À propos de SAML pour la gestion des identités et des accès d'entreprise

Vous avez la possibilité d’utiliser l’authentification unique SAML (SSO) afin d’administrer de manière centralisée l’accès à votre instance GitHub Enterprise Server.

Dans cet article

À propos de l’authentification unique SAML (SSO) pour votre entreprise

L'authentification unique SAML permet aux utilisateurs de s'authentifier et d'accéder à votre instance GitHub Enterprise Server via un système externe de gestion des identités.

SAML est un standard basé sur XML pour l'authentification et l'autorisation. Quand vous configurez SAML pour votre instance GitHub Enterprise Server, le système externe d'authentification s'appelle un fournisseur d'identité (IdP). Votre instance fait office de fournisseur de service SAML. Pour plus d'informations sur la norme SAML, consultez Security Assertion Markup Language sur Wikipédia.

Remarque

Vous pouvez utiliser SAML ou LDAP, mais pas les deux.

Lorsque vous utilisez SAML ou CAS, l’authentification à deux facteurs n’est pas prise en charge ou gérée sur l’instance GitHub Enterprise Server, mais elle peut être prise en charge par le fournisseur d’authentification externe. L’authentification à 2 facteurs n’est pas disponible pour les organisations. Pour plus d’informations sur l’application de l’authentification à 2 facteurs dans les organisations, consultez Exiger l’authentification à deux facteurs dans votre organisation.

Après avoir configuré SAML, les personnes qui utilisent votre instance GitHub Enterprise Server doivent utiliser un personal access token pour authentifier des requêtes d'API. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».

Si vous souhaitez autoriser l’authentification pour certaines personnes qui n’ont pas de compte sur votre fournisseur d’authentification externe, vous pouvez autoriser l’authentification de secours au niveau des comptes locaux sur votre instance GitHub Enterprise Server. Pour plus d’informations, consultez « Autorisation d’authentification intégrée pour les utilisateurs extérieurs à votre fournisseur ».

Pour plus d’informations sur la configuration de l’authentification unique SAML SSO sur GitHub, consultez Configuration d'une authentification unique (SSO) SAML pour votre entreprise.

À propos de la création de comptes d'utilisateur

Par défaut, votre fournisseur d’identité ne communique pas automatiquement avec GitHub lorsque vous attribuez ou désattribuez l’application. GitHub et crée un compte utilisateur en utilisant le provisionnement SAML Just-in-Time (JIT) la première fois que quelqu'un accède à votre instance GitHub Enterprise Server, puis se connecte en s'authentifiant via votre fournisseur d'identité (IdP). Vous devrez peut-être notifier manuellement les utilisateurs lorsque vous leur accordez l’accès à GitHub, et vous devrez manuellement et désactiver le compte d’utilisateur sur GitHub lors du débarquement.

Au lieu du provisionnement JIT SAML, vous pouvez utiliser SCIM pour , créer ou suspendre des comptes utilisateurs et accorder ou refuser l'accès à votre instance GitHub Enterprise Server automatiquement après avoir attribué ou désattribué l'application sur votre IdP. SCIM pour GitHub Enterprise Server est actuellement en bêta publique préversion publique et est sujet à modification. Pour plus d’informations, consultez À propos de l’approvisionnement d’utilisateurs avec SCIM sur GitHub Enterprise Server.

Avec le provisionnement JIT, si vous supprimez un utilisateur de votre IdP, vous devez également suspendre manuellement le compte de l’utilisateur sur votre instance GitHub Enterprise Server. À défaut, le propriétaire du compte pourra toujours s’authentifier avec des jetons d’accès ou des clés SSH. Pour plus d’informations, consultez « Suspension et réactivation d’utilisateurs ».

Fournisseurs d'identité pris en charge

GitHub supporte le SAML SSO avec les IdP qui implémentent le standard SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité SAML suivants. Pour plus d’informations sur les fournisseurs d’identité pris en charge pour SCIM sur GitHub Enterprise Server, consultez À propos de l’approvisionnement d’utilisateurs avec SCIM sur GitHub Enterprise Server.

  • Microsoft services de fédération Active Directory (AD FS)
  • Microsoft Entra ID (actuellement appelé Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Si votre IdP prend en charge les assertions chiffrées, vous pouvez configurer des assertions chiffrées sur GitHub Enterprise Server pour renforcer la sécurité au cours du processus d’authentification.

GitHub ne supporte pas SAML Single Logout. Pour mettre fin à une session SAML active, les utilisateurs doivent se déconnecter directement sur votre fournisseur d’identité SAML.

Pour aller plus loin