Configuration du provisionnement SCIM pour Enterprise Managed Users

Dans cet article

Vous pouvez configurer votre fournisseur d’identité pour approvisionner de nouveaux utilisateurs et gérer leur appartenance à votre entreprise et à vos équipes.

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

À propos du provisionnement pour Enterprise Managed Users

Vous devez configurer le provisionnement pour Enterprise Managed Users afin de créer, gérer et désactiver des comptes d’utilisateur pour vos membres d’entreprise.

Une fois que vous avez configuré le provisionnement pour Enterprise Managed Users, les utilisateurs attribués à l’application GitHub Enterprise Managed User dans votre fournisseur d’identité sont provisionnés comme nouveaux comptes d’utilisateur managés sur GitHub via SCIM, et les comptes d’utilisateur managés sont ajoutés à votre entreprise. Si vous attribuez un groupe à l’application, tous les utilisateurs du groupe sont provisionnés comme nouveaux comptes d’utilisateur managés.

Quand vous mettez à jour les informations associées à l’identité d’un utilisateur sur votre IdP, celui-ci met à jour le compte d’utilisateur sur GitHub.com. Quand vous annulez l’attribution de l’utilisateur à l’application GitHub Enterprise Managed User ou que vous désactivez un compte d’utilisateur sur votre IdP, votre IdP communique avec GitHub pour invalider toutes les sessions et désactiver le compte du membre. Les informations du compte désactivé sont conservées et le nom d’utilisateur est remplacé par un hachage du nom d’utilisateur d’origine avec le code court en suffixe. Si vous réattribuez un utilisateur à l’application GitHub Enterprise Managed User ou réactivez son compte sur votre IdP, l’compte d’utilisateur managé sur GitHub est réactivé et le nom d’utilisateur restauré.

Les groupes de votre IdP peuvent être utilisés pour la gestion de l’appartenance aux équipes dans les organisations de votre entreprise, ce qui vous permet de configurer l’accès aux dépôts et les autorisations correspondantes par le biais de votre IdP. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Prérequis

Pour pouvoir configurer le provisionnement pour Enterprise Managed Users, vous devez configurer l’authentification unique SAML ou OIDC.

Création d’un personal access token

Pour configurer le provisionnement pour votre entreprise avec utilisateurs managés, vous avez besoin d’un personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.

Avertissement : Si le jeton expire ou si un utilisateur provisionné crée le jeton, le provisionnement SCIM peut cesser de fonctionner de manière inattendue. Veillez à créer le jeton en étant connecté comme utilisateur de configuration et à ce que l’expiration du jeton soit définie sur « Pas d’expiration ».

  1. Connectez-vous à GitHub.com comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @CODE-COURT_admin.

  2. Dans le coin supérieur droit d’une page, cliquez sur votre photo de profil, puis sur Paramètres.

    Capture d’écran du menu du compte de GitHub montrant les options permettant aux utilisateurs d’afficher et de modifier leur profil, leur contenu et leurs paramètres. L’élément de menu « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Paramètres de développeur.

  4. Dans la barre latérale gauche, cliquez sur Personal access tokens.

  5. Cliquez sur Générer un nouveau jeton.

  6. Sous Note, donnez à votre jeton un nom descriptif.

  7. Sélectionnez le menu déroulant Expiration, puis cliquez sur Pas d’expiration.

  8. Sélectionnez l’étendue admin:enterprise. Capture d’écran d’une liste d’étendues avec des cases à cocher. L’étendue « admin:enterprise », accompagnée du texte « Contrôle total des entreprises », est sélectionnée et mise en évidence avec un encadré orange.

  9. Cliquez sur Générer un jeton.

  10. Pour copier le jeton dans le Presse-papiers, cliquez sur .

    Capture d’écran de la page « Personal access tokens ». À côté d’un jeton flouté, une icône de deux carrés qui se chevauchent est encadrée en orange.

  11. Pour enregistrer le jeton en vue d’une utilisation ultérieure, stockez le nouveau jeton de manière sécurisée dans un gestionnaire de mots de passe.

Configuration du provisionnement pour Enterprise Managed Users

Après avoir créé votre personal access token et l’avoir stocké en lieu sûr, vous pouvez configurer le provisionnement sur votre fournisseur d’identité.

Remarque : Pour éviter de dépasser la limite de débit sur GitHub Enterprise Cloud, n’affectez pas plus de 1 000 utilisateurs par heure à l’application IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. Pour plus d’informations, consultez « Résolution des problèmes de gestion des identités et des accès pour votre entreprise ».

Pour configurer l’approvisionnement, suivez le lien approprié du tableau ci-dessous.

| Fournisseur d’identité | Méthode d’authentification unique | Plus d’informations | |---|||| | Azure AD | OIDC | Tutoriel : Configurer GitHub Enterprise Managed User (OIDC) pour l’approvisionnement automatique d’utilisateurs dans la documentation Azure AD | | Azure AD | SAML | Tutoriel : Configurer GitHub Enterprise Managed User pour l’approvisionnement automatique d’utilisateurs dans la documentation Azure AD | | Okta | SAML | Configuration du provisionnement SCIM pour les utilisateurs gérés Enterprise avec Okta | | PingFederate (bêta publique) | SAML | Configurer PingFederate pour l’approvisionnement et SSO et Gestion des canaux dans la documentation PingFederate |

Remarque : PingFederate est actuellement en version bêta publique et est susceptible d’être modifié.

Remarque : Azure AD ne prend pas en charge le provisionnement de groupes imbriqués. Pour plus d’informations, consultez Fonctionnement de l’approvisionnement d’applications dans Azure Active Directory.