Avec Enterprise Managed Users, vous gérez le cycle de vie et l’authentification de vos utilisateurs sur GitHub à partir d’un système de gestion des identités externe ou d’un fournisseur d’identité :
- Votre fournisseur d’identité approvisionne de nouveaux comptes d’utilisateur sur GitHub avec accès à votre entreprise.
- Les utilisateurs doivent s’authentifier sur votre fournisseur d’identité pour accéder aux ressources de votre entreprise sur GitHub.
- Vous contrôlez les noms d’utilisateur, les données de profil, l’appartenance à l’organisation et l’accès aux dépôts à partir de votre IdP.
- Si votre entreprise utilise l’authentification unique OIDC, GitHub validera l’accès à votre entreprise et à ses ressources en utilisant la stratégie d’accès conditionnel (CAP) de votre fournisseur d’identité. Consultez « About support for your IdP's Conditional Access Policy ».
- Comptes d’utilisateur managés ne peut pas créer de contenu public ou collaborer en dehors de votre entreprise. Consultez « Capacités et restrictions des comptes d’utilisateur managés ».
Note
Enterprise Managed Users n’est pas la meilleure solution pour chaque client. Pour déterminer si cela convient pour votre entreprise, consultez «Choix d’un type d’entreprise pour GitHub Enterprise Cloud».
Systèmes de gestion des identités
Les partenaires GitHub, avec certains développeurs de systèmes de gestion des identités, doivent fournir une intégration « prête à l’emploi » à Enterprise Managed Users. Pour simplifier votre configuration et garantir une prise en charge complète, utilisez un seul partenaire IdP pour l'authentification et l'approvisionnement.
Fournisseurs d'identité partenaires
Les fournisseurs d’identité partenaires fournissent une authentification à l’aide de SAML ou OIDC, et fournissent un approvisionnement avec System for Cross-domain Identity Management (SCIM).
| Fournisseur d’identité du partenaire | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
Lorsque vous utilisez un IdP partenaire unique pour l'authentification et l'approvisionnement, GitHub assure la prise en charge de l'application sur l'IdP partenaire, ainsi que l'intégration des IdP avec GitHub.
Autres systèmes de gestion des identités
Si vous ne pouvez pas utiliser un fournisseur d'identité partenaire unique pour l'authentification et l'approvisionnement, vous pouvez utiliser un autre système de gestion des identités ou une combinaison de systèmes. Le système doit :
- Respecter les instructions d’intégration de GitHub
- Fournir une authentification à l’aide de SAML, conformément à la spécification SAML 2.0
- Fournir la gestion du cycle de vie des utilisateurs à l’aide de SCIM, en respectant la spécification SCIM 2.0 et en communiquant avec l’API REST de GitHub (voir « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST »)
Note
L’approvisionnement des utilisateurs avec le schéma SCIM public de GitHub est en phase bêta publique et sujette à modification.
GitHub ne prend pas expressément en charge le mélange et la correspondance des fournisseurs d'identité partenaires pour l'authentification et l'approvisionnement, et ne teste pas tous les systèmes de gestion des identités. L’équipe de support technique de GitHub pourrait ne pas être en mesure de vous aider à résoudre les problèmes liés aux systèmes mixtes ou non testés. Si vous avez besoin d’aide, vous devez vérifier la documentation du système, contacter l’équipe de support technique ou consulter d’autres ressources.
Noms d’utilisateur et informations de profil
GitHub crée automatiquement un nom d’utilisateur pour chaque développeur en normalisant un identificateur fourni par votre fournisseur d’identité. Un conflit peut se produire si les parties uniques de l’identificateur sont supprimées lors de la normalisation. Consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».
Le nom de profil et l’adresse e-mail d’un compte d’utilisateur managé sont également fournis par l’IdP :
- Les ne peuvent pas modifier leur nom de profil ou leur adresse e-mail sur GitHub.
- Le fournisseur d’identité ne peut fournir qu’une seule adresse e-mail.
- Si vous modifiez l’adresse e-mail associée à un utilisateur dans votre IdP, cela dissocie l’utilisateur de l’historique des contributions associé à son ancienne adresse e-mail.
Gestion des rôles et de l’accès
Sur votre fournisseur d’identité, vous pouvez donner à chaque compte d’utilisateur managé un rôle dans votre entreprise, comme membre, propriétaire ou collaborateur invité. Consultez « Rôles dans une entreprise ».
Vous pouvez gérer manuellement les appartenances (et l’accès aux dépôts) à l’organisation ou vous pouvez mettre à jour les appartenances automatiquement à l’aide de groupes d’IdP. Consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».
Authentification pour comptes d’utilisateur managés
Les emplacements où les comptes d’utilisateur managés peuvent s’authentifier sur GitHub dépend de la façon dont vous configurez l’authentification (SAML ou OIDC). Consultez « Authentification avec Enterprise Managed Users ».
Par défaut, lorsqu'un utilisateur non authentifié tente d'accéder à votre entreprise, GitHub affiche une erreur 404. Vous pouvez éventuellement activer les redirections automatiques vers l’authentification unique (SSO) à la place. Consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».