À propos des méthodes d’authentification de votre entreprise
Vous pouvez autoriser les utilisateurs à utiliser un compte personnel sur GitHub.com pour accéder aux ressources de votre entreprise, mais aussi pour configurer des restrictions d’accès SAML supplémentaires. Alternativement, vous pouvez approvisionner et contrôler les comptes de votre entreprise à l’aide de votre fournisseur d’identité (IdP) avec Enterprise Managed Users. Pour plus d’informations, consultez « À propos de la gestion de l’identité et de l’accès ».
L’authentification unique SAML et Enterprise Managed Users renforcent tous deux la sécurité des ressources de votre entreprise. Enterprise Managed Users vous permet en outre de contrôler les comptes d’utilisateur des membres de votre entreprise et de restreindre ce que ces comptes peuvent faire. Toutefois, ces restrictions peuvent être inacceptables pour votre entreprise si elles obstruent les workflows de vos développeurs.
Pour déterminer si votre entreprise bénéficierait davantage de l’authentification unique SAML ou de Enterprise Managed Users, posez-vous les questions suivantes.
Voulez-vous contrôler les comptes de vos utilisateurs ?
Enterprise Managed Users peut convenir à votre entreprise si vous ne voulez pas que les membres de l’entreprise utilisent leurs comptes personnels sur GitHub.com pour accéder aux ressources de votre entreprise.
Avec l’authentification unique SAML, les développeurs créent et gèrent leurs propres comptes personnels, et chaque compte est lié à une identité SAML dans votre fournisseur d’identité. Enterprise Managed Users fonctionne davantage comme d’autres solutions d’authentification unique familières, puisque vous approvisionnerez les comptes de vos utilisateurs. Vous pouvez également vous assurer que les comptes d’utilisateur sont conformes à l’identité de votre entreprise, en contrôlant les noms d’utilisateur et les adresses e-mail associées aux comptes.
Si vous demandez actuellement à vos utilisateurs de créer un nouveau compte sur GitHub.com pour l’utiliser uniquement avec votre entreprise, Enterprise Managed Users pourrait vous convenir. Toutefois, l’authentification unique SAML peut être une meilleure option si l’utilisation de votre fournisseur d’identité comme source de vérité pour votre utilisateur et la gestion des accès ajouterait trop de complexité. Par exemple, votre entreprise n’a peut-être pas de processus établi pour l’intégration de nouveaux utilisateurs dans votre fournisseur d’identité.
Quel fournisseur d’identité votre entreprise utilise-t-elle ?
Pour l’authentification unique (SSO) SAML, vous pouvez configurer l’authentification avec un fournisseur d’identité conforme à la norme SAML 2.0. GitHub prend officiellement en charge et teste certains fournisseurs d’identité. Pour plus d’informations, consultez « Configuration d’une authentification unique (SSO) SAML pour votre entreprise ».
Les partenaires GitHub, avec certains développeurs de systèmes de gestion des identités, doivent fournir une intégration « prête à l’emploi » à Enterprise Managed Users. Si vous utilisez un fournisseur d’identité (IdP) partenaire, vous pouvez configurer une application dessus pour fournir l’authentification et l’approvisionnement. Dans le cas contraire, ou si vous utilisez uniquement un fournisseur d’identité partenaire pour l’authentification, vous pouvez intégrer des IdP qui implémentent les normes SAML 2.0 et System for Cross-domain Identity Management (SCIM) 2.0. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Vos développeurs travaillent-ils dans des référentiels publics, des gists ou des sites GitHub Pages ?
Pour éviter que les membres de l’entreprise divulguent accidentellement au public du contenu appartenant à l’entreprise sur GitHub.com, Enterprise Managed Users impose de fortes restrictions sur ce que les utilisateurs peuvent faire. Par exemple, les comptes d’utilisateur managés ne peuvent pas créer de dépôts publics, de gists d’aucune visibilité, ou de sites GitHub Pages visibles en dehors de l’entreprise. Pour obtenir la liste complète des restrictions, consultez « Capacités et restrictions des comptes d’utilisateur managés ».
Ces restrictions sont inacceptables pour certaines entreprises. Pour déterminer si Enterprise Managed Users vous conviendra, examinez les restrictions avec vos développeurs et confirmez si l’une d’entre elles entravera vos workflows existants. Dans ce cas, l’authentification unique SAML peut être un meilleur choix pour votre entreprise.
Vos développeurs s’appuient-ils sur la collaboration en dehors de votre entreprise ?
Les Comptes d’utilisateur managés peuvent seulement contribuer aux dépôts de votre entreprise. Si vos développeurs doivent contribuer aux dépôts à la fois à l’intérieur ou à l’extérieur de votre entreprise, ce qui inclut les dépôts privés, Enterprise Managed Users peut ne pas être approprié pour votre entreprise. L’authentification unique SAML peut être une meilleure solution.
Certaines entreprises gèrent les dépôts au sein d’une entreprise existante à l’aide de l’authentification unique SAML sur GitHub.com, et créent également une entreprise avec utilisateurs managés. Les développeurs qui contribuent à des dépôts appartenant aux deux entreprises à partir d’une seule station de travail doivent basculer d’un compte à l’autre sur GitHub.com dans un seul et même navigateur, ou utiliser un navigateur différent pour chaque compte. Le développeur peut également avoir besoin de personnaliser la configuration Git de la station de travail pour prendre en charge les deux comptes. La complexité de ce workflow peut augmenter le risque de fuite de code interne vers le public.
Si vous décidez de créer une entreprise avec utilisateurs managés mais que vous demandez aux développeurs de contribuer aux ressources en dehors de l’entreprise à partir d’une seule et même station de travail, vous pouvez fournir une prise en charge du changement de compte dans la configuration Git locale d’un développeur. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Votre entreprise peut-elle tolérer les coûts de migration ?
Si votre entreprise n’a jamais utilisé GitHub.com, l’authentification unique SAML et Enterprise Managed Users sont tout aussi faciles à adopter l’un que l’autre.
Si vous utilisez déjà GitHub.com avec des développeurs gérant leurs propres comptes d’utilisateurs, l’adoption de Enterprise Managed Users nécessite une migration vers un nouveau compte d’entreprise. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Bien que Enterprise Managed Users soit gratuit, le processus de migration peut nécessiter du temps ou des frais pour votre équipe. Vérifiez que ce processus de migration est acceptable pour votre entreprise et vos développeurs. Si ce n’est pas le cas, l’authentification unique SAML peut être le meilleur choix pour vous.