Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

À propos d’Enterprise Managed Users

Vous pouvez gérer de manière centralisée l’identité et l’accès des membres de votre entreprise sur GitHub à partir de votre fournisseur d’identité.

À propos d’Enterprise Managed Users

Avec Enterprise Managed Users, vous pouvez contrôler les comptes d’utilisateur de vos membres d’entreprise par le biais de votre fournisseur d’identité (IdP). Les utilisateurs attribués à l’application GitHub Enterprise Managed User dans votre IdP sont provisionnés comme nouveaux comptes d’utilisateur dans GitHub et ajoutés à votre entreprise. Vous contrôlez les noms d’utilisateur, les données de profil, l’appartenance aux équipes et l’accès aux référentiels à partir de votre IdP.

Dans votre IdP, vous pouvez donner à chaque managed user account le rôle utilisateur, propriétaire d’entreprise ou gestionnaire de facturation. Les Managed user accounts peuvent posséder des organisations au sein de votre entreprise et ajouter d’autres managed user accounts aux organisations et aux équipes qui y sont incluses. Pour plus d’informations, consultez « Rôles dans une entreprise » et « À propos des organisations ».

Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé. Pour plus d’informations, consultez « À propos du support de la stratégie d’accès conditionnel de votre fournisseur d’identité ».

Vous pouvez accorder l’accès aux managed user accounts et la capacité à contribuer aux dépôts de votre entreprise, mais les managed user accounts ne peuvent pas créer de contenu public ni collaborer avec d’autres utilisateurs, organisations et entreprises sur le reste de GitHub. Pour plus d’informations, consultez « Capacités et restrictions des managed user accounts ».

Les noms d’utilisateur des managed user accounts de votre entreprise et leurs informations de profil telles que les noms d’affichage et les adresses e-mail sont définis par le biais de votre IdP et ne peuvent pas être modifiés par les utilisateurs eux-mêmes. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

Les propriétaires d’entreprise peuvent auditer toutes les actions des managed user accounts sur GitHub. Pour plus d’informations, consultez « Événements du journal d’audit pour votre entreprise ».

Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour plus d’informations sur la création de ce compte, consultez « À propos des entreprises avec des utilisateurs managés ».

Remarque : il existe plusieurs options pour la gestion des identités et des accès avec GitHub Enterprise Cloud, et Enterprise Managed Users n’est pas la meilleure solution pour chaque client. Pour plus d’informations sur la question de savoir si Enterprise Managed Users convient à votre entreprise, consultez « À propos de l’authentification pour votre entreprise ».

À propos de la gestion des appartenances à l’organisation

Vous pouvez gérer manuellement les appartenances à l’organisation ou vous pouvez mettre à jour les appartenances automatiquement à l’aide de groupes d’IdP. Pour gérer les appartenances à l’organisation par le biais de votre IdP, les membres doivent être ajoutés à un groupe d’IdP et le groupe d’IdP doit être connecté à une équipe de l’organisation. Pour plus d’informations sur la gestion automatique des appartenances aux organisations et aux équipes, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseurs d’identité ».

La façon dont un membre est ajouté à une organisation appartenant à votre entreprise (via des groupes d’IdP ou manuellement) détermine comment il doit être supprimé d’une organisation.

  • Si un membre a été ajouté à une organisation manuellement, vous devez le supprimer manuellement. S’il est désattribué de l’application GitHub Enterprise Managed User sur votre IdP, il sera suspendu mais pas supprimé de l’organisation.
  • Si un utilisateur est devenu membre d’une organisation parce qu’il a été ajouté à des groupes d’IdP mappés à une ou plusieurs équipes de l’organisation, sa suppression de tous les groupes d’IdP mappés associés à l’organisation le supprimera de l’organisation.

Pour découvrir comment un membre a été ajouté à une organisation, vous pouvez filtrer sur la liste des membres par type. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».

Prise en charge des fournisseurs d’identité

Enterprise Managed Users prend en charge les fournisseurs d’identité et les méthodes d’authentification suivants :

SAMLOIDC
Azure Active Directory
Okta

Remarque : Enterprise Managed Users nécessite l’utilisation d’un fournisseur d’identité pour SAML et SCIM. Vérifiez que vous avez acheté une version de votre fournisseur d’identité qui inclut SCIM.

Capacités et restrictions des managed user accounts

Les Managed user accounts peuvent contribuer uniquement aux dépôts privés et internes à leurs entreprises et aux dépôts privés appartenant à leur compte d’utilisateur. Les Managed user accounts ont un accès en lecture seule à la large communauté GitHub. Ces restrictions de visibilité et d’accès pour les utilisateurs et le contenu s’appliquent à toutes les requêtes, y compris les requêtes d’API.

  • Les Managed user accounts ne peuvent pas être invités dans les organisations ou les dépôts extérieurs à l’entreprise. Les managed user accounts ne peuvent pas non plus être invités dans d’autres entreprises.
  • Seuls les autres membres de l’entreprise peuvent voir les Managed user accounts et le contenu qu’ils créent.
  • Les autres utilisateurs de GitHub ne peuvent pas voir, mentionner ou inviter à collaborer un managed user account.
  • Les Managed user accounts peuvent voir tous les dépôts publics sur GitHub.com, mais ne peuvent interagir avec les dépôts hors de l’entreprise d’aucune des manières suivantes :
    • Pousser du code vers le dépôt
    • Créer des problèmes ou des demandes de tirage dans le dépôt
    • Créer ou commenter des discussions dans le dépôt
    • Commenter des problèmes ou des demandes de tirage, ou ajouter des réactions aux commentaires
    • Surveiller, dupliquer le dépôt, ou lui ajouter une étoile
  • Les Managed user accounts ne peuvent pas créer de Gist ni en commenter.
  • Les Managed user accounts ne peuvent pas suivre les utilisateurs externes à l’entreprise.
  • Les Managed user accounts ne peuvent pas créer de workflows de démarrage pour GitHub Actions.
  • Les Managed user accounts ne peuvent pas installer GitHub Apps sur leurs comptes d’utilisateur.
  • Vous pouvez choisir si les managed user accounts peuvent créer des dépôts appartenant à leurs comptes d’utilisateur. Pour plus d’informations, consultez « Application de stratégies de gestion des dépôts dans votre entreprise ».
  • Si vous autorisez les managed user accounts à créer des dépôts appartenant à leurs comptes d’utilisateur, ils ne peuvent avoir que des dépôts privés et peuvent uniquement inviter d’autres membres de l’entreprise à collaborer sur leurs dépôts appartenant aux utilisateurs.
  • Managed user accounts ne peut pas dupliquer des référentiels depuis l’extérieur de l’entreprise. Managed user accounts peut dupliquer des référentiels privés ou internes appartenant à des organisations de l’entreprise dans leur espace de noms de compte d’utilisateur ou d’autres organisations appartenant à l’entreprise, comme spécifié par la stratégie d’entreprise.
  • Seuls des dépôts privés et internes peuvent être créés dans les organisations appartenant à une enterprise with managed users, en fonction des paramètres de visibilité des dépôts de l’entreprise et des organisations.
  • Les collaborateurs externes ne sont pas pris en charge par Enterprise Managed Users.
  • Les Managed user accounts sont limités dans leur utilisation de GitHub Pages. Pour plus d’informations, consultez « À propos de GitHub Pages ».

Bien démarrer avec Enterprise Managed Users

Pour que vos développeurs puissent utiliser GitHub Enterprise Cloud avec Enterprise Managed Users, vous devez suivre une série d’étapes de configuration.

  1. Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé. Pour essayer Enterprise Managed Users ou pour discuter des options de migration à partir de votre entreprise existante, contactez l’équipe commerciale GitHub.

    Votre contact de l’équipe commerciale GitHub vous aidera à créer votre enterprise with managed users. Vous devrez fournir l’adresse e-mail de l’utilisateur qui configurera votre entreprise et un code court qui sera utilisé comme suffixe pour les noms d’utilisateur de vos membres d’entreprise. Le code court doit être propre à votre entreprise, une chaîne alphanumérique de trois à huit caractères, et ne doit contenir aucun caractère spécial. Pour plus d’informations, consultez « Noms d’utilisateur et informations de profil ».

  2. Après avoir créé votre entreprise, vous recevrez un e-mail de GitHub vous invitant à choisir un mot de passe pour l’utilisateur de configuration de votre entreprise, qui sera le premier propriétaire de l’entreprise. Utilisez une fenêtre de navigation privée pour la définition du mot de passe. L’utilisateur de configuration est utilisé uniquement pour la configuration de l’authentification unique et l’intégration de l’approvisionnement SCIM pour l’entreprise. Après l’authentification unique réussie, il n’aura plus accès à l’administration du compte d’entreprise. Le nom d’utilisateur de l’utilisateur de configuration est le code court de votre entreprise avec le suffixe _admin.

    Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez GitHub Support à partir du GitHub Support portal.

  3. Une fois que vous vous êtes connecté en tant qu’utilisateur de configuration, nous vous recommandons d’activer l’authentification à 2 facteurs. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs ».

  4. Pour démarrer, configurez comment vos membres s’authentifieront. Si vous utilisez Azure Active Directory comme fournisseur d’identité, vous pouvez choisir entre OpenID Connect (OIDC) et Security Assertion Markup Language (SAML). Nous recommandons OIDC, qui inclut la prise en charge des stratégies d’accès conditionnel (CAP). Si vous avez besoin de plusieurs entreprises avec des managed user accounts provisionnées à partir d’un locataire, vous devez utiliser SAML pour chaque entreprise après la première. Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser SAML pour authentifier vos membres.

    Pour démarrer, lisez le guide relatif à la méthode d’authentification choisie.

  5. Une fois que vous avez configuré l’authentification unique, vous pouvez configurer l’approvisionnement SCIM. SCIM est le moyen qu’utilise votre fournisseur d’identité pour créer managed user accounts sur GitHub.com. Pour plus d’informations sur la configuration de l’approvisionnement SCIM, consultez « Configuration de l’approvisionnement SCIM pour les utilisateurs managés Enterprise ».

  6. Une fois l’authentification et le provisionnement configurés, vous pouvez commencer à gérer l’appartenance à l’organisation pour vos managed user accounts en synchronisant les groupes d’IdP avec les équipes. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec les groupes d’un fournisseur d’identité ».

Si les membres de votre entreprise doivent utiliser une station de travail pour contribuer aux dépôts sur GitHub.com à la fois à partir d’un managed user account et d’un compte personnel, vous pouvez fournir un support. Pour plus d’informations, consultez « Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com ».

Authentification comme managed user account

Les Managed user accounts doivent s’authentifier par le biais de leur fournisseur d’identité. Pour s’authentifier, un managed user account peut accéder au portail d’application de son IdP ou utiliser la page de connexion sur GitHub.com.

Par défaut, lorsqu’un utilisateur non authentifié tente d’accéder à une entreprise qui utilise Enterprise Managed Users, GitHub affiche une erreur 404. Un propriétaire d’entreprise peut éventuellement activer les redirections automatiques vers l’authentification unique (SSO) au lieu de l’erreur 404. Pour plus d’informations, consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».

Si une erreur de configuration SAML ou un problème avec votre fournisseur d’identité vous empêche d’utiliser SSO SAML, vous pouvez utiliser un code de récupération pour accéder à votre entreprise. Pour plus d’informations, consultez « Gestion des codes de récupération pour votre entreprise ».

Authentification comme managed user account via GitHub.com

  1. Accédez à https://github.com/login.
  2. Dans la zone de texte « Nom d’utilisateur ou adresse e-mail », entrez votre nom d’utilisateur avec le trait de soulignement et le code court. Capture d’écran montrant le formulaire de connexion Quand le formulaire reconnaît votre nom d’utilisateur, il est mis à jour. Vous n’avez pas besoin d’entrer votre mot de passe dans ce formulaire.
  3. Pour continuer et utiliser votre fournisseur d’identité, cliquez sur Se connecter avec un fournisseur d’identité. Capture d’écran montrant le bouton « Se connecter avec un fournisseur d’identité »

Noms d’utilisateur et informations de profil

GitHub Enterprise Cloud crée automatiquement un nom d’utilisateur pour chaque personne en normalisant un identificateur fourni par votre fournisseur d’identité. Pour plus d’informations, consultez « Considérations relatives au nom d’utilisateur pour l’authentification externe ».

Un conflit peut se produire lors de l’approvisionnement des utilisateurs si les parties uniques de l’identificateur fournies par votre fournisseur d’identité sont supprimées lors de la normalisation. Si vous ne parvenez pas à provisionner un utilisateur en raison d’un conflit de nom d’utilisateur, vous devez modifier le nom d’utilisateur fourni par votre IdP. Pour plus d’informations, consultez « Résolution des problèmes de nom d’utilisateur ».

Remarque : Étant donné que GitHub ajoute un trait de soulignement et un code court à l’identificateur normalisé fourni par votre fournisseur d’identité lors de la création de chaque nom d’utilisateur, les conflits ne peuvent se produire qu’au sein de chaque enterprise with managed users. Les Managed user accounts peuvent partager des identificateurs d’IdP ou des adresses e-mail avec d’autres comptes d’utilisateur sur GitHub.com qui se trouvent en dehors de l’entreprise.

Le nom de profil et l’adresse e-mail d’un managed user account sont également fournis par l’IdP. Les Managed user accounts ne peuvent pas changer leur nom de profil ou leur adresse e-mail sur GitHub et l’IdP peut uniquement fournir une seule adresse e-mail.

Support des développeurs avec plusieurs comptes d’utilisateur sur GitHub.com

Les personnes de votre équipe peuvent avoir besoin de contribuer aux ressources sur GitHub.com qui se trouvent en dehors de votre enterprise with managed users. Par exemple, vous pouvez envisager de gérer une entreprise distincte pour les projets open source de votre entreprise. Étant donné qu’un managed user account ne peut pas contribuer à des ressources publiques, les utilisateurs doivent gérer un compte personnel distinct pour ce travail.

Les personnes qui doivent contribuer à partir de deux comptes d’utilisateur sur GitHub.com à l’aide d’une seule station de travail peuvent configurer Git pour simplifier le processus. Pour plus d’informations, consultez « Gestion de plusieurs comptes ».