Configuration d’OIDC pour les utilisateurs managés par l’entreprise

Dans cet article

Vous pouvez gérer automatiquement l’accès à votre compte d’entreprise sur GitHub en configurant l’authentification unique OpenID Connect (OIDC) et en activant le support de la stratégie d’accès conditionnel (CAP) de votre fournisseur d’identité.

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Remarque : La prise en charge d’OpenID Connect (OIDC) et de la stratégie d’accès conditionnel pour Enterprise Managed Users est disponible seulement pour Azure AD.

À propos d’OIDC pour les utilisateurs managés par l’entreprise

Avec Enterprise Managed Users, votre entreprise utilise votre fournisseur d'identité (IdP) pour authentifier tous les membres. Vous pouvez utiliser OpenID Connect (OIDC) pour gérer l’authentification de votre entreprise avec utilisateurs managés. L’activation de l’authentification unique OIDC est un processus d’installation en un clic avec des certificats managés par GitHub et votre fournisseur d’identité.

Quand votre entreprise utilise l’authentification unique OIDC, GitHub utilise automatiquement la stratégie d’accès conditionnel de votre fournisseur d’identité pour valider les interactions utilisateur avec GitHub quand des membres changent d’adresses IP, et chaque fois qu’un personal access token ou une clé SSH est utilisé. Pour plus d’informations, consultez « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».

Vous pouvez régler la durée de vie d’une session et la fréquence à laquelle un compte d’utilisateur managé doit se réauthentifier avec votre IdP, en modifiant la propriété de stratégie de durée de vie des jetons d’ID émis pour GitHub par votre IdP. La durée de vie par défaut est d’une heure. Pour plus d’informations, consultez « « Configurer les stratégies de durée de vie des jetons » dans la documentation Azure AD.

Remarque : si vous avez besoin d’aide pour configurer la durée de vie de la session, contactez le Support Microsoft.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Avertissement : Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis votre instance GitHub Enterprise Server, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Azure AD, sinon votre migration peut être bloquée.

Prise en charge des fournisseurs d’identité

Le support d’OIDC est disponible pour les clients utilisant Azure Active Directory (Azure AD).

Chaque abonné Azure AD ne peut prendre en charge qu’une seule intégration OIDC avec Enterprise Managed Users. Si vous souhaitez connecter Azure AD à plusieurs entreprises sur GitHub, utilisez SAML à la place. Pour plus d’informations, consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».

OIDC ne prend pas en charge l’authentification initiée par le fournisseur d’identité.

Configuration d’OIDC pour les utilisateurs managés par l’entreprise

  1. Connectez-vous à GitHub.com comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @CODE-COURT_admin.

  2. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  5. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  6. Sous « Authentification unique OpenID Connect », sélectionnez Exiger l’authentification unique OIDC.

  7. Pour continuer à configurer et être redirigé vers Azure AD, cliquez sur Enregistrer.

  8. Une fois que GitHub Enterprise Cloud vous redirige vers votre IdP, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Azure AD demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.

    Avertissement : Vous devez vous connecter à Azure AD en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).

  9. Pour vous assurer que vous pouvez toujours accéder à votre entreprise si votre fournisseur d’identité n’est jamais disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

  10. Cliquez sur Activer l’authentification OIDC.

Activation de l'approvisionnement

Après avoir activé l’authentification unique OIDC, activez l’approvisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».