À propos de l’authentification unique (SSO) SAML pour Enterprise Managed Users
Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com doit être authentifié par le biais de votre fournisseur d’identité (IdP). Au lieu de se connecter à GitHub avec un nom d’utilisateur et un mot de passe GitHub, les membres de votre entreprise se connectent par le biais de votre IdP.
Nous vous recommandons de stocker vos codes de récupération une fois l’authentification unique (SSO) SAML configurée pour que vous puissiez récupérer l’accès à votre entreprise en cas d’indisponibilité de votre fournisseur d’identité.
Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».
Prérequis
-
Vérifiez que vous comprenez les exigences d’intégration et le niveau de prise en charge de votre fournisseur d’identité. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
-
Votre fournisseur d’identité doit respecter la spécification SAML 2.0. Pour plus d'informations, consultez le Wiki SAML sur le site web OASIS.
-
Pour configurer l’authentification unique (SSO) SAML pour votre fournisseur d’identité avec Enterprise Managed Users, vous devez disposer d’un accès client et administratif sur votre fournisseur d’identité.
Configuration de l’authentification unique (SSO) SAML pour Enterprise Managed Users
Afin de configurer l’authentification unique (SSO) SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub.com. Après avoir configuré l’authentification unique SAML, vous pouvez configurer le provisionnement d’utilisateur.
Configuration de votre fournisseur d’identité
-
Si vous utilisez un fournisseur d’identité partenaire, pour installer l’application GitHub Enterprise Managed User, cliquez sur l’un des liens suivants.
-
Application Microsoft Entra ID dans Place de marché Azure (ID Entra était précédemment appelé Azure AD)
-
Application Okta dans le répertoire d’intégrations d’Okta
-
Site web des téléchargements PingFederate
- Pour télécharger le connecteur PingFederate, accédez à l’onglet Modules complémentaires et sélectionnez GitHub EMU Connector 1.0.
-
-
Pour configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, lisez la documentation suivante. Si vous n’utilisez pas de fournisseur d’identité partenaire, vous pouvez utiliser la référence de configuration SAML pour GitHub Enterprise Cloud afin de créer et de configurer une application SAML 2.0 générique sur votre fournisseur d’identité.
- Entra ID sur Microsoft Learn
- Instructions pour Okta dans la documentation Okta
- Instructions PingFederate dans la documentation PingIdentity
- « Référence de configuration SAML »
-
Pour tester et configurer votre entreprise, affectez l’utilisateur qui configurera l’authentification unique (SSO) SAML pour votre entreprise sur GitHub.com ou vous-même à l’application que vous avez configurée pour Enterprise Managed Users sur votre fournisseur d’identité.
-
Pour poursuivre la configuration de votre entreprise sur GitHub.com, recherchez les informations suivantes sur l’application que vous avez installée sur votre fournisseur d’identité et notez-les.
Valeur Autres noms Description URL de connexion IdP URL de connexion, URL de l’IdP URL de l’application sur votre IdP URL d’identificateur de l’IdP Émetteur Identificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML Certificat de signature, encodé en Base64 Certificat public Certificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification
Configuration de votre entreprise
Après avoir configuré l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, vous pouvez configurer votre entreprise sur GitHub.com.
Après la configuration initiale de l’authentification unique (SSO) SAML, le seul paramètre que vous pouvez mettre à jour sur GitHub.com pour votre configuration SAML existante est le certificat SAML. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Désactivation de l'authentification et de l'approvisionnement pour les utilisateurs gérés par l'entreprise ».
-
Connectez-vous à GitHub.com en tant qu’utilisateur de configuration de votre entreprise avec le nom d’utilisateur @SHORT-CODE_admin , en remplaçant SHORT-CODE par le code court de votre entreprise.
Remarque : Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.
-
Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.
-
Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.
-
Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification unique SAML », sélectionnez Exiger l'authentification SAML.
-
Sous URL de connexion, saisissez le point de terminaison HTTPS de votre fournisseur d’identité pour les demandes SSO que vous avez notées au moment de la configuration du fournisseur d’identité.
-
Sous Émetteur, saisissez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.
-
Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.
-
Sous votre certificat public, à droite des méthodes de signature et de synthèse actuelles, cliquez sur .
-
Sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.
-
Avant d'activer l'authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.
-
Cliquez sur Enregistrer.
Remarque : une fois que vous exigez l’authentification unique (SSO) SAML pour votre entreprise, l’utilisateur de configuration n’aura plus accès à l’entreprise, mais restera connecté à GitHub. Seuls les comptes d’utilisateur managés provisionnés par votre fournisseur d’identité auront accès à l’entreprise.
-
Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub.com si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».
Activation de l'approvisionnement
Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».
Activation des collaborateurs invités
Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.
Si vous utilisez Entra ID ou Okta pour l’authentification SAML, il vous faudra peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités. Pour plus d’informations, consultez « Activation des collaborateurs invités ».