À propos de SSO SAML
L’authentification unique SAML vous permet de contrôler et de sécuriser de manière centralisée l’accès à votre entreprise à partir de votre fournisseur d’identité SAML. Quand un utilisateur non authentifié accède à votre entreprise dans un navigateur, GitHub AE redirige l’utilisateur vers votre fournisseur d’identité SAML pour l’authentification. Une fois que l’utilisateur s’est authentifié avec un compte sur le fournisseur d’identité, celui-ci redirige l’utilisateur vers votre entreprise. GitHub AE valide la réponse de votre IdP, puis accorde l’accès à l’utilisateur.
Une fois qu’un utilisateur s’est authentifié correctement sur votre fournisseur d’identité, la session SAML de l’utilisateur pour votre entreprise est active dans le navigateur pendant 24 heures. Après 24 heures, l’utilisateur doit s’authentifier à nouveau auprès de votre fournisseur d’identité.
Pour faire d’une personne un propriétaire d’entreprise, vous devez déléguer l’accès depuis votre fournisseur d’identité. Si vous utilisez Azure AD et SCIM, attribuez le rôle de propriétaire d’entreprise à l’utilisateur. Pour d’autres fournisseurs d’identité, incluez l’attribut administrator
dans l’assertion SAML pour le compte d’utilisateur sur le fournisseur d’identité, avec la valeur true
. Pour plus d’informations sur les propriétaires d’entreprise, consultez « Rôles dans une entreprise ». Pour plus d’informations sur l’authentification et le provisionnement en utilisant Azure AD, consultez « Configuration de l’authentification et de l’approvisionnement pour votre entreprise à l’aide d’Azure AD ».
Par défaut, votre fournisseur d’identité ne communique pas avec GitHub AE automatiquement lorsque vous attribuez ou désattribuez l’application. GitHub AE crée un compte d’utilisateur en utilisant le provisionnement juste-à-temps (JIT) SAML la première fois qu’une personne accède à GitHub AE et se connecte en s’authentifiant via votre fournisseur d’identité. Vous devrez peut-être notifier manuellement les utilisateurs lorsque vous accordez l’accès à GitHub AE, et vous devez manuellement désactiver le compte d’utilisateur sur GitHub AE lors de la désintégration.
Sinon, au lieu du provisionnement JIT SAML, vous pouvez utiliser SCIM pour créer ou suspendre des comptes d’utilisateur et accorder ou refuser l’accès à votre entreprise automatiquement après avoir attribué ou désattribué l’application sur votre IdP. Pour plus d’informations, consultez « Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise ».
Fournisseurs d’identité pris en charge
GitHub AE prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.
GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.
- Azure Active Directory (Azure AD)
- Okta (bêta)
Pour plus d’informations sur la connexion d’Azure AD à votre entreprise, consultez Tutoriel : intégration de l’authentification unique (SSO) Azure Active Directory avec GitHub Enterprise Cloud – Enterprise Account dans Microsoft Docs.
Considérations relatives aux noms d’utilisateur avec SAML
GitHub AE normalise une valeur de votre fournisseur d’identité pour déterminer le nom d’utilisateur pour chaque nouveau compte personnel sur GitHub AE. Pour plus d’informations, consultez « Considérations relatives au nom d’utilisateur pour une authentification externe ».
Activation d’une SSO SAML
Vous allez configurer la gestion des identités et des accès pour GitHub AE en entrant les détails de votre fournisseur d’identité SAML lors de l’initialisation. Pour plus d’informations, consultez « Initialisation de GitHub AE ».
Les fournisseurs d’identité suivants fournissent de la documentation sur la configuration d’une SSO SAML pour GitHub AE. Si votre fournisseur d’identité n’est pas répertorié, contactez votre fournisseur d’identité pour demander un support pour GitHub AE.
Fournisseur d’identité | Plus d’informations |
---|---|
Azure AD | « Configuration de l’authentification et de l’approvisionnement pour votre entreprise à l’aide d’Azure AD » |
Okta | « Configuration de l’authentification et du provisionnement pour votre entreprise à l’aide d’Okta » |
Lors de l’initialisation de GitHub AE, vous devez configurer GitHub AE en tant que fournisseur de services SAML sur votre fournisseur d’identité. Vous devez entrer quelques valeurs uniques sur votre fournisseur d’identité pour configurer GitHub AE comme fournisseur de services valide. Pour plus d’informations, consultez « Référence de configuration SAML ».
Modification de la configuration de la SSO SAML
Si les détails de votre fournisseur d’identité changent, vous devez modifier la configuration de l’authentification unique SAML pour votre entreprise. Par exemple, si le certificat de votre fournisseur d’identité expire, vous pouvez modifier la valeur du certificat public.
Remarque : Si vous ne pouvez pas vous connecter à votre entreprise en raison de l’impossibilité pour GitHub AE ne peut de communiquer avec votre fournisseur d’identité SAML, vous pouvez contacter Support GitHub, qui peut vous aider à accéder à GitHub AE pour mettre à jour la configuration de l’authentification unique SAML. Pour plus d’informations, consultez « Contacter le support GitHub ».
-
Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification unique SAML », tapez les nouveaux détails de votre fournisseur d’identité.
-
Sous votre certificat public, à droite des méthodes de signature et de synthèse actuelles, cliquez sur .
-
Sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.
-
Pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML.
-
Cliquez sur Enregistrer.
-
Si vous le souhaitez, pour provisionner et déprovisionner automatiquement des comptes d’utilisateur pour votre entreprise, reconfigurez l’attribution d’utilisateurs avec SCIM. Pour plus d’informations, consultez « Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise ».
Activation d’une SSO SAML
Avertissement : si vous désactivez l’authentification unique SAML pour votre entreprise, les utilisateurs sans session d’authentification unique SAML existante ne peuvent pas se connecter à votre entreprise. Les sessions SSO SAML sur votre entreprise se terminent au bout de 24 heures.
Remarque : Si vous ne pouvez pas vous connecter à votre entreprise en raison de l’impossibilité pour GitHub AE ne peut de communiquer avec votre fournisseur d’identité SAML, vous pouvez contacter Support GitHub, qui peut vous aider à accéder à GitHub AE pour mettre à jour la configuration de l’authentification unique SAML. Pour plus d’informations, consultez « Contacter le support GitHub ».
-
Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification unique SAML », désélectionnez Activer l’authentification SAML.
-
Pour désactiver la SSO SAML et exiger une connexion avec le compte d’utilisateur intégré que vous avez créé lors de l’initialisation, cliquez sur Enregistrer.