Skip to main content

À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité

Lorsque votre entreprise utilise l’authentification unique OIDC, GitHub peut valider l’accès à votre entreprise et à ses ressources en utilisant la stratégie d’accès conditionnel de votre fournisseur d’identité.

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Remarque : La prise en charge d’OpenID Connect (OIDC) et de la stratégie d’accès conditionnel pour Enterprise Managed Users est disponible seulement pour Azure AD.

À propos de la prise en charge des stratégies d’accès conditionnel

Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé.

GitHub Enterprise Cloud prend en charge la stratégie d’accès conditionnel pour toutes les enterprise with managed users où l’authentification unique OIDC est activée. GitHub Enterprise Cloud applique les conditions IP de votre fournisseur d’identité, mais ne peut pas appliquer les conditions de conformité de l’appareil. Les propriétaires d’entreprise peuvent choisir d’utiliser cette configuration de liste d’adresses IP autorisées au lieu de la liste d’adresses IP autorisées de GitHub Enterprise Cloud, et peuvent le faire une fois l’authentification unique OIDC configurée. Pour plus d’informations sur les listes d’adresses IP autorisées, consultez « Restriction du trafic réseau avec une liste d’adresses IP autorisées » et « Gestion des adresses IP autorisées pour votre organisation ».

Pour plus d’informations sur l’utilisation d’OIDC avec Enterprise Managed Users, consultez Configurer OIDC pour les utilisateurs d’entreprise managés et Migration de SAML à OIDC.

Considérations relatives aux intégrations et aux automatisations

GitHub envoie l’adresse IP d’origine à votre fournisseur d’identité pour validation par rapport à votre stratégie d’autorisation de connexion. Pour vous assurer que les actions et les applications ne sont pas bloquées par la stratégie d’autorisation de connexion de votre fournisseur d’identité, vous devrez apporter des modifications à votre configuration.

Avertissement : Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis your GitHub Enterprise Server instance, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Azure AD, sinon votre migration peut être bloquée.

GitHub Actions

Les actions qui utilisent un personal access token seront probablement bloquées par la stratégie d’accès conditionnel de votre fournisseur d’identité. Nous recommandons que les personal access token soient créés par un compte de service qui est ensuite exempté des contrôles d’IP dans la stratégie d’accès conditionnel de votre fournisseur d’identité.

Si vous ne pouvez pas utiliser un compte de service, une autre option pour débloquer les actions qui utilisent des personal access token consiste à autoriser les plages d’IP utilisées par GitHub Actions. Pour plus d’informations, consultez À propos des adresses IP de GitHub.

GitHub Apps et OAuth Apps

Lorsque GitHub Apps et OAuth Apps font des demandes au nom d’un membre, GitHub enverra l’adresse IP du serveur de l’application à votre fournisseur d’identité pour validation. Si l’adresse IP du serveur de l’application n’est pas validée par la stratégie d’autorisation de connexion de votre fournisseur d’identité, la demande échouera.

Vous pouvez contacter les propriétaires des applications que vous souhaitez utiliser, demander leurs plages d’adresses IP et configurer la stratégie d’autorisation de connexion de votre fournisseur d’identité pour autoriser l’accès à partir de ces plages d’adresses IP. Si vous ne parvenez pas à contacter les propriétaires, vous pouvez consulter les journaux d’ouverture de session de votre fournisseur d’identité pour voir les adresses IP qui ont fait l’objet des demandes, puis les inscrire sur une liste d’autorisation.

Si vous ne souhaitez pas autoriser toutes les plages d’adresses IP pour toutes les applications de votre entreprise, vous pouvez également exempter les GitHub Apps installées et les OAuth Apps autorisées de la liste d’autorisations du fournisseur d’identité. Si vous le faites, ces applications continueront de fonctionner quelle que soit l’adresse IP d’origine. Pour plus d’informations, consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».