Basculement de votre configuration SAML d’une organisation à un compte d’entreprise

Découvrez des considérations spéciales et les bonnes pratiques pour remplacer une configuration SAML au niveau de l’organisation par une configuration SAML au niveau de l’entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners can configure SAML single sign-on for an enterprise account.

Dans cet article

À propos de l’authentification unique SAML pour les comptes d’entreprise

L’authentification unique SAML donne aux propriétaires d’organisation et d’entreprise utilisant GitHub Enterprise Cloud un moyen de contrôler et de sécuriser l’accès aux ressources de l’organisation, comme les référentiels, les problèmes et les demandes de tirage. Les propriétaires d’entreprise peuvent activer une authentification unique (SSO) SAML et une authentification centralisée via un fournisseur d’identité SAML dans toutes les organisations appartenant à un compte d’entreprise. Une fois que vous avez activé SSO SAML pour votre compte d’entreprise, SSO SAML est appliqué pour toutes les organisations appartenant à votre compte d’entreprise. Tous les membres devront s’authentifier à l’aide de SSO SAML pour accéder aux organisations dont ils sont membres, et les propriétaires d’entreprise devront s’authentifier à l’aide de SSO SAML lors de l’accès à un compte d’entreprise.

Il existe des considérations particulières à prendre en compte lors de l’activation de l’authentification unique (SSO) SAML pour votre compte d’entreprise si l’une des organisations authentification appartenant au compte d’entreprise est déjà configurée pour utiliser la SSO SAML.

Lorsque vous configurez l’authentification unique SAML au niveau de l’organisation, chaque organisation doit être configurée avec un locataire SSO unique dans votre fournisseur d’identité, ce qui signifie que vos membres sont associés à un enregistrement d’identité SAML unique pour chaque organisation avec laquelle ils ont réussi à s’authentifier. Si vous configurez l’authentification unique SAML pour votre compte d’entreprise à la place, chaque membre d’entreprise aura une identité SAML utilisée pour toutes les organisations appartenant au compte d’entreprise.

Une fois que vous avez configuré l’authentification unique SAML pour votre compte d’entreprise, la nouvelle configuration remplace toutes les configurations d’authentification unique SAML existantes pour les organisations appartenant au compte d’entreprise. Tous les paramètres de synchronisation d’équipe que vous avez configurés seront également supprimés de ces organisations. Si vous envisagez de réactiver la synchronisation d’équipe, avant d’activer la SSO SAML pour votre entreprise, notez la configuration actuelle de la synchronisation d’équipe dans les organisations concernées. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes pour votre organisation ».

Les membres d’entreprise ne sont pas avertis lorsqu’un propriétaire d’entreprise active SAML pour le compte d’entreprise. Si l’authentification unique SAML était précédemment appliquée au niveau de l’organisation, les membres ne doivent pas voir une différence majeure lorsqu’ils accèdent directement aux ressources de l’organisation. Les membres continuent d’être invités à s’authentifier via SAML. Si les membres accèdent aux ressources de l’organisation via leur tableau de bord de fournisseur d’identité, ils doivent cliquer sur la nouvelle vignette de l’application au niveau de l’entreprise, au lieu de l’ancienne vignette de l’application au niveau de l’organisation. Les membres pourront ensuite choisir l’organisation à laquelle accéder.

Chaque personal access token (PAT), les clés SSH, les OAuth apps et les GitHub Apps qui étaient précédemment autorisés pour l’organisation continuent d’être autorisés pour l’organisation. Toutefois, les membres doivent autoriser les jetons PAT, les clés SSH, les OAuth apps et les GitHub Apps qui n’ont jamais été autorisés à être utilisés avec l’authentification unique SAML pour l’organisation.

Le provisionnement SCIM n’est actuellement pas pris en charge lorsque l’authentification unique SAML est configurée pour un compte d’entreprise. Si vous utilisez actuellement SCIM pour une organisation appartenant à votre compte d’entreprise, vous perdrez cette fonctionnalité lors du passage à une configuration au niveau de l’entreprise.

Vous n’êtes pas obligé de supprimer les configurations SAML au niveau de l’organisation avant de configurer l’authentification unique SAML pour votre compte d’entreprise, mais vous pouvez envisager de le faire. Si SAML est désactivé pour le compte d’entreprise à l’avenir, toutes les configurations SAML restantes au niveau de l’organisation prendront effet. La suppression des configurations au niveau de l’organisation peut empêcher des problèmes inattendus à l’avenir.

Pour plus d’informations sur la décision d’implémenter l’authentification unique SAML au niveau de l’organisation ou de l’entreprise, consultez « À propos de la gestion de l'identité et de l'accès ».

Basculement de votre configuration SAML d’une organisation à un compte d’entreprise

  1. Appliquez l’authentification unique SAML pour votre compte d’entreprise, en vous assurant que tous les membres de l’organisation sont affectés ou se voient attribuer l’accès à l’application de fournisseur d’identité utilisée pour le compte d’entreprise. Pour plus d’informations, consultez « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».
  2. Si vous avez maintenu en place des configurations SAML au niveau de l’organisation, pour éviter toute confusion, envisagez de masquer la vignette pour les applications au niveau de l’organisation dans votre fournisseur d’identité.
  3. Conseillez les membres de votre entreprise au sujet de la modification.