisionnement SCIM. SCIM est le moyen qu’utilise votre fournisseur d’identité pour créer des comptes d’utilisateur managés sur GitHub.com. Pour plus d’informations, sur la configuration du provisionnement, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

  6. Une fois l’authentification et le provisionnement configurés, vous pouvez commencer à gérer l’appartenance à l’organisation pour vos comptes d’utilisateur managés en synchronisant les groupes d’IdP avec les équipes. Pour plus d’informations, consultez « Managing team memberships with identity provider groups ».

Si les membres de votre entreprise doivent utiliser une station de travail pour contribuer aux dépôts sur GitHub.com à la fois à partir d’un compte d’utilisateur managé et d’un compte personnel, vous pouvez fournir un support. Pour plus d’informations, consultez « Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com ».

À propos de la gestion des appartenances à l’organisation

Vous pouvez gérer manuellement les appartenances à l’organisation ou vous pouvez mettre à jour les appartenances automatiquement à l’aide de groupes d’IdP. Pour gérer les appartenances à l’organisation par le biais de votre IdP, les membres doivent être ajoutés à un groupe d’IdP et le groupe d’IdP doit être connecté à une équipe de l’organisation. Pour plus d’informations sur la gestion automatique des appartenances aux organisations et aux équipes, consultez « Managing team memberships with identity provider groups ».

La façon dont un membre est ajouté à une organisation appartenant à votre entreprise (via des groupes d’IdP ou manuellement) détermine comment il doit être supprimé d’une organisation.

  • Si un membre a été ajouté à une organisation manuellement, vous devez le supprimer manuellement. S’il est désattribué de l’application GitHub Enterprise Managed User sur votre IdP, il sera suspendu mais pas supprimé de l’organisation.
  • Si un utilisateur est devenu membre d’une organisation parce qu’il a été ajouté à des groupes d’IdP mappés à une ou plusieurs équipes de l’organisation, sa suppression de tous les groupes d’IdP mappés associés à l’organisation le supprimera de l’organisation.

Pour découvrir comment un membre a été ajouté à une organisation, vous pouvez filtrer sur la liste des membres par type. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».

Authentification avec un compte d’utilisateur managé

Les Comptes d’utilisateur managés doivent s’authentifier par le biais de leur fournisseur d’identité. Pour s’authentifier, un compte d’utilisateur managé peut accéder au portail d’application de son IdP ou utiliser la page de connexion sur GitHub.com.

Par défaut, lorsqu’un utilisateur non authentifié tente d’accéder à une entreprise qui utilise Enterprise Managed Users, GitHub affiche une erreur 404. Un propriétaire d’entreprise peut éventuellement activer les redirections automatiques vers l’authentification unique (SSO) au lieu de l’erreur 404. Pour plus d’informations, consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».

Si une erreur de configuration SAML ou un problème avec votre fournisseur d’identité vous empêche d’utiliser SSO SAML, vous pouvez utiliser un code de récupération pour accéder à votre entreprise. Pour plus d’informations, consultez « Gestion des codes de récupération pour votre entreprise ».

Authentification comme compte d’utilisateur managé via GitHub.com

  1. Accédez à https://github.com/login.
  2. Dans la zone de texte « Nom d’utilisateur ou adresse e-mail », entrez votre nom d’utilisateur avec le trait de soulignement et le code court. Quand le formulaire reconnaît votre nom d’utilisateur, il est mis à jour. Vous n’avez pas besoin d’entrer votre mot de passe dans ce formulaire.
  3. Pour continuer et utiliser votre fournisseur d’identité, cliquez sur Se connecter avec un fournisseur d’identité.

Noms d’utilisateur et informations de profil

GitHub Enterprise Cloud crée automatiquement un nom d’utilisateur pour chaque personne en normalisant un identificateur fourni par votre fournisseur d’identité. Pour plus d’informations, consultez « Username considerations for external authentication ».

Un conflit peut se produire lors de l’approvisionnement des utilisateurs si les parties uniques de l’identificateur fournies par votre fournisseur d’identité sont supprimées lors de la normalisation. Si vous ne parvenez pas à provisionner un utilisateur en raison d’un conflit de nom d’utilisateur, vous devez modifier le nom d’utilisateur fourni par votre IdP. Pour plus d’informations, consultez « Username considerations for external authentication ».

Remarque : Étant donné que GitHub ajoute un trait de soulignement et un code court à l’identificateur normalisé fourni par votre fournisseur d’identité lors de la création de chaque nom d’utilisateur, les conflits ne peuvent se produire qu’au sein de chaque entreprise avec utilisateurs managés. Les Comptes d’utilisateur managés peuvent partager des identificateurs d’IdP ou des adresses e-mail avec d’autres comptes d’utilisateur sur GitHub.com qui se trouvent en dehors de l’entreprise.

Le nom de profil et l’adresse e-mail d’un compte d’utilisateur managé sont également fournis par l’IdP. Les Comptes d’utilisateur managés ne peuvent pas changer leur nom de profil ou leur adresse e-mail sur GitHub et l’IdP peut uniquement fournir une seule adresse e-mail.

Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com

Les personnes de votre équipe peuvent avoir besoin de contribuer aux ressources sur GitHub.com qui se trouvent en dehors de votre entreprise avec utilisateurs managés. Par exemple, vous pouvez envisager de gérer une entreprise distincte pour les projets open source de votre entreprise. Étant donné qu’un compte d’utilisateur managé ne peut pas contribuer à des ressources publiques, les utilisateurs doivent gérer un compte personnel distinct pour ce travail.

Les personnes qui doivent contribuer à partir de deux comptes d’utilisateur sur GitHub.com à l’aide d’une seule station de travail peuvent configurer Git pour simplifier le processus. Pour plus d’informations, consultez « Gestion de plusieurs comptes ».

S’il existe des personnes de votre équipe qui doivent basculer régulièrement entre les comptes sur GitHub.com, telles que leurs comptes personnels et un ou plusieurs comptes d’utilisateur managés, il est possible de se connecter à plusieurs comptes et de basculer rapidement entre eux sans avoir toujours besoin de se réauthentifier. Pour plus d’informations, consultez « Switching between accounts ».