Skip to main content

À propos de la gestion des identités et des accès avec l’authentification unique SAML

Si vous gérez de façon centralisée les identités et les applications de vos utilisateurs avec un fournisseur d’identité, vous pouvez configurer l’authentification unique SAML (Security Assertion Markup Language) pour protéger les ressources de votre organisation sur GitHub.

Note

Pour utiliser l’authentification unique SAML, votre organisation doit utiliser GitHub Enterprise Cloud. Pour plus d’informations sur la façon d’essayer gratuitement GitHub Enterprise Cloud, consultez « Configuration d’un essai de GitHub Enterprise Cloud ».

À propos de l’authentification unique (SSO) SAML

L’authentification unique SAML donne aux propriétaires d’organisation et d’entreprise utilisant GitHub Enterprise Cloud un moyen de contrôler et de sécuriser l’accès aux ressources de l’organisation, comme les référentiels, les problèmes et les demandes de tirage.

Si vous configurez l’authentification unique SAML, les membres de votre organisation continueront de se connecter à leurs comptes personnels sur GitHub.com. Quand un membre accède à la plupart des ressources au sein de votre organisation, GitHub le redirige vers votre fournisseur d’identité à des fins d’authentification. Une fois l’authentification réussie, votre fournisseur d’identité redirige le membre vers GitHub. Pour plus d’informations, consultez « À propos de l’authentification unique SAML ».

Note

SAML SSO ne remplace pas le processus normal de connexion pour GitHub. Sauf si vous utilisez Enterprise Managed Users, les membres continueront de se connecter à leurs comptes personnels sur GitHub.com, et chaque compte personnel sera lié à une identité externe dans votre fournisseur d’identité.

L’authentification du fournisseur d’identité n’est pas requise pour accéder aux référentiels publics de certaines manières :

  • Affichage de la page de vue d’ensemble du référentiel et du contenu du fichier sur GitHub
  • Duplication du référentiel
  • Exécution d’opérations de lecture via Git, comme le clonage du référentiel

L’authentification est requise pour d’autres accès aux référentiels publics, comme l’affichage des problèmes, les demandes de tirage, les projets et les versions.

Note

L’authentification SAML n’est pas requise pour les collaborateurs externes. Pour plus d'informations sur les collaborateurs externes, consultez « Rôles dans une organisation ».

Des propriétaires d’organisation peuvent appliquer une authentification unique (SSO) SAML pour une organisation individuelle, ou des propriétaires d’entreprise peuvent appliquer une SSO SAML pour toutes les organisations dans un compte d’entreprise. Pour plus d’informations, consultez « À propos de la gestion de l'identité et de l'accès » et « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».

Avant d’activer un SSO SAML pour votre organisation, vous devez connecter votre fournisseur d’identité à votre organisation. Pour plus d’informations, consultez « Connexion de votre fournisseur d’identité à votre organisation ».

Pour une organisation, la SSO SAML peut être désactivée, activée mais pas appliquée ou activée et appliquée. Une fois que vous avez activé une SSO SAML pour votre organisation et que les membres de celle-ci s’authentifient correctement auprès de votre fournisseur d’identité, vous pouvez appliquer la configuration de la SSO SAML. Pour plus d’informations sur l’application de l’authentification unique SAML pour votre organisation GitHub, consultez Appliquer l’authentification unique SAML pour votre organisation.

Les membres doivent régulièrement s’authentifier auprès de votre fournisseur d’identité pour accéder aux ressources de votre organisation. La durée de cette période de connexion est spécifiée par votre fournisseur d’identité. Elle est généralement de 24 heures. Cette exigence de connexion périodique limite la durée d’accès et oblige vos utilisateurs à s’identifier à nouveau pour continuer.

Pour accéder aux ressources protégées de l’organisation en utilisant l’API et Git sur la ligne de commande, vos utilisateurs doivent s’autoriser et s’authentifier avec un personal access token ou une clé SSH. Pour plus d’informations, consultez « Autorisation d’un jeton d’accès personnel à utiliser avec l’authentification unique SAML » et « Autorisation d’une clé SSH pour l’utiliser avec l’authentification unique SAML ».

La première fois qu’un membre utilise l’authentification unique SAML pour accéder à votre organisation, GitHub crée automatiquement un enregistrement qui lie votre organisation, le compte du membre sur GitHub et le compte du membre sur votre fournisseur d’identité. Vous pouvez aussi visualiser et révoquer l’identité SAML liée, les sessions actives et les informations d’identification autorisées pour les membres de votre compte d’organisation ou d’entreprise. Pour plus d’informations, consultez « Affichage et gestion de l’accès SAML d’un membre à votre organisation » et « Visualisation et gestion de l’accès SAML d’un utilisateur à votre entreprise ».

Si des membres sont connectés avec une session SSO SAML quand ils créent un dépôt, la visibilité par défaut de celui-ci est privée. Sinon, la visibilité par défaut est publique. Pour plus d’informations sur la visibilité des référentiels, consultez À propos des dépôts.

Les membres de l’organisation doivent également disposer d’une session SAML active pour autoriser une OAuth app. Vous pouvez vous soustraire à cette exigence en contactant . GitHub Enterprise Cloud ne recommande pas de se soustraire à cette exigence, ce qui exposerait votre organisation à un risque accru de prises de contrôle de compte et de perte potentielle de données.

GitHub Enterprise Cloud ne prend pas en charge la déconnexion unique SAML. Pour mettre fin à une session SAML active, les utilisateurs doivent se déconnecter directement sur votre fournisseur d’identité SAML.

Services SAML pris en charge

GitHub Enterprise Cloud prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.

  • Microsoft services de fédération Active Directory (AD FS)
  • Microsoft Entra ID (actuellement appelé Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Certains fournisseurs d’identité prennent en charge l’approvisionnement de l’accès à une organisation GitHub via SCIM. Pour plus d’informations, consultez « À propos de SCIM pour les organisations ».

Vous ne pouvez pas utiliser cette implémentation de SCIM avec un compte d’entreprise ou un organisation avec utilisateurs managés. Si votre entreprise est activée pour Enterprise Managed Users, vous devez utiliser une implémentation différente de SCIM. Sinon, SCIM n’est pas disponible au niveau de l’entreprise. Pour plus d’informations, consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

Ajout de membres à une organisation à l’aide d’une SSO SAML

Une fois que vous avez activé l’authentification unique SAML, vous pouvez ajouter de nouveaux membres à votre organisation de plusieurs manières. Des propriétaires d’organisation peuvent inviter de nouveaux membres sur GitHub Enterprise Cloud manuellement ou à l’aide de l’API. Pour plus d’informations, consultez « Inviter des utilisateurs à rejoindre votre organisation » et « Points de terminaison d’API REST pour les organisations ».

Pour provisionner de nouveaux utilisateurs sans invitation du propriétaire d’une organisation, vous pouvez utiliser l’URL https://github.com/orgs/ORGANIZATION/sso/sign_up, en remplaçant ORGANIZATION par le nom de votre organisation. Par exemple, vous pouvez configurer votre fournisseur d’identité de manière à ce que toute personne ayant accès à celui-ci puisse cliquer sur un lien dans son tableau de bord pour rejoindre votre organisation GitHub .

Note

Le provisionnement de nouveaux utilisateurs via https://github.com/orgs/ORGANIZATION/sso/sign_up est pris en charge uniquement lorsque l’authentification unique SAML est configurée au niveau de l’organisation. Il n’est pas pris en charge quand l’authentification unique SAML est configurée au niveau du compte d’entreprise. Pour plus d’informations sur l’authentification unique SAML pour les comptes d’entreprise, consultez À propos de SAML pour la gestion des identités et des accès d'entreprise.

Si votre fournisseur d’identité prend en charge SCIM, GitHub peut inviter automatiquement des membres à rejoindre votre organisation lorsque vous leur donnez accès sur votre fournisseur d’identité. Si vous supprimez l’accès d’un membre à votre organisation GitHub sur votre fournisseur d’identité SAML, le membre est automatiquement supprimé de l’organisation GitHub. Pour plus d’informations, consultez « À propos de SCIM pour les organisations ».

Vous pouvez utiliser la synchronisation d'équipe pour ajouter et supprimer automatiquement des membres de l'organisation aux équipes par l'intermédiaire d'un fournisseur d'identité. Pour plus d'informations, consultez « Synchronisation d'une équipe avec un groupe de fournisseur d'identité ».

Si une organisation dépasse 100 000 membres, certaines expériences d’interface utilisateur et fonctionnalités d’API peuvent être détériorées.

Pour aller plus loin