Pour créer, gérer et désactiver des comptes d’utilisateurs pour les membres de votre entreprise sur GitHub, votre fournisseur d’identité doit implémenter SCIM pour la communication avec GitHub. SCIM est une spécification ouverte pour la gestion des identités utilisateur entre différents systèmes. Chaque IdP aura une expérience de configuration différente pour l’approvisionnement SCIM.
Si vous utilisez un IdP partenaire, vous pouvez simplifier la configuration du provisionnement SCIM en utilisant l’application de l’IdP partenaire. Si vous n’utilisez pas d’IdP partenaire pour le provisionnement, vous pouvez mettre en œuvre SCIM à l’aide d’appels vers l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez À propos d’Enterprise Managed Users.
À propos de la gestion du cycle de vie des utilisateurs avec SCIM
Avec SCIM, vous gérez le cycle de vie des comptes d’utilisateur à partir de votre fournisseur d’identité :
- Après avoir configuré l’approvisionnement pour Enterprise Managed Users, votre fournisseur d’identité utilise SCIM pour approvisionner des comptes d’utilisateur sur GitHub et ajouter les comptes à votre entreprise. Si vous attribuez un groupe à l’application dans votre fournisseur d’identité, votre fournisseur d’identité approvisionne des comptes pour tous les membres du groupe.
- Quand vous mettez à jour les informations associées à l’identité d’un utilisateur sur votre IdP, celui-ci met à jour le compte d’utilisateur sur GitHub.
- Quand vous annulez l’attribution de l’utilisateur depuis l’application du fournisseur d’identité ou que vous désactivez un compte d’utilisateur sur votre fournisseur d’identité, votre fournisseur d’identité communique avec GitHub pour rendre toutes les sessions non valables et désactiver le compte du membre. Les informations relatives au compte désactivé sont conservées et son nom d'utilisateur est remplacé par un hachage de son nom d'utilisateur original, auquel est ajouté le code abrégé le cas échéant.
- Si vous réaffectez un utilisateur à l’application du fournisseur d’identité ou réactivez son compte sur votre fournisseur d’identité, le compte d’utilisateur sera réactivé et le nom d’utilisateur sera restauré.
Pour configurer l'appartenance à des équipes et des organisations, l'accès aux dépôts et les permissions, vous pouvez utiliser des groupes sur votre fournisseur d'identité (IdP). Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».
Prérequis
Si vous configurez le provisionnement SCIM pour une nouvelle entreprise, veillez à suivre toutes les étapes précédentes du processus de configuration initiale. Consultez « Pour commencer avec Enterprise Managed Users ».
Configuration du provisionnement de l’utilisateur pour Enterprise Managed Users
Une fois la configuration terminée sur GitHub, vous pouvez configurer le provisionnement sur votre IdP. Les instructions à suivre varient selon que vous utilisez l’application d’un IdP partenaire à la fois pour l’authentification et le provisionnement.
-
[Configuration du provisionnement si vous utilisez l’application d’un IdP partenaire](#configuring-provisioning-if-you-use-a-partner-idps-application) -
[Configuration du provisionnement pour d’autres systèmes de gestion des identités](#configuring-provisioning-for-other-identity-management-systems)
Configuration du provisionnement si vous utilisez l’application d’un IdP partenaire
Pour utiliser l’application d’un IdP partenaire à la fois pour l’authentification et le provisionnement, consultez les instructions du partenaire pour configurer le provisionnement dans les liens du tableau suivant.
| Fournisseur d’identité | Méthode SSO | Instructions |
|---|---|---|
| Microsoft Entra ID (anciennement Azure AD) | OIDC |
[Tutorial : Configurer GitHub Utilisateur géré par l’entreprise (OIDC) pour l’approvisionnement automatique d’utilisateurs](https://docs.microsoft.com/azure/active-directory/saas-apps/github-enterprise-managed-user-oidc-provisioning-tutorial) sur Microsoft Learn |
| Entra ID | SAML | Tutorial : Configurer GitHub Utilisateur géré par l’entreprise pour l’approvisionnement automatique d’utilisateurs sur Microsoft Learn | | Okta | SAML | Configuration de l’authentification SCIM avec Okta | | PingFederate | SAML | Les « Prérequis » et « 2. Configurer les sections SCIM » dans Configuration de l’authentification et de l’approvisionnement avec PingFederate |
Configuration du provisionnement pour d’autres systèmes de gestion des identités
Si vous n’utilisez pas de fournisseur d'identité partenaire, ou si vous utilisez uniquement un fournisseur d'identité partenaire pour l’authentification SAML, vous pouvez gérer le cycle de vie des comptes d’utilisateur à l’aide des points de terminaison de l’API REST de GitHub pour le provisionnement SCIM. Consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».
Remarque
L’utilisation de l’API REST pour le provisionnement SCIM n’est pas prise en charge avec les entreprises qui ont activé OIDC.
GitHub ne prend pas expressément en charge le mélange de fournisseurs d’identité partenaires pour l’authentification et l’approvisionnement et ne teste pas tous les systèmes de gestion des identités. L’équipe de support technique de GitHub pourrait ne pas être en mesure de vous aider à résoudre les problèmes liés aux systèmes mixtes ou non testés. Si vous avez besoin d’aide, vous devez vérifier la documentation du système, contacter l’équipe de support technique ou consulter d’autres ressources.
Important
La combinaison de Okta et Entra ID pour l’authentification unique et SCIM (dans n’importe quel ordre) n’est explicitement pas prise en charge. L’API SCIM de GitHub renverra une erreur au fournisseur d’identité lors des tentatives d’approvisionnement si cette combinaison est configurée.
-
Connectez-vous en tant qu'utilisateur de configuration de votre entreprise avec le nom d'utilisateur SHORTCODE_admin, en remplaçant SHORTCODE par le code court de votre entreprise.
Remarque
Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub. L’option de réinitialisation de mot de passe habituelle en fournissant votre adresse e-mail ne fonctionnera pas.
-
Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
-
En haut de la page, cliquez sur Fournisseur d’identité.
-
Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.
-
Sous « Ouvrir la configuration SCIM », sélectionnez « Activer la configuration SCIM ouverte ».
-
Gérez le cycle de vie de vos utilisateurs en effectuant des appels vers les points de terminaison de l’API REST pour le provisionnement SCIM. Consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».
Assigning des utilisateurs et des groupes
Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.
Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise. Pour plus d’informations sur les rôles attribuables disponibles, consultez Compétences des rôles dans une entreprise.
Entra ID ne prend pas en charge le provisionnement des groupes imbriqués. Pour plus d’informations, consultez Comment fonctionne le provisionnement d'applications dans Microsoft Entra ID sur Microsoft Learn.