À propos d’Enterprise Managed Users

Dans cet article

Vous pouvez gérer de manière centralisée l’identité et l’accès des membres de votre entreprise sur GitHub à partir de votre fournisseur d’identité.

À propos d’Enterprise Managed Users

Avec Enterprise Managed Users, vous pouvez contrôler les comptes d’utilisateur de vos membres d’entreprise par le biais de votre fournisseur d’identité (IdP). Les utilisateurs attribués à l’application GitHub Enterprise Managed User dans votre IdP sont provisionnés comme nouveaux comptes d’utilisateur dans GitHub et ajoutés à votre entreprise. Vous contrôlez les noms d’utilisateur, les données de profil, l’appartenance aux équipes et l’accès aux référentiels à partir de votre IdP.

Dans votre IdP, vous pouvez donner à chaque compte d’utilisateur managé le rôle utilisateur, propriétaire d’entreprise ou gestionnaire de facturation. Les Comptes d’utilisateur managés peuvent posséder des organisations au sein de votre entreprise et ajouter d’autres comptes d’utilisateur managés aux organisations et aux équipes qui y sont incluses. Pour plus d’informations, consultez « Rôles dans une entreprise » et « À propos des organisations ».

Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé. Pour plus d’informations, consultez « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».

Vous pouvez accorder l’accès aux comptes d’utilisateur managés et la capacité à contribuer aux dépôts de votre entreprise, mais les comptes d’utilisateur managés ne peuvent pas créer de contenu public ni collaborer avec d’autres utilisateurs, organisations et entreprises sur le reste de GitHub. Pour plus d’informations, consultez « Capacités et restrictions des comptes d’utilisateur managés ».

Les noms d’utilisateur des comptes d’utilisateur managés de votre entreprise et leurs informations de profil telles que les noms d’affichage et les adresses e-mail sont définis par le biais de votre IdP et ne peuvent pas être modifiés par les utilisateurs eux-mêmes. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

Les propriétaires d’entreprise peuvent auditer toutes les actions des comptes d’utilisateur managés sur GitHub. Pour plus d’informations, consultez « Événements du journal d’audit pour votre entreprise ».

Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour plus d’informations sur la création de ce compte, consultez « Bien démarrer avec Enterprise Managed Users ».

Remarque : il existe plusieurs options pour la gestion des identités et des accès avec GitHub Enterprise Cloud, et Enterprise Managed Users n’est pas la meilleure solution pour chaque client. Pour plus d’informations sur la question de savoir si Enterprise Managed Users convient à votre entreprise, consultez « Identification de la meilleure méthode d’authentification pour votre entreprise ».

À propos de la gestion des appartenances à l’organisation

Vous pouvez gérer manuellement les appartenances à l’organisation ou vous pouvez mettre à jour les appartenances automatiquement à l’aide de groupes d’IdP. Pour gérer les appartenances à l’organisation par le biais de votre IdP, les membres doivent être ajoutés à un groupe d’IdP et le groupe d’IdP doit être connecté à une équipe de l’organisation. Pour plus d’informations sur la gestion automatique des appartenances aux organisations et aux équipes, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

La façon dont un membre est ajouté à une organisation appartenant à votre entreprise (via des groupes d’IdP ou manuellement) détermine comment il doit être supprimé d’une organisation.

  • Si un membre a été ajouté à une organisation manuellement, vous devez le supprimer manuellement. S’il est désattribué de l’application GitHub Enterprise Managed User sur votre IdP, il sera suspendu mais pas supprimé de l’organisation.
  • Si un utilisateur est devenu membre d’une organisation parce qu’il a été ajouté à des groupes d’IdP mappés à une ou plusieurs équipes de l’organisation, sa suppression de tous les groupes d’IdP mappés associés à l’organisation le supprimera de l’organisation.

Pour découvrir comment un membre a été ajouté à une organisation, vous pouvez filtrer sur la liste des membres par type. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».

Prise en charge des fournisseurs d’identité

Fournisseur d’identitéSAMLOIDC
Azure Active Directory
Okta
PingFederate (version bêta publique)

Remarque : Enterprise Managed Users nécessite l’utilisation d’un fournisseur d’identité pour SAML et SCIM. Vérifiez que vous avez acheté une version de votre fournisseur d’identité qui inclut SCIM.

Capacités et restrictions des comptes d’utilisateur managés

Les Comptes d’utilisateur managés peuvent contribuer uniquement aux dépôts privés et internes à leurs entreprises et aux dépôts privés appartenant à leur compte d’utilisateur. Les Comptes d’utilisateur managés ont un accès en lecture seule à la large communauté GitHub. Ces restrictions de visibilité et d’accès pour les utilisateurs et le contenu s’appliquent à toutes les requêtes, y compris les requêtes d’API.

  • Les Comptes d’utilisateur managés s’authentifient uniquement à l’aide de votre fournisseur d’identité et n’ont pas de mots de passe ou de méthodes d’authentification à deux facteurs stockés sur GitHub. Par conséquent, ils ne voient pas l’invite sudo lors de l’exécution d’actions sensibles. Pour plus d’informations, consultez « Mode sudo ».
  • Les Comptes d’utilisateur managés ne peuvent pas être invités dans les organisations ou les dépôts extérieurs à l’entreprise. Les comptes d’utilisateur managés ne peuvent pas non plus être invités dans d’autres entreprises.
  • Seuls les autres membres de l’entreprise peuvent voir les Comptes d’utilisateur managés et le contenu qu’ils créent.
  • Les autres utilisateurs de GitHub ne peuvent pas voir, mentionner ou inviter à collaborer un compte d’utilisateur managé.
  • Les Comptes d’utilisateur managés peuvent voir tous les dépôts publics sur GitHub.com, mais ne peuvent interagir avec les dépôts hors de l’entreprise d’aucune des manières suivantes :
    • Pousser du code vers le dépôt
    • Créer des problèmes ou des demandes de tirage dans le dépôt
    • Créer ou commenter des discussions dans le dépôt
    • Commenter des problèmes ou des demandes de tirage, ou ajouter des réactions aux commentaires
    • Surveiller, dupliquer le dépôt, ou lui ajouter une étoile
  • Les Comptes d’utilisateur managés ne peuvent pas créer de Gist ni en commenter.
  • Les Comptes d’utilisateur managés ne peuvent pas suivre les utilisateurs externes à l’entreprise.
  • Les Comptes d’utilisateur managés ne peuvent pas créer de workflows de démarrage pour GitHub Actions.
  • Les Comptes d’utilisateur managés ne peuvent pas installer GitHub Apps sur leurs comptes d’utilisateur.
  • Comptes d’utilisateur managés peut installer GitHub App sur un référentiel si l’application ne demande pas d’autorisations de la part de l’organisation et si compte d’utilisateur managé a un accès administrateur aux référentiels auxquels il accorde l’accès à l’application.
  • Comptes d’utilisateur managés peut installer GitHub App dans une organisation si le compte d’utilisateur managé est un propriétaire de l’organisation.
  • Vous pouvez choisir si les comptes d’utilisateur managés peuvent créer des dépôts appartenant à leurs comptes d’utilisateur. Pour plus d’informations, consultez « Application de stratégies de gestion des dépôts dans votre entreprise ».
  • Si vous autorisez les comptes d’utilisateur managés à créer des dépôts appartenant à leurs comptes d’utilisateur, ils ne peuvent avoir que des dépôts privés et peuvent uniquement inviter d’autres membres de l’entreprise à collaborer sur leurs dépôts appartenant aux utilisateurs.
  • Comptes d’utilisateur managés ne peut pas dupliquer des référentiels depuis l’extérieur de l’entreprise. Comptes d’utilisateur managés peut dupliquer des référentiels privés ou internes appartenant à des organisations de l’entreprise dans leur espace de noms de compte d’utilisateur ou d’autres organisations appartenant à l’entreprise, comme spécifié par la stratégie d’entreprise.
  • Seuls des dépôts privés et internes peuvent être créés dans les organisations appartenant à une entreprise avec utilisateurs managés, en fonction des paramètres de visibilité des dépôts de l’entreprise et des organisations.
  • Les collaborateurs externes ne sont pas pris en charge par Enterprise Managed Users.
  • Les Comptes d’utilisateur managés sont limités dans leur utilisation de GitHub Pages. Pour plus d’informations, consultez « À propos de GitHub Pages ».
  • Les Comptes d’utilisateur managés peuvent uniquement créer et utiliser des codespaces détenus et payés par leur organisation ou entreprise. Cela signifie que les comptes d’utilisateur managés :
    • Peuvent créer des codespaces pour les dépôts appartenant à leur organisation, ou des duplications de ces dépôts, à condition que l’organisation puisse payer pour GitHub Codespaces. Pour plus d’informations, consultez « Choisir qui possède et achète les codespaces dans votre organisation ».
    • Ne peuvent pas créer de codespaces pour leurs dépôts personnels, autres que des duplications de dépôts appartenant à leur organisation ; pour tous les autres dépôts en dehors de leur organisation ; ou à partir des modèles publics de GitHub pour GitHub Codespaces.
    • Impossible de publier un codespace créé à partir d’un modèle dans un nouveau référentiel.

Bien démarrer avec Enterprise Managed Users

Pour que vos développeurs puissent utiliser GitHub Enterprise Cloud avec Enterprise Managed Users, vous devez suivre une série d’étapes de configuration.

  1. Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour essayer Enterprise Managed Users ou pour discuter des options de migration à partir de votre entreprise existante, contactez l’équipe commerciale GitHub.

    Votre contact de l’équipe commerciale GitHub vous aidera à créer votre entreprise avec utilisateurs managés. Vous devrez fournir l’adresse e-mail de l’utilisateur qui configurera votre entreprise et un code court qui sera utilisé comme suffixe pour les noms d’utilisateur de vos membres d’entreprise. Le code court doit être propre à votre entreprise, une chaîne alphanumérique de trois à huit caractères, et ne doit contenir aucun caractère spécial. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

  2. Après avoir créé votre entreprise, vous recevrez un e-mail de GitHub vous invitant à choisir un mot de passe pour l’utilisateur de configuration de votre entreprise, qui sera le premier propriétaire de l’entreprise. Utilisez une fenêtre de navigation incognito ou privée pour définir le mot de passe et enregistrer les codes de récupération pour l’utilisateur. L’utilisateur de configuration est utilisé uniquement pour la configuration de l’authentification unique et l’intégration de l’approvisionnement SCIM pour l’entreprise. Il ne sera plus permis d’accéder aux paramètres de l’entreprise ou de l’organisation une fois le SSO configuré, à moins qu’un code de récupération SSO ne soit utilisé.

    Le nom d’utilisateur de l’utilisateur de l’installation est le code court de votre entreprise suivi de _admin, par exemple fabrikam_admin. Si vous devez vous connecter en tant qu’utilisateur d’installation ultérieurement, vous pouvez entrer le nom d’utilisateur et le mot de passe sur n’importe quelle page de connexion. Un lien vers la page de connexion est également fourni sur la page SSO, pour des raisons pratiques.

    Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.

  3. Une fois que vous vous êtes connecté en tant qu’utilisateur de configuration, nous vous recommandons d’activer l’authentification à 2 facteurs. Le mot de passe de l’utilisateur d’installation et les informations d’identification à deux facteurs peuvent également être utilisés pour entrer en mode sudo, ce qui est nécessaire pour effectuer des actions sensibles. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs » et « Mode sudo ».

  4. Pour démarrer, configurez comment vos membres s’authentifieront. Si vous utilisez Azure Active Directory comme fournisseur d’identité, vous pouvez choisir entre OpenID Connect (OIDC) et Security Assertion Markup Language (SAML). Nous recommandons OIDC, qui inclut la prise en charge des stratégies d’accès conditionnel (CAP). Si vous avez besoin de plusieurs entreprises avec des comptes d’utilisateur managés provisionnées à partir d’un locataire, vous devez utiliser SAML pour chaque entreprise après la première. Si vous utilisez un autre fournisseur d’identité, comme Okta ou PingFederate (version bêta publique), vous pouvez utiliser SAML pour authentifier vos membres.

    Pour démarrer, lisez le guide relatif à la méthode d’authentification choisie.

  5. Une fois que vous avez configuré l’authentification unique, vous pouvez configurer l’approvisionnement SCIM. SCIM est le moyen qu’utilise votre fournisseur d’identité pour créer comptes d’utilisateur managés sur GitHub.com. Pour plus d’informations, sur la configuration du provisionnement, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

  6. Une fois l’authentification et le provisionnement configurés, vous pouvez commencer à gérer l’appartenance à l’organisation pour vos comptes d’utilisateur managés en synchronisant les groupes d’IdP avec les équipes. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Si les membres de votre entreprise doivent utiliser une station de travail pour contribuer aux dépôts sur GitHub.com à la fois à partir d’un compte d’utilisateur managé et d’un compte personnel, vous pouvez fournir un support. Pour plus d’informations, consultez « Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com ».

Authentification comme compte d’utilisateur managé

Les Comptes d’utilisateur managés doivent s’authentifier par le biais de leur fournisseur d’identité. Pour s’authentifier, un compte d’utilisateur managé peut accéder au portail d’application de son IdP ou utiliser la page de connexion sur GitHub.com.

Par défaut, lorsqu’un utilisateur non authentifié tente d’accéder à une entreprise qui utilise Enterprise Managed Users, GitHub affiche une erreur 404. Un propriétaire d’entreprise peut éventuellement activer les redirections automatiques vers l’authentification unique (SSO) au lieu de l’erreur 404. Pour plus d’informations, consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».

Si une erreur de configuration SAML ou un problème avec votre fournisseur d’identité vous empêche d’utiliser SSO SAML, vous pouvez utiliser un code de récupération pour accéder à votre entreprise. Pour plus d’informations, consultez « Gestion des codes de récupération pour votre entreprise ».

Authentification comme compte d’utilisateur managé via GitHub.com

  1. Accédez à https://github.com/login.
  2. Dans la zone de texte « Nom d’utilisateur ou adresse e-mail », entrez votre nom d’utilisateur avec le trait de soulignement et le code court. Quand le formulaire reconnaît votre nom d’utilisateur, il est mis à jour. Vous n’avez pas besoin d’entrer votre mot de passe dans ce formulaire.
  3. Pour continuer et utiliser votre fournisseur d’identité, cliquez sur Se connecter avec un fournisseur d’identité.

Noms d’utilisateur et informations de profil

GitHub Enterprise Cloud crée automatiquement un nom d’utilisateur pour chaque personne en normalisant un identificateur fourni par votre fournisseur d’identité. Pour plus d’informations, consultez « Considérations relatives au nom d’utilisateur pour une authentification externe ».

Un conflit peut se produire lors de l’approvisionnement des utilisateurs si les parties uniques de l’identificateur fournies par votre fournisseur d’identité sont supprimées lors de la normalisation. Si vous ne parvenez pas à provisionner un utilisateur en raison d’un conflit de nom d’utilisateur, vous devez modifier le nom d’utilisateur fourni par votre IdP. Pour plus d’informations, consultez « Considérations relatives au nom d’utilisateur pour une authentification externe ».

Remarque : Étant donné que GitHub ajoute un trait de soulignement et un code court à l’identificateur normalisé fourni par votre fournisseur d’identité lors de la création de chaque nom d’utilisateur, les conflits ne peuvent se produire qu’au sein de chaque entreprise avec utilisateurs managés. Les Comptes d’utilisateur managés peuvent partager des identificateurs d’IdP ou des adresses e-mail avec d’autres comptes d’utilisateur sur GitHub.com qui se trouvent en dehors de l’entreprise.

Le nom de profil et l’adresse e-mail d’un compte d’utilisateur managé sont également fournis par l’IdP. Les Comptes d’utilisateur managés ne peuvent pas changer leur nom de profil ou leur adresse e-mail sur GitHub et l’IdP peut uniquement fournir une seule adresse e-mail.

Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com

Les personnes de votre équipe peuvent avoir besoin de contribuer aux ressources sur GitHub.com qui se trouvent en dehors de votre entreprise avec utilisateurs managés. Par exemple, vous pouvez envisager de gérer une entreprise distincte pour les projets open source de votre entreprise. Étant donné qu’un compte d’utilisateur managé ne peut pas contribuer à des ressources publiques, les utilisateurs doivent gérer un compte personnel distinct pour ce travail.

Les personnes qui doivent contribuer à partir de deux comptes d’utilisateur sur GitHub.com à l’aide d’une seule station de travail peuvent configurer Git pour simplifier le processus. Pour plus d’informations, consultez « Gestion de plusieurs comptes ».