Configuration du provisionnement SCIM pour Enterprise Managed Users

Vous pouvez gérer le cycle de vie des comptes d’utilisateurs de votre entreprise sur GitHub.com à partir de votre fournisseur d’identité (IdP, Identity Provider) à l’aide de System for Cross-domain Identity Management (SCIM).

Qui peut utiliser cette fonctionnalité ?

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Dans cet article

À propos du provisionnement pour Enterprise Managed Users

Pour créer, gérer et désactiver des comptes d’utilisateurs pour les membres de votre entreprise sur GitHub.com, votre fournisseur d’identité doit implémenter SCIM pour la communication avec GitHub. SCIM est une spécification ouverte pour la gestion des identités utilisateur entre différents systèmes. Chaque IdP aura une expérience de configuration différente pour l’approvisionnement SCIM.

Après avoir configuré l’approvisionnement pour Enterprise Managed Users, votre fournisseur d’identité utilise SCIM pour approvisionner les comptes d’utilisateurs sur GitHub.com et ajouter les comptes à votre entreprise. Si vous attribuez un groupe à l’application, votre fournisseur d’identité approvisionnera les nouveaux comptes d’utilisateur managés de tous les utilisateurs du groupe.

Si vous utilisez un fournisseur d’identité partenaire, vous pouvez simplifier la configuration de l’approvisionnement SCIM à l’aide de l’application du fournisseur d’identité partenaire. Si vous n’utilisez pas de fournisseur d’identité partenaire pour l’approvisionnement, vous pouvez implémenter SCIM à l’aide d’appels à l’API REST de GitHub pour SCIM, qui est disponible en version bêta et susceptible d’être modifiée. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

SCIM gère le cycle de vie des comptes d’utilisateurs de votre entreprise. Quand vous mettez à jour les informations associées à l’identité d’un utilisateur sur votre IdP, celui-ci met à jour le compte d’utilisateur sur GitHub.com. Quand vous annulez l’attribution de l’utilisateur depuis l’application du fournisseur d’identité pour Enterprise Managed Users ou que vous désactivez un compte d’utilisateur sur votre fournisseur d’identité, votre fournisseur d’identité communique avec GitHub pour rendre toutes les sessions non valables et désactiver le compte du membre. Les informations du compte désactivé sont conservées et le nom d’utilisateur est remplacé par un hachage du nom d’utilisateur d’origine avec le code court en suffixe. Si vous réattribuez un utilisateur à l’application du fournisseur d’identité pour Enterprise Managed Users ou si vous réactivez son compte sur votre fournisseur d’identité, le compte d’utilisateur managé sur GitHub est réactivé et le nom d’utilisateur restauré.

Pour configurer l’appartenance à l’équipe et à l’organisation, l’accès au référentiel et les autorisations sur GitHub Enterprise Cloud, vous pouvez utiliser des groupes sur votre fournisseur d’identité. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Prérequis

Création d’un personal access token

Pour configurer le provisionnement pour votre entreprise avec utilisateurs managés, vous avez besoin d’un personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.

Avertissement : Si le jeton expire ou si un utilisateur provisionné crée le jeton, le provisionnement SCIM peut cesser de fonctionner de manière inattendue. Veillez à créer le jeton en étant connecté comme utilisateur de configuration et à ce que l’expiration du jeton soit définie sur « Pas d’expiration ».

  1. Connectez-vous à GitHub.com comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @CODE-COURT_admin.

  2. Dans le coin supérieur droit d’une page, cliquez sur votre photo de profil, puis sur Paramètres.

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  3. Dans la barre latérale gauche, cliquez sur Paramètres de développeur.

  4. Dans la barre latérale gauche, cliquez sur Personal access tokens.

  5. Cliquez sur Générer un nouveau jeton.

  6. Sous Note, donnez à votre jeton un nom descriptif.

  7. Sélectionnez le menu déroulant Expiration, puis cliquez sur Pas d’expiration.

  8. Sélectionnez l’étendue admin:enterprise.

    Capture d’écran d’une liste d’étendues avec des cases à cocher. L’étendue « admin:enterprise », accompagnée du texte « Contrôle total des entreprises », est sélectionnée et mise en évidence avec un encadré orange.

  9. Cliquez sur Générer un jeton.

  10. Pour copier le jeton dans le Presse-papiers, cliquez sur .

    Capture d’écran de la page « Personal access tokens ». À côté d’un jeton flouté, une icône de deux carrés qui se chevauchent est encadrée en orange.

  11. Pour enregistrer le jeton en vue d’une utilisation ultérieure, stockez le nouveau jeton de manière sécurisée dans un gestionnaire de mots de passe.

Configuration du provisionnement pour Enterprise Managed Users

Après avoir créé votre personal access token et l’avoir stocké en lieu sûr, vous pouvez configurer l’approvisionnement sur votre fournisseur d’identité. Les instructions à suivre diffèrent selon que vous utilisez ou non l'application d'un IdP partenaire pour l'authentification et l'approvisionnement.

Configuration de l'approvisionnement en cas d'utilisation de l'application d'un IdP partenaire

Pour utiliser l’application d’un fournisseur d’identité partenaire à la fois pour l’authentification et l’approvisionnement, passez en revue les instructions du partenaire pour configurer l’approvisionnement dans les liens du tableau suivant.

Fournisseur d’identitéMéthode SSOPlus d’informations
Microsoft Entra ID (précédemment appelé Azure AD)OIDCTutoriel : Configurer GitHub Enterprise Managed User (OIDC) pour l'attribution automatique d'utilisateurs sur Microsoft Learn
Entra IDSAMLTutoriel : Configurer GitHub Enterprise Managed User pour l'attribution automatique d'utilisateurs sur Microsoft Learn
OktaSAML« Configuration de l’approvisionnement SCIM avec Okta »
PingFederateSAMLConfigurer PingFederate pour l'approvisionnement et authentification unique (SSO) et Gestion des canaux dans la documentation PingFederate

Par ailleurs, si vous avez configuré l'authentification sur un IdP partenaire, mais que vous souhaitez approvisionner les utilisateurs à partir d'un système de gestion des identités différent, vous pouvez demander à votre IdP d'appeler les points de terminaison de l'API REST de GitHub pour l'approvisionnement du SCIM.

Configuration de l'approvisionnement pour d'autres systèmes de gestion des identités

Si vous n'utilisez pas d'IDP partenaire ou si vous utilisez uniquement un fournisseur d'identité partenaire pour l'authentification, vous pouvez gérer le cycle de vie des comptes d'utilisateur à l'aide des points de terminaison de l'API REST de GitHub pour l'approvisionnement SCIM. Ces points de terminaison sont en version bêta et peuvent faire l'objet de modifications. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

  1. Connectez-vous à GitHub.com en tant qu’utilisateur de configuration de votre entreprise avec le nom d’utilisateur @SHORT-CODE_admin , en remplaçant SHORT-CODE par le code court de votre entreprise.

    Remarque : Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub.

  2. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  5. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  6. Sous « Ouvrir la configuration SCIM », sélectionnez « Activer la configuration SCIM ouverte ».

  7. Gérez le cycle de vie de vos utilisateurs en effectuant des appels aux points de terminaison de l'API REST pour l'approvisionnement SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Affectation d'utilisateurs et de groupes

Après avoir configuré l’authentification unique et l’approvisionnement, vous pourrez provisionner de nouveaux utilisateurs sur GitHub.com en attribuant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application GitHub Enterprise Managed User pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Cloud. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».

Entra ID ne prend pas en charge l’approvisionnement de groupes imbriqués. Pour plus d’informations, consultez Fonctionnement de l’approvisionnement d’applications dans Microsoft Entra ID sur Microsoft Learn.