Gestion de la synchronisation des équipes pour votre organisation

À propos de la synchronisation d’équipe

Vous pouvez activer la synchronisation des équipes entre votre IdP et GitHub pour permettre aux propriétaires d'organisations et aux responsables d'équipes de connecter les équipes de votre organisation aux groupes IdP.

Si la synchronisation des équipes est activée pour votre organisation ou votre compte d'entreprise, vous pouvez synchroniser une équipe GitHub avec un groupe IdP. Ainsi, les modifications apportées à l'adhésion au groupe IdP sont automatiquement répercutées sur GitHub, ce qui réduit le besoin de mises à jour manuelles et de scripts personnalisés.

Pour connecter une équipe sur GitHub à un groupe IdP, l'équipe doit déjà exister dans votre organisation. Même si vous avez configuré le provisionnement SCIM, la création d'un groupe dans votre IdP ne crée pas automatiquement une équipe sur GitHub.

Vous pouvez utiliser la synchronisation d’équipe avec les fournisseurs d’identité pris en charge.

• Locataires commerciaux Entra ID (Gov Cloud n’est pas pris en charge)
• Okta

La synchronisation d’équipe n’est pas un service d’attribution d’utilisateurs. Dans la plupart des cas, elle n’invite pas les non-membres à rejoindre des organisations. Cela signifie qu’un utilisateur est ajouté avec succès à une équipe uniquement s’il est déjà membre de l’organisation. Toutefois, vous pouvez également autoriser la synchronisation d’équipe à réinviter des utilisateurs qui étaient précédemment membres de l’organisation et qui ont été supprimés.

Une fois que vous avez activé la synchronisation d’équipe, les chargés de maintenance d’équipe et les propriétaires d’organisation peuvent connecter une équipe à un groupe de fournisseurs d’identité sur GitHub ou via l’API. Pour plus d’informations, consultez « Synchronisation d’une équipe avec un groupe de fournisseurs d’identité » et « Points de terminaison d’API REST pour les équipes ».

Vous pouvez aussi activer la synchronisation d’équipe pour toutes les organisations appartenant à un compte d’entreprise. Si SAML est configuré au niveau de l’entreprise, vous ne pouvez pas activer la synchronisation d’équipe sur une organisation individuelle. À la place, vous devez configurer la synchronisation d’équipe pour l’ensemble de l’entreprise. Pour plus d’informations, consultez « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Si votre organisation appartient à un compte d’entreprise, l’activation de la synchronisation d’équipe pour le compte d’entreprise remplacera les paramètres de synchronisation d’équipe au niveau de l’organisation. Pour plus d’informations, consultez « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Limites d’utilisation

La fonctionnalité de synchronisation de l’équipe présente des limites d’utilisation. Le dépassement de ces limites conduira à une dégradation des performances, et peut provoquer des défaillances de synchronisation.

• Nombre maximal de membres dans une équipe GitHub : 5 000
• Nombre maximal de membres dans une organisation GitHub : 10 000
• Nombre maximal d’équipes dans une organisation GitHub : 1 500

Activation de la synchronisation d’équipe

Les étapes permettant d’activer la synchronisation d’équipe dépendent du fournisseur d’identité que vous voulez utiliser. Des prérequis s’appliquent à chaque fournisseur d’identité pour activer la synchronisation d’équipe. Chaque fournisseur d’identité a des prérequis supplémentaires.

Prérequis

Pour activer la synchronisation d’équipe avec un fournisseur d’identité (IdP), vous devez obtenir un accès administrateur à celui-ci, ou collaborer avec l’administrateur de votre IdP pour configurer l’intégration et les groupes d’IdP. La personne qui configure cette intégration et ces groupes doit disposer de l’une des autorisations requises.

Fournisseur d’identité	Autorisations requises
Entra ID	Administrateur global Administrateur de rôle privilégié
Okta	Utilisateur de service disposant d’autorisations d’administrateur en lecture seule

Vous devez activer l’authentification unique SAML pour votre organisation et votre fournisseur d’identité pris en charge. Pour plus d’informations, consultez « Appliquer l’authentification unique SAML pour votre organisation ».

Vous devez disposer d’une identité SAML liée. Pour créer une identité liée, vous devez vous authentifier auprès de votre organisation en utilisant l’authentification unique SAML et le fournisseur d’identité pris en charge au moins une fois. Pour plus d’informations, consultez « Authentification à l’aide de l’authentification unique SAML ».

Activation de la synchronisation d’équipe pour Entra ID

Pour activer la synchronisation d’équipe pour Entra ID, l’installation Entra ID doit disposer des autorisations suivantes.

• Lisez toutes les appartenances aux groupes : GitHub obtient une liste de groupes Entra afin que les utilisateurs puissent en sélectionner un pour se synchroniser avec une équipe GitHub spécifique.
• Lisez tous les profils complets des utilisateurs : GitHub obtient une liste des noms Entra ID et Entra des membres pour synchroniser un groupe Entra et une équipe GitHub.
• Connectez-vous et lisez le profil utilisateur : lorsque l’authentification unique SAML est activée, les utilisateurs doivent se connecter à l’application Entra comme condition préalable à la synchronisation d’équipe.

1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
2. En regard de l’organisation, cliquez sur Paramètres.
3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.
4. Vérifiez que l’authentification unique SAML est activée pour votre entreprise.
5. Sous « Synchronisation d’équipe », cliquez sur Activer pour Entra ID.
6. Vérifiez la synchronisation d’équipe.
   • Si vous avez accès au fournisseur d’identité, cliquez sur Activer la synchronisation d’équipe. Vous serez redirigé vers la page d’authentification unique (SSO) SAML de votre fournisseur d’identité, puis invité à sélectionner votre compte et à réviser les autorisations demandées.
   • Si vous n’avez pas d’accès au fournisseur d’identité, copiez le lien de redirection du fournisseur d'identité et partagez-le avec votre administrateur de fournisseur d’identité pour continuer à activer la synchronisation d’équipe.
7. Passez en revue les informations du locataire du fournisseur d’identité que vous voulez connecter à votre organisation, puis cliquez sur Approuver.

Activation de la synchronisation d’équipe pour Okta

La synchronisation d’équipe Okta nécessite que SAML et SCIM avec Okta aient déjà été configurés pour votre organisation.

Pour éviter les erreurs de synchronisation d’équipe potentielles avec Okta, nous vous recommandons de vérifier que les identités liées SCIM sont correctement configurées pour tous les membres de votre organisation qui sont membres de vos groupes Okta choisis avant d’activer la synchronisation d’équipe sur GitHub.

Si un membre de l’organisation n’a pas d’identité SCIM liée, la synchronisation d’équipe ne fonctionnera pas comme prévu, et l’utilisateur peut ne pas être ajouté ou supprimé des équipes comme prévu. Si une identité liée SCIM est manquante pour un de ces utilisateurs, vous devez les reprovisionner.

Pour obtenir de l’aide sur l’approvisionnement des utilisateurs pour lesquels une identité liée SCIM est manquante, consultez Dépannage de la gestion des identités et des accès pour votre organisation.

Avant d’activer la synchronisation d’équipe pour Okta, vous ou l’administrateur de votre fournisseur d’identité devez :

• Configurer l’authentification unique SAML et l’intégration SCIM pour votre organisation à l’aide d’Okta. Pour plus d’informations, consultez « Configuration de l’authentification unique SAML et de SCIM à l’aide d’Okta ».
• Fournir l’URL du locataire pour votre instance Okta.
• Générer un jeton SSWS valide avec des autorisations d’administrateur en lecture seule pour votre installation d’Okta en tant qu’utilisateur du service. Pour plus d’informations, consultez Créer le jeton et Utilisateurs du service dans la documentation Okta.

1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
2. En regard de l’organisation, cliquez sur Paramètres.
3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.
4. Vérifiez que l’authentification unique SAML est activée pour votre entreprise.
5. Nous vous recommandons de vérifier que vos utilisateurs ont SAML activé et disposent d’une identité SCIM liée pour éviter les erreurs d’approvisionnement potentielles. Pour plus d’informations, consultez « Dépannage de la gestion des identités et des accès pour votre organisation ».
6. Envisagez d’appliquer SAML dans votre organisation pour garantir que les membres de l’organisation lient leurs identités SAML et SCIM. Pour plus d’informations, consultez « Appliquer l’authentification unique SAML pour votre organisation ».
7. Sous « Synchronisation d’équipe », cliquez sur Activer pour Okta.
8. Sous le nom de votre organisation, dans le champ « Jeton SSWS », tapez un jeton SSWS valide.
9. Dans le champ « URL », tapez l’URL de votre instance Okta.
10. Passez en revue les informations du locataire du fournisseur d’identité que vous voulez connecter à votre organisation, puis cliquez sur Créer.

Gestion de la possibilité pour la synchronisation d’équipe de réinviter des non-membres dans votre organisation

Les modifications apportées à ce paramètre n'ont pas d'incidence sur les invitations en cours. Toute invitation générée alors que Team Sync était autorisé à réinviter d'anciens membres dans l'organisation peut entraîner la réinscription du membre dans l'organisation, même si la réinvitation a depuis été interdite.

1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
2. En regard de l’organisation, cliquez sur Paramètres.
3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.
4. Sous « Synchronisation d’équipe », sélectionnez ou désélectionnez l’option Ne pas autoriser la synchronisation d’équipe à réinviter dans cette organisation des anciens membres qui ont été supprimés par un propriétaire de l’organisation.

Désactivation de la synchronisation d’équipe

1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
2. En regard de l’organisation, cliquez sur Paramètres.
3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.
4. Sous « Synchronisation d’équipe », cliquez sur Désactiver la synchronisation d’équipe.