Configuration de l’authentification et de l’approvisionnement pour votre entreprise à l’aide d’Azure AD

À propos de l’authentification et de l’approvisionnement d’utilisateurs avec Azure AD

Azure Active Directory (Azure AD) est un service de Microsoft qui vous permet de gérer de manière centralisée les comptes d’utilisateur et d’accéder aux applications web. Pour plus d’informations, consultez Qu’est-ce qu’Azure Active Directory ? dans Microsoft Docs.

Lorsque vous utilisez un IdP pour IAM dans GitHub AE, l’authentification unique SAML contrôle et sécurise l’accès aux ressources de l’entreprise telles que les dépôts, les problèmes et les demandes de tirage. SCIM crée automatiquement des comptes d’utilisateur et gère l’accès à votre entreprise lorsque vous apportez des modifications sur l’IdP. Vous pouvez également synchroniser des équipes dans GitHub AE avec des groupes sur votre IdP. Pour plus d'informations, consultez les articles suivants.

• « À propos de SAML pour la gestion des identités et des accès d’entreprise »
• « Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise »
• « Synchronisation d’une équipe avec un groupe de fournisseurs d’identité »

Après avoir activé l’authentification unique SAML et SCIM pour GitHub AE à l’aide d’Azure AD, vous pouvez effectuer les opérations suivantes à partir de votre locataire Azure AD.

• Affectez l’application GitHub AE sur Azure AD à un compte d’utilisateur pour créer et accorder automatiquement l’accès à un compte d’utilisateur correspondant sur GitHub AE.
• Désaffectez l’application GitHub AE d’un compte d’utilisateur sur Azure AD pour désactiver le compte d’utilisateur correspondant sur GitHub AE.
• Affectez l’application GitHub AE à un groupe d’IdP sur Azure AD pour créer et accorder automatiquement l’accès aux comptes d’utilisateur sur GitHub AE pour tous les membres du groupe d’IdP. De plus, le groupe d’IdP est disponible sur GitHub AE pour la connexion à une équipe et à son organisation parente.
• Désaffectez l’application GitHub AE d’un groupe d’IdP pour désactiver les comptes d’utilisateur GitHub AE de tous les utilisateurs du fournisseur d’identité ayant accès uniquement via ce groupe d’IdP et supprimer les utilisateurs de l’organisation parente. Le groupe d’IdP est déconnecté de toutes les équipes sur GitHub AE.

Pour plus d’informations sur la gestion des identités et des accès pour votre entreprise sur votre entreprise, consultez « Utilisation de SAML pour la gestion des identités et des accès d’entreprise ».

Prérequis

• Pour configurer l’authentification et l’approvisionnement d’utilisateurs pour GitHub AE à l’aide d’Azure AD, vous devez disposer d’un compte et d’un locataire Azure AD. Pour plus d’informations, consultez le site web Azure AD et le Guide de démarrage rapide : Créer un locataire Azure Active Directory dans Microsoft Docs.

• Vous devez créer et utiliser un compte d’utilisateur de machine dédié sur votre IdP pour l’associer au premier compte de propriétaire d’entreprise sur GitHub AE. Stockez les informations d’identification du compte d’utilisateur en sécurité dans un gestionnaire de mots de passe. Pour plus d’informations, consultez « Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise ».

Configuration de l’authentification et de l’approvisionnement d’utilisateurs avec Azure AD

Dans votre locataire Azure AD, ajoutez l’application pour GitHub AE, puis configurez le provisionnement.

1. Dans Azure AD, ajoutez le Application GitHub AE à votre locataire et configurez l’authentification unique. Pour plus d’informations, consultez Tutoriel : Intégration de l’authentification unique (SSO) Azure Active Directory à GitHub AE dans Microsoft Docs.

2. Dans GitHub AE, entrez les détails de votre locataire Azure AD.

   • Vous allez configurer la gestion des identités et des accès pour GitHub AE en entrant les détails de votre fournisseur d’identité SAML lors de l’initialisation. Pour plus d’informations, consultez « Initialisation de GitHub AE ».

   • Si vous avez déjà configuré l’authentification unique SAML pour votre entreprise à l’aide d’un autre fournisseur d’identité et que vous souhaitez utiliser Azure AD à la place, vous pouvez modifier votre configuration. Pour plus d’informations, consultez « Configuring SAML single sign-on for your enterprise ».

3. Activez l’approvisionnement d’utilisateurs dans GitHub AE et configurez l’approvisionnement d’utilisateurs dans Azure AD. Pour plus d’informations, consultez « Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise ».

Gestion des propriétaires d’entreprise

Les étapes permettant de faire d’une personne un propriétaire d’entreprise varient selon si vous utilisez uniquement SAML ou si vous utilisez également SCIM. Pour plus d’informations sur les propriétaires d’entreprise, consultez « Rôles dans une entreprise ».

Si vous avez configuré le provisionnement, pour accorder à l’utilisateur la propriété d’entreprise dans GitHub AE, attribuez le rôle de propriétaire d’entreprise à l’utilisateur dans Azure AD.

Si vous n’avez pas configuré le provisionnement, pour accorder à l’utilisateur la propriété d’entreprise dans GitHub AE, incluez l’attribut administrator dans l’assertion SAML pour le compte d’utilisateur sur le fournisseur d’identité, avec la valeur true. Pour plus d’informations sur l’inclusion de l’attribut administrator dans la revendication SAML à partir d’Azure AD, consultez Guide pratique pour personnaliser des revendications émises dans le jeton SAML pour les applications d’entreprise dans Microsoft Docs.