Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Configuration d’une authentification unique (SSO) SAML pour votre entreprise

Vous pouvez contrôler et sécuriser l’accès aux your GitHub Enterprise Server instance en la configuration de l’authentification unique (SSO) SAML par le biais de votre fournisseur d’identité (IdP).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

À propos de SSO SAML

L’authentification unique SAML vous permet de contrôler et de sécuriser de manière centralisée l’accès à your GitHub Enterprise Server instance à partir de votre fournisseur d’identité SAML. Quand un utilisateur non authentifié accède à your GitHub Enterprise Server instance dans un navigateur, GitHub Enterprise Server redirige l’utilisateur vers votre fournisseur d’identité SAML pour l’authentification. Une fois que l’utilisateur s’est authentifié avec un compte sur le fournisseur d’identité, celui-ci redirige l’utilisateur vers your GitHub Enterprise Server instance. GitHub Enterprise Server valide la réponse de votre IdP, puis accorde l’accès à l’utilisateur.

Une fois qu’un utilisateur s’est authentifié correctement sur votre fournisseur d’identité, la session SAML de l’utilisateur pour your GitHub Enterprise Server instance est active dans le navigateur pendant 24 heures. Après 24 heures, l’utilisateur doit s’authentifier à nouveau auprès de votre fournisseur d’identité.

Avec le provisionnement JIT, si vous supprimez un utilisateur de votre IdP, vous devez également suspendre manuellement le compte de l’utilisateur sur your GitHub Enterprise Server instance. À défaut, le propriétaire du compte pourra toujours s’authentifier avec des jetons d’accès ou des clés SSH. Pour plus d’informations, consultez « Suspension et rétablissement d’utilisateurs ».

Fournisseurs d’identité pris en charge

GitHub Enterprise Server prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configuration d’une SSO SAML

Vous pouvez activer ou désactiver l’authentification SAML pour your GitHub Enterprise Server instance ou modifier une configuration existante. Vous pouvez afficher et modifier les paramètres d’authentification pour GitHub Enterprise Server dans la console de gestion. Pour plus d’informations, consultez « Accès à la console de gestion ».

Remarque : GitHub vous recommande vivement de vérifier toute nouvelle configuration de l’authentification dans un environnement intermédiaire. Une configuration incorrecte peut entraîner un temps d’arrêt de your GitHub Enterprise Server instance. Pour plus d’informations, consultez « Configuration d’une instance intermédiaire ».

  1. À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur dans le coin supérieur droit de n’importe quelle page.

    Capture d’écran de l’icône représentant une fusée qui donne accès aux paramètres d’administration du site

  2. Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.

    Capture d’écran du lien « Administrateur du site » 1. Dans la barre latérale gauche, cliquez sur Management Console . Onglet Management Console dans la barre latérale gauche 1. Dans la barre latérale gauche, cliquez sur Authentification. Onglet Authentification dans la barre latérale des paramètres

  3. Sélectionnez SAML.

    Capture d’écran de l’option permettant d’activer l’authentification SAML dans la console de gestion

  4. Pour autoriser les personnes sans compte sur votre système d’authentification externe à se connecter avec l’authentification intégrée, sélectionnez Autoriser l’authentification intégrée. Pour plus d’informations, consultez « Autorisation de l’authentification intégrée pour les utilisateurs en dehors de votre fournisseur ».

    Capture d’écran de l’option permettant d’activer l’authentification intégrée en dehors de l’IdP SAML

  5. Vous pouvez éventuellement activer l’authentification SSO de réponse non sollicitée en sélectionnant Authentification unique initiée par le fournisseur d’identité. Par défaut, GitHub Enterprise Server répond à une demande non sollicitée initiée par un fournisseur d’identité par un AuthnRequest retourné à ce dernier.

    Capture d’écran de l’option permettant d’activer la réponse non sollicitée initiée par le fournisseur d’identité

    Remarque : Nous vous recommandons de laisser cette valeur non sélectionnée. Cette fonctionnalité doit être activée uniquement dans le rare cas où votre implémentation SAML ne prend pas en charge l’authentification unique initiée par le fournisseur de services, et quand cela vous a été conseillé par le GitHub Enterprise Support.

  6. Sélectionnez Désactiver la rétrogradation/promotion de l’administrateur si vous ne souhaitez pas que votre fournisseur SAML détermine les droits d’administrateur pour les utilisateurs de your GitHub Enterprise Server instance.

    Capture d’écran de l’option pour la prise en compte de l’attribut « administrator » de l’IdP afin d’activer ou de désactiver les droits d’administration

  7. Si vous le souhaitez, pour autoriser your GitHub Enterprise Server instance à recevoir des assertions chiffrées de votre IdP SAML, sélectionnez Exiger des assertions chiffrées. Vous devez vérifier que votre IdP prend en charge les assertions chiffrées et que les méthodes de chiffrement et de transport de clés dans la console de gestion correspondent aux valeurs configurées au niveau de votre IdP. Vous devez également fournir le certificat public de your GitHub Enterprise Server instance à votre IdP. Pour plus d’informations, consultez « Activation des assertions chiffrées ».

    Capture d’écran de la case à cocher « Activer les assertions chiffrées » dans la section « Authentification » de la console de gestion

  8. Dans le champ URL de l’authentification unique, tapez le point de terminaison HTTP ou HTTPS au niveau de votre IdP pour les demandes d’authentification unique. Cette valeur est fournie par la configuration de votre IdP. Si l’hôte est disponible uniquement à partir de votre réseau interne, vous devez peut-être configurer your GitHub Enterprise Server instance pour utiliser des serveurs de noms internes.

    Capture d’écran du champ de texte pour l’URL d’authentification unique

  9. Dans le champ Émetteur, tapez éventuellement le nom de votre émetteur SAML. Cette action permet de vérifier l’authenticité des messages envoyés à your GitHub Enterprise Server instance.

    Capture d’écran du champ de texte pour l’URL de l’émetteur SAML

  10. Dans les menus déroulants Méthode de signature et Méthode de synthèse, choisissez l’algorithme de hachage utilisé par votre émetteur SAML pour vérifier l’intégrité des requêtes provenant de your GitHub Enterprise Server instance. Spécifiez le format via le menu déroulant Format de l’identificateur de nom.

    Capture d’écran des menus déroulants permettant de sélectionner la méthode de signature et la méthode digest

  11. Sous Certificat de vérification, cliquez sur Choisir un fichier et choisissez un certificat pour valider les réponses SAML de l’IdP.

    Capture d’écran du bouton permettant de charger un certificat de validation de l’IdP

  12. Modifiez les noms d’attributs SAML pour les faire correspondre à votre IdP si nécessaire, ou acceptez les noms par défaut.

    Capture d’écran des champs de saisie des attributs SAML supplémentaires

Pour aller plus loin