Remarque : La prise en charge d’OpenID Connect (OIDC) et de la stratégie d’accès conditionnel pour Enterprise Managed Users est disponible seulement pour Azure AD.
À propos d’OIDC pour les utilisateurs managés par l’entreprise
Avec Enterprise Managed Users, votre entreprise utilise votre fournisseur d'identité (IdP) pour authentifier tous les membres. Vous pouvez utiliser OpenID Connect (OIDC) pour gérer l’authentification de votre entreprise avec utilisateurs managés. L’activation de l’authentification unique OIDC est un processus d’installation en un clic avec des certificats managés par GitHub et votre fournisseur d’identité.
Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé. Pour plus d’informations, consultez « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».
Vous pouvez ajuster la durée de vie d’une session et la fréquence à laquelle un compte d’utilisateur managé doit se réauthentifier avec votre IdP, en modifiant la propriété de stratégie de durée de vie des jetons d’ID émis pour GitHub par votre IdP. La durée de vie par défaut est d’une heure. Pour plus d’informations, consultez « Durées de vie des jetons configurables dans le plateforme d'identités Microsoft » dans la documentation Azure AD.
Remarque : Si vous avez besoin d’aide pour configurer la durée de vie de la session, contactez le Support Microsoft.
Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».
Avertissement : Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis votre instance GitHub Enterprise Server, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Azure AD, sinon votre migration peut être bloquée.
Prise en charge des fournisseurs d’identité
Le support d’OIDC est disponible pour les clients utilisant Azure Active Directory (Azure AD).
Chaque abonné Azure AD ne peut prendre en charge qu’une seule intégration OIDC avec Enterprise Managed Users. Si vous souhaitez connecter Azure AD à plusieurs entreprises sur GitHub, utilisez SAML à la place. Pour plus d’informations, consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».
Configuration d’OIDC pour les utilisateurs managés par l’entreprise
-
Connectez-vous à GitHub.com comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @CODE-COURT_admin.
-
Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.
-
Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.
-
Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification unique OpenID Connect », sélectionnez Exiger l’authentification unique OIDC.
-
Pour continuer à configurer et être redirigé vers Azure AD, cliquez sur Enregistrer.
-
Une fois que GitHub Enterprise Cloud vous redirige vers votre IdP, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Azure AD demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.
Avertissement : Vous devez vous connecter à Azure AD en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).
-
Cliquez sur Activer l’authentification OIDC.
Activation de l'approvisionnement
Après avoir activé l’authentification unique OIDC, activez l’approvisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».