Remarque : La prise en charge d’OpenID Connect (OIDC) et de la stratégie d’accès conditionnel pour Enterprise Managed Users est disponible seulement pour Microsoft Entra ID (précédemment appelé Azure AD).
À propos d’OIDC pour les utilisateurs managés par l’entreprise
Avec Enterprise Managed Users, votre entreprise utilise votre fournisseur d'identité (IdP) pour authentifier tous les membres. Vous pouvez utiliser OpenID Connect (OIDC) pour gérer l’authentification de votre entreprise avec utilisateurs managés. L’activation de l’authentification unique OIDC est un processus d’installation en un clic avec des certificats managés par GitHub et votre fournisseur d’identité.
Lorsque votre entreprise utilise le SSO OIDC, GitHub utilisera automatiquement les conditions IP de la politique d'accès conditionnel (CAP) de votre IdP pour valider les interactions avec GitHub lorsque les membres changent d'adresse IP, et pour chaque authentification avec une personal access token ou une clé SSH associée à un compte d'utilisateur. Consultez « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».
Vous pouvez régler la durée de vie d’une session et la fréquence à laquelle un compte d’utilisateur managé doit se réauthentifier avec votre IdP, en modifiant la propriété de stratégie de durée de vie des jetons d’ID émis pour GitHub par votre IdP. La durée de vie par défaut est d’une heure. Consultez « Configurer les stratégies de durée de vie des jetons » dans la documentation Microsoft.
Pour modifier la propriété de la stratégie de durée de vie, vous aurez besoin de l’ID d’objet associé à votre OIDC Enterprise Managed Users. Consultez « Recherche de l’ID objet de votre application OIDC Entra ».
Note
Si vous avez besoin d’aide pour configurer la durée de vie de la session, contactez le Support Microsoft.
Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».
Avertissement : Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis votre instance GitHub Enterprise Server, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Entra ID, sinon votre migration peut être bloquée.
Prise en charge des fournisseurs d’identité
La prise en charge de OIDC est disponible pour les clients utilisant Entra ID.
Chaque locataire Entra ID ne peut prendre en charge qu’une seule intégration OIDC avec Enterprise Managed Users. Si vous souhaitez connecter Entra ID à plusieurs entreprises sur GitHub, utilisez SAML à la place. Consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».
OIDC ne prend pas en charge l’authentification initiée par le fournisseur d’identité.
Configuration d’OIDC pour les utilisateurs managés par l’entreprise
-
Connectez-vous à GitHub comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @SHORT-CODE_admin.
-
Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.
-
Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.
-
Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification unique OpenID Connect », sélectionnez Exiger l’authentification unique OIDC.
-
Pour continuer à configurer et être redirigé vers Entra ID, cliquez sur Enregistrer.
-
Une fois que GitHub Enterprise Cloud vous redirige vers votre IdP, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Entra ID demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.
Avertissement : Vous devez vous connecter à Entra ID en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).
-
Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».
-
Cliquez sur Activer l’authentification OIDC.
Activation de l'approvisionnement
Après avoir activé l’authentification unique OIDC, activez l’approvisionnement. Consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
Activation des collaborateurs invités
Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.
Pour utiliser des collaborateurs invités avec l’authentification OIDC, vous devrez peut-être mettre à jour vos paramètres dans Entra ID. Consultez « Activation des collaborateurs invités ».