À propos de SSO SAML pour votre instance GitHub Enterprise Server
L'authentification unique SAML permet aux utilisateurs de s'authentifier et d'accéder à votre instance GitHub Enterprise Server via un système externe de gestion des identités.
SAML est un standard basé sur XML pour l'authentification et l'autorisation. Quand vous configurez SAML pour votre instance GitHub Enterprise Server, le système externe d'authentification s'appelle un fournisseur d'identité (IdP). Votre instance fait office de fournisseur de service SAML. Pour plus d'informations sur la norme SAML, consultez Security Assertion Markup Language sur Wikipédia.
Remarque : Vous pouvez utiliser SAML ou LDAP, mais pas les deux.
Lorsque vous utilisez SAML ou CAS, l’authentification à deux facteurs n’est pas prise en charge ou gérée sur l’instance GitHub Enterprise Server, mais elle peut être prise en charge par le fournisseur d’authentification externe. L’authentification à 2 facteurs n’est pas disponible pour les organisations. Pour plus d’informations sur l’application de l’authentification à 2 facteurs dans les organisations, consultez « Exiger l’authentification à deux facteurs dans votre organisation ».
Après avoir configuré SAML, les personnes qui utilisent votre instance GitHub Enterprise Server doivent utiliser un personal access token pour authentifier des requêtes d'API. Pour plus d'informations, consultez « Gestion de vos jetons d'accès personnels ».
Si vous souhaitez autoriser l’authentification pour certaines personnes qui n’ont pas de compte sur votre fournisseur d’authentification externe, vous pouvez autoriser l’authentification de secours au niveau des comptes locaux sur votre instance GitHub Enterprise Server. Pour plus d’informations, consultez « Autorisation d’authentification intégrée pour les utilisateurs extérieurs à votre fournisseur ».
Pour plus d’informations sur la configuration de SAML SSO sur , consultez « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».
À propos de la création de comptes d'utilisateur
Par défaut, votre fournisseur d’identité ne communique pas avec GitHub Enterprise Server automatiquement lorsque vous attribuez ou désattribuez l’application. GitHub Enterprise Server crée un compte d’utilisateur en utilisant le provisionnement juste-à-temps (JIT) SAML la première fois qu’une personne accède à GitHub Enterprise Server et se connecte en s’authentifiant via votre fournisseur d’identité. Vous devrez peut-être notifier manuellement les utilisateurs lorsque vous accordez l’accès à GitHub Enterprise Server, et vous devez manuellement désactiver le compte d’utilisateur sur GitHub Enterprise Server lors de la désintégration.
Sinon, au lieu de l’approvisionnement JIT SAML, vous pouvez utiliser SCIM pour créer ou suspendre des comptes d’utilisateur et accorder ou refuser l’accès à votre instance GitHub Enterprise Server automatiquement après avoir attribué ou désattribué l’application sur votre IdP. SCIM pour GitHub Enterprise Server est actuellement en version bêta privée et peut faire l’objet de modifications. Pour plus d'informations, consultez « Configuring de l’attribution d’utilisateurs avec SCIM sur GitHub Enterprise Server ».
Avec le provisionnement JIT, si vous supprimez un utilisateur de votre IdP, vous devez également suspendre manuellement le compte de l’utilisateur sur votre instance GitHub Enterprise Server. À défaut, le propriétaire du compte pourra toujours s’authentifier avec des jetons d’accès ou des clés SSH. Pour plus d’informations, consultez « Suspension et réhabilitation d’utilisateurs ».
Fournisseurs d'identité pris en charge
GitHub Enterprise Server prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.
GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.
- Microsoft services de fédération Active Directory (AD FS)
- Microsoft Entra ID (actuellement appelé Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Si votre IdP prend en charge les assertions chiffrées, vous pouvez configurer des assertions chiffrées sur GitHub Enterprise Server pour renforcer la sécurité durant le processus d'authentification.
GitHub Enterprise Server ne prend pas en charge la déconnexion unique SAML. Pour mettre fin à une session SAML active, les utilisateurs doivent se déconnecter directement sur votre fournisseur d’identité SAML.
Pour aller plus loin
- « Utilisation de SAML pour la gestion des identités et des accès d'entreprise »
- Wiki SAML sur le site web OASIS
- System for Cross-domain Identity Management : protocole (RFC 7644) sur le site web IETF