À propos du provisionnement avec Okta
Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un fournisseur d’identité partenaire. Vous pouvez donc simplifier votre configuration d’authentification et d’approvisionnement à l’aide de l’application Okta pour Enterprise Managed Users. Pour plus d’informations, consultez À propos d’Enterprise Managed Users.
Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».
Fonctionnalités prises en charge
Enterprise Managed Users prend en charge les fonctionnalités d’approvisionnement suivantes pour Okta.
Fonctionnalité | Description |
---|---|
Push New Users | Les utilisateurs attribués à l’application de GitHub Enterprise Managed User dans Okta sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud. |
Push Profile Update | Les mises à jour effectuées sur le profil de l’utilisateur dans Okta seront poussées sur GitHub Enterprise Cloud. |
Push Groups | Les groupes dans Okta qui sont attribués à l’application the GitHub Enterprise Managed User en tant que groupes Push sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud. |
Push User Deactivation | La désattribution de l’utilisateur de |
l’application de GitHub Enterprise Managed User dans Okta désactivera l’utilisateur sur GitHub Enterprise Cloud. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées. | |
Reactivate Users | Les utilisateurs Okta dont les comptes Okta sont réactivés et qui sont réattribués à l’application de GitHub Enterprise Managed User sur Okta seront activés. |
Note
Enterprise Managed Users ne prend pas en charge la modification des noms d’utilisateur.
Prérequis
Si vous configurez l’approvisionnement SCIM pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez Bien démarrer avec Enterprise Managed Users.
En outre :
- Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.
- Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.
Configuration de SCIM
Une fois que vous avez configuré vos paramètres SAML dans l’application Okta, vous pouvez continuer à configurer les paramètres d’approvisionnement. Si vous n’avez pas encore configuré les paramètres SAML, consultez Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users.
Pour configurer l’approvisionnement, l’utilisateur de configuration avec le nom d’utilisateur @SHORT-CODE_admin doit fournir un personal access token (classic) avec l’étendue scim:enterprise. Consultez Bien démarrer avec Enterprise Managed Users.
-
Accédez à votre application GitHub Enterprise Managed User sur Okta.
-
Cliquez sur l'onglet Configuration.
-
Dans le menu de paramètres, cliquez sur Integration.
-
Pour effectuer des modifications, cliquez sur Edit.
-
Cliquez sur Configurer l’intégration d’API.
-
Dans le champ Jeton d’API, saisissez le personal access token (classic) appartenant à l’utilisateur configuré.
Note
« Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.
-
Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.
-
Pour enregistrer le jeton, cliquez sur Save.
-
Dans le menu de paramètres, cliquez sur To App.
-
À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.
-
Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.
-
Pour terminer la configuration du provisionnement, cliquez sur Save.
Comment attribuer des utilisateurs et des groupes ?
Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.
Note
Pour éviter de dépasser la limitation de débit sur GitHub Enterprise Cloud, n’affectez pas plus de 1 000 utilisateurs par heure à l’intégration SCIM de votre IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez « Résolution des problèmes de gestion des identités et des accès pour votre entreprise ».
Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité.
Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Cloud. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».
Note
Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.
Comment déprovisionner des utilisateurs et des groupes ?
Pour supprimer un utilisateur ou un groupe de GitHub Enterprise Cloud, supprimez l’utilisateur ou le groupe de l’onglet « Assignments » et de l’onglet « Push groups » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».