Skip to main content

GitHub AE est actuellement en version limitée.

Configuration du provisionnement d’utilisateurs avec SCIM pour votre entreprise

Vous pouvez configurer SCIM (System for Cross-domain Identity Management) pour GitHub AE, qui provisionne automatiquement les comptes d’utilisateur lorsque vous affectez l’application pour GitHub AE à un utilisateur sur votre fournisseur d’identité (IdP).

Qui peut utiliser cette fonctionnalité

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

À propos du provisionnement d’utilisateurs pour GitHub AE

GitHub AE utilise l’authentification unique SAML pour l’authentification utilisateur. Vous pouvez gérer de manière centralisée l’accès à GitHub AE à partir d’un IdP qui prend en charge la norme SAML 2.0. Pour plus d’informations, consultez « Configuration d’une authentification unique (SSO) SAML pour votre entreprise ».

Vous pouvez configurer SCIM pour automatiquement créer ou suspendre des comptes d’utilisateur et accorder l’accès pour GitHub AE quand vous affectez ou désaffectez l’application sur votre IdP. Pour plus d’informations sur SCIM, consultez System for Cross-domain Identity Management : Protocole (RFC 7644) sur le site web de l’IETF.

Si vous ne configurez pas le provisionnement d’utilisateurs avec SCIM, votre fournisseur d’identité ne communique pas automatiquement avec GitHub AE vous affectez l’application ou annulez son affectation à un utilisateur. Sans SCIM, GitHub AE crée un compte d’utilisateur à l’aide du provisionnement juste-à-temps (JIT) SAML la première fois que quelqu’un accède à GitHub AE et se connecte en s’authentifiant via votre fournisseur d’identité.

La configuration du provisionnement permet à votre IdP de communiquer avec votre entreprise quand vous affectez ou désaffectez l’application pour GitHub AE à un utilisateur sur votre IdP. Quand vous affectez l’application, votre IdP invite votre entreprise à créer un compte et à envoyer un e-mail d’intégration à l’utilisateur. Quand vous annulez l’affectation de l’application, votre fournisseur d’identité communique avec GitHub AE pour invalider toutes les sessions SAML et désactiver le compte du membre.

Pour configurer le provisionnement pour votre entreprise, vous devez activer le provisionnement sur GitHub AE, puis installer et configurer une application de provisionnement sur votre fournisseur d’identité.

À propos des identités et des revendications

Une fois qu’un administrateur idP a accordé à une personne l’accès à votre entreprise, l’utilisateur peut s’authentifier via l’idP pour accéder à GitHub AE à l’aide de l’authentification unique SAML.

Pendant l’authentification, GitHub AE tente d’associer l’utilisateur à une identité SAML. Par défaut, GitHub AE compare la revendication NameID de l’IdP au nom d’utilisateur du compte. GitHub AE standardise la valeur de NameID pour la comparaison. Pour plus d’informations sur la normalisation du nom d’utilisateur, consultez « Username considerations for external authentication ».

S’il n’y a aucun compte existant avec un nom d’utilisateur correspondant sur l’instance, l’utilisateur ne parvient pas à se connecter.

Si GitHub AE identifie correctement un utilisateur de l’IdP, mais que les détails du compte tels que l’adresse e-mail, le prénom ou le nom ne correspondent pas, l’instance substitue les détails par les valeurs de l’IdP. Toutes les adresses e-mail autres que l’adresse e-mail principale provisionnée par SCIM sont également supprimées du compte d’utilisateur.

Fournisseurs d’identité pris en charge

Les IdP suivants prennent en charge le provisionnement d’utilisateurs avec SCIM pour GitHub AE.

Remarque : GitHub AE la prise en charge de l’authentification unique (SSO) pour Okta est actuellement en version bêta.

Fournisseur d’identitéSAMLApprovisionnement d'utilisateursMappage d’équipe
Azure Active Directory (Azure AD)
Okta Beta Beta Beta

Pour les fournisseurs d’identité qui prennent en charge le mappage d’équipe, vous pouvez affecter l’application ou annuler son affectation pour GitHub AE aux groupes d’utilisateurs de votre fournisseur d’identité. Ces groupes sont ensuite disponibles pour que les propriétaires d’organisation et les responsables d’équipe dans votre entreprise les mappent aux équipes GitHub AE. Pour plus d’informations, consultez « Mappage de groupes Okta aux équipes ».

Prérequis

  • Vous devez configurer l’authentification unique SAML lorsque vous initialisez GitHub AE. Pour plus d’informations, consultez « Initialisation de GitHub AE ».

  • Vous devez disposer d’un accès administratif sur votre fournisseur d’identité pour configurer l’application pour le provisionnement d’utilisateurs pour GitHub AE.

Activation du provisionnement d’utilisateurs pour votre entreprise

  1. Une fois connecté à votre entreprise en tant que propriétaire d’entreprise, créez un personal access token avec l’étendue admin:enterprise. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».

    Remarques:

    • Pour créer le personal access token, nous vous recommandons d’utiliser le compte pour le premier propriétaire d’entreprise que vous avez créé lors de l’initialisation. Pour plus d’informations, consultez « Initialisation de GitHub AE ».
    • Vous aurez besoin de ce personal access token pour configurer l’application pour SCIM sur votre IdP. Stockez le jeton en toute sécurité dans un gestionnaire de mots de passe jusqu’à ce que vous ayez besoin du jeton plus loin dans ces instructions.

Avertissement : Si le compte d’utilisateur du propriétaire d’entreprise qui crée le personal access token est désactivé ou déprovisionné, votre IdP ne provisionne et ne déprovisionne plus automatiquement les comptes d’utilisateur de votre entreprise. Un autre propriétaire d’entreprise doit créer un nouveau personal access token et reconfigurer le provisionnement sur l’IdP.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

    Capture d’écran du menu déroulant qui s’affiche lorsque vous cliquez sur la photo de profil sur GitHub Enterprise Server. L’option « Paramètres d’entreprise » est mise en évidence avec un contour orange foncé.

  2. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  3. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  4. Sous « Provisionnement d’utilisateurs SCIM », sélectionnez Exiger le provisionnement d’utilisateurs SCIM.

  5. Cliquez sur Enregistrer.

  6. Configurez le provisionnement d’utilisateurs dans l’application pour GitHub AE sur votre IdP.

    Les fournisseurs d’identité suivants fournissent de la documentation sur la configuration du provisionnement pour GitHub AE. Si votre fournisseur d’identité n’est pas listé, contactez votre fournisseur d’identité pour demander la prise en charge pour GitHub AE.

    Fournisseur d’identitéPlus d’informations
    Azure ADTutoriel : Configurer GitHub AE pour le provisionnement automatique d’utilisateurs dans Microsoft Docs. Pour configurer Azure AD pour GitHub AE, consultez « Configuration de l’authentification et de l’approvisionnement pour votre entreprise à l’aide d’Azure AD ».
    Okta(bêta) Pour configurer Okta pour GitHub AE, consultez « Configuration de l’authentification et du provisionnement pour votre entreprise à l’aide d’Okta ».

    L’application sur votre IdP nécessite deux valeurs pour provisionner ou déprovisionner des comptes d’utilisateur sur votre entreprise.

    ValeurAutres nomsDescriptionExemple
    URLURL de locataireURL de l’API de provisionnement SCIM pour votre entreprise sur GitHub AEhttps://HOSTNAME/api/v3/scim/v2
    Secret partagéPersonal access token, jeton secretJeton pour l’application sur votre fournisseur d’identité pour effectuer des tâches de provisionnement au nom d’un propriétaire d’entreprisePersonal access token que vous avez créé à l’étape 1