Synchronisation d’une équipe avec un groupe de fournisseurs d’identité

Dans cet article

Vous pouvez synchroniser une équipe GitHub Enterprise Cloud avec un groupe de fournisseur d’identité pris en charge pour ajouter et supprimer automatiquement les membres de l’équipe.

Qui peut utiliser cette fonctionnalité

Organization owners and team maintainers can synchronize a GitHub team with an IdP group.

Remarque : Si votre entreprise utilise Enterprise Managed Users, vous n’avez pas besoin d’utiliser la synchronisation d’équipe. À la place, vous pouvez gérer l’appartenance à l’équipe via la configuration SCIM que vous avez créée lors de la configuration de votre entreprise. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

À propos de la synchronisation d’équipe

Si la synchronisation d’équipe est activée pour votre compte d’entreprise ou d’organisation, vous pouvez synchroniser une équipe GitHub avec un groupe IdP. Lorsque vous synchronisez une équipe GitHub avec un groupe d’IdP, les modifications d’appartenance apportées au groupe d’IdP se répercutent automatiquement sur GitHub Enterprise Cloud, ce qui réduit le besoin de mises à jour manuelles et de scripts personnalisés. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes pour votre organisation » et « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Vous pouvez connecter jusqu’à cinq groupes de fournisseurs d’identité à une équipe GitHub Enterprise Cloud. Vous pouvez affecter un groupe de fournisseurs d’identité à plusieurs équipes GitHub Enterprise Cloud.

La synchronisation d’équipe ne prend pas en charge les groupes de fournisseurs d’identité comptant plus de 5 000 membres.

Une fois qu’une équipe GitHub est connectée à un groupe de fournisseurs d’identité, votre administrateur de fournisseur d’identité doit apporter des modifications d’appartenance à l’équipe via le fournisseur d’identité. Vous ne pouvez pas gérer l’appartenance à l’équipe sur GitHub Enterprise Cloud ou à l’aide de l’API.

Si votre organisation appartient à un compte d’entreprise, l’activation de la synchronisation d’équipe pour le compte d’entreprise remplacera les paramètres de synchronisation d’équipe au niveau de l’organisation. Pour plus d’informations, consultez « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

La synchronisation d’équipe n’est pas un service d’attribution d’utilisateurs. Dans la plupart des cas, elle n’invite pas les non-membres à rejoindre des organisations. Cela signifie qu’un utilisateur est ajouté avec succès à une équipe uniquement s’il est déjà membre de l’organisation. Toutefois, vous pouvez également autoriser la synchronisation d’équipe à réinviter des utilisateurs qui étaient précédemment membres de l’organisation et qui ont été supprimés. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes pour votre organisation » et « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Toutes les modifications de l’appartenance à l’équipe effectuées via votre fournisseur d’identité apparaissent dans le journal d’audit sur GitHub Enterprise Cloud en tant modifications apportées par le bot de synchronisation d’équipe. La synchronisation d’équipe récupère (fetch) les informations de groupe de votre fournisseur d’identité au moins une fois par heure et reflète les modifications apportées à l’appartenance au groupe de fournisseurs d’identité dans GitHub Enterprise Cloud. La connexion d’une équipe à un groupe de fournisseurs d’identité peut avoir pour effet de supprimer certains membres de l’équipe. Pour plus d’informations, consultez « Conditions requises pour les membres d’équipes synchronisées ».

Des équipes parentes ne peuvent pas se synchroniser avec des groupes de fournisseurs d’identité. Si l’équipe que vous souhaitez connecter à un groupe de fournisseurs d’identité est une équipe parente, nous vous recommandons de créer une équipe ou de supprimer les relations imbriquées qui font de votre équipe une équipe parente. Pour plus d’informations, consultez « À propos des équipes », « Création d’une équipe » et « Déplacement d’une équipe dans la hiérarchie de votre organisation ».

Pour gérer l’accès au dépôt pour toute équipe GitHub, y compris les équipes connectées à un groupe de fournisseurs d’identité, vous devez apporter des modifications avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos des équipes » et « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».

Vous pouvez également gérer la synchronisation d’équipe avec l’API. Pour plus d’informations, consultez « Teams ».

Conditions requises pour les membres d’équipes synchronisées

Une fois que vous avez connecté une équipe à un groupe de fournisseurs d’identité, la synchronisation d’équipe ajoute chaque membre du groupe IdP à l’équipe correspondante sur GitHub Enterprise Cloud uniquement si :

  • Si la synchronisation d’équipe n’est pas autorisée à inviter des non-membres dans votre organisation, la personne est déjà membre de l’organisation sur GitHub Enterprise Cloud.
  • La personne s’est déjà connectée avec son compte personnel sur GitHub Enterprise Cloud, et authentifiée auprès du compte d’organisation ou d’entreprise via une authentification unique SAML au moins une fois.
  • L’identité SSO de la personne est membre du groupe de fournisseurs d’identité.

Les équipes ou membres de groupe existants qui ne répondent pas à ces critères sont automatiquement supprimés de l’équipe sur GitHub Enterprise Cloud et perdent l’accès aux dépôts. La révocation de l’identité liée d’un utilisateur a également pour effet de supprimer l’utilisateur de toute équipe mappée aux groupes de fournisseur d’identité. Pour plus d’informations, consultez « Affichage et gestion de l’accès SAML d’un membre à votre organisation » et « Visualisation et gestion de l’accès SAML d’un utilisateur à votre entreprise ».

Un membre d’équipe supprimé peut être rajouté automatiquement à une équipe une fois qu’il s’est authentifié auprès du compte d’organisation ou d’entreprise à l’aide de SSO, et est déplacé vers le groupe de fournisseurs d’identité connecté.

Pour éviter toute suppression involontaire de membres d’équipe, nous vous recommandons d’appliquer une SSO SAML dans votre compte d’organisation ou d’entreprise, en créant de nouvelles équipes pour synchroniser les données d’appartenance, et en vérifiant l’appartenance au groupe de fournisseurs d’identité avant de synchroniser des équipes existantes. Pour plus d’informations, consultez « Appliquer l’authentification unique SAML pour votre organisation » et « Configuration d’une authentification unique (SSO) SAML pour votre entreprise ».

Prérequis

Pour connecter une équipe sur GitHub Enterprise Cloud à un groupe de fournisseurs d’identité, l’équipe doit déjà exister dans votre organisation. Même si vous avez configuré l’approvisionnement SCIM, la création d’un groupe dans votre fournisseur d’identité ne crée pas automatiquement une équipe sur GitHub Enterprise Cloud.

Avant de pouvoir connecter une équipe GitHub Enterprise Cloud avec un groupe de fournisseurs d’identité, un propriétaire d’organisation ou d’entreprise doit activer la synchronisation d’équipe pour votre compte d’organisation ou d’entreprise. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes pour votre organisation » et « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Pour éviter toute suppression involontaire de membres d’équipe, visitez le portail d’administration de votre fournisseur d’identité, et vérifiez que chaque membre de l’équipe actuelle se trouve également dans les groupes de fournisseurs d’identité que vous souhaitez connecter à cette équipe. Si vous n’avez pas accès à votre fournisseur d’identité, vous pouvez contacter l’administrateur de votre fournisseur d’identité.

Vous devez vous authentifier à l’aide d’une SSO SAML. Pour plus d’informations, consultez « Authentification à l’aide de l’authentification unique SAML ».

Connexion d’un groupe de fournisseurs d’identité à une équipe

Lorsque vous connectez un groupe de fournisseurs d’identité à une équipe GitHub Enterprise Cloud, tous les utilisateurs membres du groupe sont automatiquement ajoutés à l’équipe.

  1. Dans l’angle supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. Cliquez sur le nom de votre organisation.

  3. Sous le nom de votre organisation, cliquez sur Équipes.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. Cliquez sur le nom de l’équipe.

  5. En haut de la page de l’équipe, cliquez sur Paramètres.

    Capture d’écran de l’en-tête de la page d’une équipe. Un onglet, avec une icône d’engrenage et le texte « Paramètres », est entouré d’un encadré orange foncé.

  6. Sous « Groupes de fournisseurs d’identité », sélectionnez le menu déroulant Sélectionner des groupes et cliquez sur jusqu’à 5 groupes de fournisseurs d’identité.

  7. Cliquez sur Save changes.

Déconnexion d’un groupe de fournisseurs d’identité d’une équipe

  1. Dans l’angle supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. Cliquez sur le nom de votre organisation.

  3. Sous le nom de votre organisation, cliquez sur Équipes.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. Cliquez sur le nom de l’équipe.

  5. En haut de la page de l’équipe, cliquez sur Paramètres.

    Capture d’écran de l’en-tête de la page d’une équipe. Un onglet, avec une icône d’engrenage et le texte « Paramètres », est entouré d’un encadré orange foncé.

  6. Si vous le souhaitez, sous « Groupes de fournisseurs d’identité », à droite du groupe de fournisseurs d’identité que vous souhaitez déconnecter, cliquez sur .

  7. Cliquez sur Save changes.