Configuration de l’authentification unique SAML pour Enterprise Managed Users

          **Avant** en suivant les étapes décrites dans cet article, assurez-vous que votre entreprise utilise **utilisateurs gérés** et que vous êtes connecté en tant qu’utilisateur d’installation dont le nom d’utilisateur est le suffixe abrégé de votre entreprise avec `_admin`. Vous pouvez vérifier que vous êtes connecté avec l’utilisateur approprié en vérifiant si la vue d’entreprise comporte la barre d’en-tête « Affichage en tant que SHORTCODE_admin » en haut de l’écran. Si vous voyez cela, vous êtes connecté avec l’utilisateur approprié et vous pouvez suivre les étapes décrites dans cet article. Pour plus d’informations sur l’utilisateur d’installation, consultez [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).

Si votre entreprise utilise des compte personnels, vous devez suivre un processus différent pour configurer l’authentification unique SAML. Consultez « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».

À propos de l’authentification unique (SSO) SAML pour Enterprise Managed Users

Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com ou GHE.com doit être authentifié par le biais de votre fournisseur d’identité (IdP). Au lieu de se connecter avec un nom d’utilisateur et un mot de passe GitHub, les membres de votre entreprise se connectent par le biais de votre IdP.

Nous vous recommandons de stocker vos codes de récupération après avoir configuré l’authentification unique SAML pour pouvoir récupérer l’accès à votre entreprise en cas d’indisponibilité de votre IdP.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Prérequis

• Comprendre les exigences d’intégration et le niveau de prise en charge de votre IdP.

  • GitHub offre une intégration « prête à l’emploi » et un support complet si vous utilisez un IdP partenaire pour l’authentification et le provisionnement.
  • Vous pouvez également utiliser n’importe quel système ou toute combinaison de systèmes conformes à SAML 2.0 et SCIM 2.0. Toutefois, la prise en charge de la résolution des problèmes pour ces systèmes peut être limitée.

  Pour plus d’informations, consultez À propos d’Enterprise Managed Users.

• Votre IdP doit respecter la spécification SAML 2.0. Consultez le Wiki SAML sur le site web OASIS.

• Vous devez disposer d’un accès administrateur au niveau du locataire pour votre IdP.

• Si vous configurez l’authentification unique SAML pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez « Pour commencer avec Enterprise Managed Users ».

Configurer l’authentification unique SAML pour Enterprise Managed Users

Afin de configurer l’authentification unique SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub. Après avoir configuré l'authentification unique SAML, vous pouvez configurer le provisionnement des utilisateurs.

1.        [Configurer votre fournisseur d’identité](#configure-your-idp)
   

2.        [Configurer votre entreprise](#configure-your-enterprise)
   

3.        [Activer l’approvisionnement](#enable-provisioning)
   

Configurer votre fournisseur d’identité

1. Si vous utilisez un IdP partenaire, pour installer l’application GitHub Enterprise Managed User, cliquez sur le lien pour votre IdP et votre environnement.

   Fournisseur d’identité	Application pour GitHub.com	Application pour GHE.com
   Microsoft Entra ID	GitHub Enterprise Managed User	GitHub Enterprise Managed User
   Okta	GitHub Enterprise Managed User	GitHub Enterprise Managed User - ghe.com
   PingFederate

          [PingFederate télécharge le site web ](https://www.pingidentity.com/en/resources/downloads/pingfederate.html) (accédez à l'onglet **Extensions** et sélectionnez **GitHub Connecteur EMU 1.0**) | 
          [PingFederate télécharge le site web ](https://www.pingidentity.com/en/resources/downloads/pingfederate.html) (accédez à l'onglet **Extensions** et sélectionnez **GitHub Connecteur EMU 1.0**) |
   

2. Pour configurer l’authentification unique (SSO) SAML pour Enterprise Managed Users sur un IdP partenaire, lisez la documentation pertinente pour votre IdP et votre environnement.

   Fournisseur d’identité	Documentation pour GitHub.com	Documentation pour GHE.com
   Microsoft Entra ID

          [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | 
          [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) |
   

   | Okta | Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users | Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users | | PingFederate | Configuration de l’authentification et de l’approvisionnement avec PingFederate ("Prérequis" et "1. Configurer les sections « SAML » | Configuration de l’authentification et de l’approvisionnement avec PingFederate ("Prérequis" et "1. Configurer les sections « SAML » |

   Si vous n'utilisez pas d'IdP partenaire, vous pouvez également utiliser la référence de configuration SAML pour GitHub pour créer et configurer une application SAML 2.0 générique sur votre IdP. Consultez « Référence de configuration SAML ».

3. Pour tester et configurer votre entreprise, attribuez-vous, ou attribuez l’utilisateur qui configurera le SAML SSO pour votre entreprise sur GitHub, à l’application que vous avez configurée pour Enterprise Managed Users sur votre IdP.

   Remarque

   Pour vérifier que la connexion d'authentification est bien établie lors de la configuration, un utilisateur au moins doit être attribué à l'IdP.

4. Pour continuer la configuration de votre entreprise sur GitHub, identifiez et notez les informations suivantes à partir de l'application que vous avez installée sur votre IdP.

   Valeur	Autres noms	Description
   URL de connexion IdP	URL de connexion, URL de l’IdP	URL de l’application sur votre IdP
   URL d’identificateur de l’IdP	Émetteur	Identificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML
   Certificat de signature, encodé en Base64	Certificat public	Certificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification

Configurer votre entreprise

Après avoir configuré le SAML SSO pour Enterprise Managed Users sur votre IdP, vous pouvez configurer votre entreprise sur GitHub.

Après la configuration initiale de SAML SSO, le seul paramètre que vous pouvez mettre à jour sur GitHub pour votre configuration SAML existante est le certificat SAML, ce qui peut être fait par n'importe quel membre ayant le rôle de propriétaire de l'entreprise. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».

1. Connectez-vous en tant qu'utilisateur de configuration de votre entreprise avec le nom d'utilisateur SHORTCODE_admin, en remplaçant SHORTCODE par le code court de votre entreprise.

   Remarque

   Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub. L’option de réinitialisation de mot de passe habituelle en fournissant votre adresse e-mail ne fonctionnera pas.

2. Si vous utilisez une idP non partenaire (un fournisseur d’identité autre que Okta, PingFederate ou Entra ID), avant d’activer SAML, vous devez mettre à jour un paramètre pour pouvoir configurer SCIM à l’aide de l’API REST. Consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

3. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

4. En haut de la page, cliquez sur Fournisseur d’identité.

5. Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.

6. Dans la rubrique « Authentification unique SAML », sélectionnez Ajouter une configuration SAML.

7. Sous URL de connexion, saisissez le point de terminaison HTTPS de votre IdP pour les demandes SSO que vous avez notées lors de la configuration de votre IdP.

8. Sous Émetteur, tapez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.

9. Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.

   Remarque

   GitHub n’applique pas l’expiration de ce certificat SAML de l’IdP. Cela signifie que même si ce certificat expire, votre authentification SAML continuera de fonctionner. Toutefois, la recommendation de GitHub est d'actualiser le certificat avant son expiration. Nous accepterons une réponse SAML signée avec un certificat expiré, mais nous ne pouvons pas commenter la façon dont l’expiration du certificat sera gérée au niveau du fournisseur d’identité. Si votre administrateur idP régénère le certificat SAML et que vous ne le mettez pas à jour sur le côté GitHub, les utilisateurs rencontrent une digest mismatch erreur lors des tentatives d’authentification SAML en raison de l’incompatibilité du certificat. Consultez Erreur : incompatibilité de synthèse.

10. Dans la même section Certificat public, sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.

11. Avant d'activer l'authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.

12. Cliquez sur Save SAML settings (Enregistrer les paramètres SAML).

    Remarque

    Après avoir exigé l’authentification unique SAML pour votre entreprise et enregistré les paramètres SAML, l’utilisateur chargé de la configuration conservera l’accès à l’entreprise et restera connecté à GitHub avec les comptes d’utilisateur managés provisionnés par votre IdP, lesquels disposeront également d’un accès à l’entreprise.

13. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

Activer l’approvisionnement

Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

Activer les collaborateurs invités

Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.

Si vous utilisez Entra ID ou Okta pour l’authentification SAML, il vous faudra peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités. Pour plus d’informations, consultez « Activation des collaborateurs invités ».