Avant de suivre les étapes décrites dans cet article, assurez-vous que votre entreprise utilise des utilisateurs managés. Pour ce faire, vérifiez si la vue d’entreprise comporte la barre d’en-tête « Utilisateurs gérés par NOM DU COMPTE » en haut de l’écran. Si vous la voyez, votre entreprise utilise des utilisateurs managés et vous pouvez suivre les étapes décrites dans cet article.
Si votre entreprise utilise des compte personnels, vous devez suivre un processus différent pour configurer l’authentification unique SAML. Consultez « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».
À propos de l’authentification unique (SSO) SAML pour Enterprise Managed Users
Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com ou GHE.com doit être authentifié par le biais de votre fournisseur d’identité (IdP). Au lieu de se connecter avec un nom d’utilisateur et un mot de passe GitHub, les membres de votre entreprise se connectent par le biais de votre IdP.
Nous vous recommandons de stocker vos codes de récupération une fois l’authentification unique (SSO) SAML configurée pour que vous puissiez récupérer l’accès à votre entreprise en cas d’indisponibilité de votre fournisseur d’identité.
Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».
Prérequis
-
Comprenez les exigences d’intégration et le niveau de prise en charge de votre fournisseur d’identité.
- GitHub offre une intégration « prête à l’emploi » et une prise en charge complète si vous utilisez un fournisseur d’identité partenaire pour l’authentification et l’approvisionnement.
- Vous pouvez également utiliser n’importe quel système ou toute combinaison de systèmes conformes à SAML 2.0 et SCIM 2.0. Toutefois, la prise en charge de la résolution des problèmes pour ces systèmes peut être limitée.
Pour plus d’informations, consultez À propos d’Enterprise Managed Users.
-
Votre fournisseur d’identité doit respecter la spécification SAML 2.0. Consultez le Wiki SAML sur le site web OASIS.
-
Vous devez disposer d’un accès administratif client à votre fournisseur d’identité.
-
Si vous configurez l’authentification unique SAML pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez « Bien démarrer avec Enterprise Managed Users ».
Configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users
Afin de configurer l’authentification unique (SSO) SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub. Après avoir configuré l’authentification unique SAML, vous pouvez configurer le provisionnement d’utilisateur.
Configurer votre fournisseur d’identité
-
Si vous utilisez un IdP partenaire, pour installer l’application GitHub Enterprise Managed User, cliquez sur le lien pour votre IdP et votre environnement.
Fournisseur d’identité Application pour GitHub.com Application pour GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User - ghe.com PingFederate PingFederate télécharge le site web (accédez à l'onglet Extensions et sélectionnez GitHub Connecteur EMU 1.0) PingFederate télécharge le site web (accédez à l'onglet Extensions et sélectionnez GitHub Connecteur EMU 1.0) -
Pour configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users sur un IdP partenaire, lisez la documentation pertinente pour votre IdP et votre environnement.
Fournisseur d’identité Documentation pour GitHub.com Documentation pour GHE.com Microsoft Entra ID Microsoft Learn Microsoft Learn Okta « Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users » « Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users » PingFederate « Configuration de l’authentification et de l’approvisionnement avec PingFederate » (sections « Conditions préalables » et « 1. Configurer SAML ») « Configuration de l’authentification et de l’approvisionnement avec PingFederate » (sections « Conditions préalables » et « 1. Configurer SAML ») Sinon, si vous n’utilisez pas d’IDP partenaire, vous pouvez utiliser la référence de configuration SAML pour GitHub Enterprise Cloud pour créer et configurer une application SAML 2.0 générique sur votre IdP. Consultez « Référence de configuration SAML ».
-
Pour tester et configurer votre entreprise, affectez l’utilisateur qui configurera l’authentification unique (SSO) SAML pour votre entreprise sur GitHub ou vous-même à l’application que vous avez configurée pour Enterprise Managed Users sur votre fournisseur d’identité.
Note
Pour vérifier que la connexion d'authentification est bien établie lors de la configuration, un utilisateur au moins doit être attribué à l'IdP.
-
Pour poursuivre la configuration de votre entreprise sur GitHub, recherchez les informations suivantes sur l’application que vous avez installée sur votre fournisseur d’identité et notez-les.
Valeur Autres noms Description URL de connexion IdP URL de connexion, URL de l’IdP URL de l’application sur votre IdP URL d’identificateur de l’IdP Émetteur Identificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML Certificat de signature, encodé en Base64 Certificat public Certificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification
Configurer votre entreprise
Après avoir configuré l’authentification unique (SSO) SAML pour Enterprise Managed Users sur votre fournisseur d’identité, vous pouvez configurer votre entreprise sur GitHub.
Après la configuration initiale de l’authentification unique (SSO) SAML, le seul paramètre que vous pouvez mettre à jour sur GitHub pour votre configuration SAML existante est le certificat SAML. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Désactivation de l'authentification et de l'approvisionnement pour les utilisateurs gérés par l'entreprise ».
-
Connectez-vous en tant qu'utilisateur de configuration de votre entreprise avec le nom d'utilisateur SHORT-CODE_admin, en remplaçant SHORT-CODE par le code court de votre entreprise.
Note
Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub. L’option de réinitialisation de mot de passe habituelle en fournissant votre adresse e-mail ne fonctionnera pas.
-
Si vous utilisez une idP non partenaire (un fournisseur d’identité autre que Okta, PingFederate ou Entra ID), avant d’activer SAML, vous devez mettre à jour un paramètre pour pouvoir configurer SCIM à l’aide de l’API REST. Consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
-
Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Votre entreprise.
-
Sur le côté gauche de la page, dans la barre latérale du compte d'entreprise, cliquez sur Fournisseur d'identité.
-
Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.
-
Dans la rubrique « Authentification unique SAML », sélectionnez Ajouter une configuration SAML.
-
Sous URL de connexion, saisissez le point de terminaison HTTPS de votre fournisseur d’identité pour les demandes SSO que vous avez notées au moment de la configuration du fournisseur d’identité.
-
Sous Émetteur, saisissez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.
-
Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.
-
Dans la rubrique Certificat public, sélectionnez les menus déroulants Méthode de signature et Méthode de hachage, puis cliquez sur l'algorithme de hachage utilisé par votre émetteur SAML.
-
Avant d'activer l'authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.
-
Cliquez sur Save SAML settings (Enregistrer les paramètres SAML).
Note
Après avoir requis l’authentification unique SAML pour votre entreprise et enregistré les paramètres SAML, l’utilisateur de configuration continuera à avoir accès à l’entreprise et restera connecté à GitHub ainsi qu’aux comptes d’utilisateur managés approvisionnés par votre fournisseur d’identité qui aura également accès à l’entreprise.
-
Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».
Activer l’approvisionnement
Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
Activer les collaborateurs invités
Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.
Si vous utilisez Entra ID ou Okta pour l’authentification SAML, il vous faudra peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités. Pour plus d’informations, consultez « Activation des collaborateurs invités ».