Configuration de l’approvisionnement SCIM avec Okta

Si vous utilisez Okta comme fournisseur d’identité (IdP, Identity Provider), vous pouvez gérer le cycle de vie des comptes d’utilisateurs de votre entreprise sur GitHub.com à l’aide de System for Cross-domain Identity Management (SCIM).

Qui peut utiliser cette fonctionnalité ?

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Dans cet article

À propos du provisionnement avec Okta

Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un fournisseur d’identité partenaire. Vous pouvez donc simplifier votre configuration d’authentification et d’approvisionnement à l’aide de l’application d’Okta pour Enterprise Managed Users. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Pour plus d’informations sur l’approvisionnement pour Enterprise Managed Users, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

Fonctionnalités prises en charge

Enterprise Managed Users prend en charge de nombreuses fonctionnalités d’approvisionnement d’Okta.

FonctionnalitéDescription
Push New UsersLes utilisateurs attribués à l’application GitHub Enterprise Managed User dans Okta sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud.
Push Profile UpdateLes mises à jour effectuées sur le profil de l’utilisateur dans Okta seront poussées sur GitHub Enterprise Cloud.
Push GroupsLes groupes dans Okta qui sont attribués à l’application GitHub Enterprise Managed User comme Push Groups sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud.
Push User DeactivationLa désattribution de l’utilisateur de l’application GitHub Enterprise Managed User dans Okta désactivera l’utilisateur sur GitHub Enterprise Cloud. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées.
Reactivate UsersLes utilisateurs dans Okta dont les comptes Okta sont réactivés et qui sont réattribués à l’application GitHub Enterprise Managed User seront activés.

Remarque : Enterprise Managed Users ne prend pas en charge la modification des noms d’utilisateur.

Prérequis

  • Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.

  • Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.

  • GitHub vous recommande d’authentifier uniquement les demandes avec l’application SCIM d’Okta à l’aide d’un personal access token (classic) associé à l’utilisateur de configuration de votre entreprise. Le jeton nécessite l’étendue admin:enterprise. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

Définition du nom de votre entreprise

Quand votre entreprise avec utilisateurs managés a été créée, vous pouvez commencer à configurer le provisionnement en définissant le nom de votre entreprise dans Okta.

  1. Accédez à votre application GitHub Enterprise Managed User sur Okta.
  2. Cliquez sur l’onglet Sign On.
  3. Pour effectuer des modifications, cliquez sur Edit.
  4. Sous « Advanced Sign-on Settings », dans la zone de texte « Enterprise Name », tapez le nom de votre entreprise. Par exemple, si vous accédez à votre entreprise à l’adresse https://github.com/enterprises/octoinc, le nom de votre entreprise est « octoinc ».
  5. Pour enregistrer le nom de votre entreprise, cliquez sur Save.

Configuration du provisionnement

Après avoir défini le nom de votre entreprise, vous pouvez passer à la configuration des paramètres de provisionnement.

Pour configurer le provisionnement, l’utilisateur de configuration avec le nom d’utilisateur @CODE-COURT_admin doit fournir un personal access token (classic) avec l’étendue admin:enterprise. Pour plus d’informations sur la création d’un jeton, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

  1. Accédez à votre application GitHub Enterprise Managed User sur Okta.

  2. Cliquez sur l'onglet Configuration.

  3. Dans le menu de paramètres, cliquez sur Integration.

  4. Pour effectuer des modifications, cliquez sur Edit.

  5. Sélectionnez Enable API integration.

  6. Dans le champ « API Token », entrez le personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.

    Note

    « Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.

  7. Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.

  8. Pour enregistrer le jeton, cliquez sur Save.

  9. Dans le menu de paramètres, cliquez sur To App.

  10. À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.

  11. Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.

  12. Pour terminer la configuration du provisionnement, cliquez sur Save.

Affectation d'utilisateurs et de groupes

Après avoir configuré l’authentification unique et l’approvisionnement, vous pourrez provisionner de nouveaux utilisateurs sur GitHub.com en attribuant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.

Remarque : Pour éviter de dépasser la limitation de débit sur GitHub Enterprise Cloud, n’affectez pas plus de 1 000 utilisateurs par heure à l’intégration SCIM de votre IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez « Résolution des problèmes de gestion des identités et des accès pour votre entreprise ».

Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application GitHub Enterprise Managed User pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Cloud. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».

Remarque : Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez attribuer des rôles à tous les membres d’un groupe associé à l’application GitHub Enterprise Managed User, vous devez définir l’attribut « Roles » individuellement pour chacun des membres du groupe.

Déprovisionnement des utilisateurs et des groupes

Pour supprimer un utilisateur ou un groupe de GitHub Enterprise Cloud, supprimez l’utilisateur ou le groupe de l’onglet « Assignments » et de l’onglet « Push groups » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».