Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’objectif de cet article est de vous montrer les étapes que vous devez effectuer dans GitHub et Microsoft Entra ID pour automatiser la gestion de l'adhésion à l'organisation GitHub Enterprise Cloud.
Remarque
L’intégration de l’approvisionnement Microsoft Entra repose sur l’API GitHub SCIM, qui est disponible pour GitHub Enterprise Cloud clients sur le plan de facturation GitHub Enterprise.
Prérequis
Le scénario décrit dans cet article suppose que vous disposez déjà des éléments suivants :
- Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Une organisation GitHub créée dans GitHub Enterprise Cloud qui nécessite le plan de facturation GitHub Enterprise
- Un compte d’utilisateur dans GitHub avec des autorisations d’administrateur pour l’organisation
- SAML configuré pour l’organisation GitHub Enterprise Cloud
- Assurez-vous que l’accès OAuth a été fourni pour votre organisation, comme décrit ici
- Le provisionnement SCIM pour une seule organisation est pris en charge uniquement lorsque l’authentification unique est activée au niveau de l’organisation
Remarque
Cette intégration est également disponible à partir de Microsoft Entra environnement cloud du gouvernement des États-Unis. Vous pouvez trouver cette application dans la Microsoft Entra us Government Cloud Application Gallery et la configurer de la même façon que vous le faites à partir du cloud public.
Affectation d’utilisateurs à GitHub
Microsoft Entra ID utilise un concept appelé « affectations » pour déterminer quels utilisateurs doivent recevoir l’accès aux applications sélectionnées. Dans le contexte de l’approvisionnement automatique de comptes d’utilisateur, seuls les utilisateurs et les groupes qui ont été « affectés » à une application dans Microsoft Entra ID sont synchronisés.
Avant de configurer et d’activer le service d’approvisionnement, vous devez décider quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d’accéder à votre organisation GitHub. Une fois que vous avez choisi, vous pouvez attribuer ces utilisateurs en suivant les instructions fournies ici :
Pour plus d’informations, voir Affecter un utilisateur ou un groupe à une application d’entreprise.
Conseils importants pour l’affectation d’utilisateurs à GitHub
Nous vous recommandons d’affecter un seul utilisateur Microsoft Entra à GitHub pour tester la configuration d’approvisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.
Lorsque vous affectez un utilisateur à GitHub, vous devez sélectionner le rôle Utilisateur ou un autre rôle valide spécifique à l’application (le cas échéant) dans la boîte de dialogue d’affectation. Le rôle Accès par défaut ne fonctionne pas pour l’approvisionnement et ces utilisateurs sont ignorés.
Configuration de l’approvisionnement d’utilisateurs sur GitHub
Cette section vous guide tout au long de la connexion de votre Microsoft Entra ID à l'API SCIM de provisionnement de GitHub pour automatiser l'approvisionnement de l'appartenance à l'organisation GitHub. Cette intégration, qui tire parti d'une application OAuth, ajoute, gère et supprime automatiquement l'accès des membres à une organisation GitHub Enterprise Cloud en fonction de l'attribution d'utilisateurs et de groupes dans Microsoft Entra ID. Lorsque les utilisateurs sont provisionnés à une organisation GitHub via SCIM, une invitation par e-mail est envoyée à l'adresse e-mail de l'utilisateur.
Configurer l’approvisionnement automatique de comptes d’utilisateur pour GitHub dans Microsoft Entra ID
Connectez-vous au centre d’administration Microsoft Entra comme au moins un administrateur d’application Cloud.
Accédez à Entra ID>Enterprise apps.
Si vous avez déjà configuré GitHub pour l’authentification unique, recherchez votre instance de GitHub à l’aide du champ de recherche.
Sélectionnez votre instance de GitHub, puis sélectionnez l’onglet Provisionnement.
Sélectionnez + Nouvelle configuration.
Dans le champ Tenant URL, entrez votre URL de locataire et votre jeton secret GitHub. Sélectionnez Test Connection pour vous assurer que les Microsoft Entra ID peuvent se connecter à GitHub. Si la connexion échoue, vérifiez que votre compte GitHub dispose des autorisations d’administrateur requises et réessayez.
Dans la nouvelle fenêtre, connectez-vous à GitHub à l’aide de votre compte d’administrateur. Dans la boîte de dialogue d’autorisation résultante, sélectionnez l’organisation GitHub pour laquelle vous souhaitez activer l’approvisionnement, puis sélectionnez Authorize. Une fois terminé, revenez au portail Azure pour terminer la configuration d’approvisionnement.
Sélectionnez Créer pour créer votre configuration.
Sélectionnez Propriétés dans la page Vue d’ensemble .
Sélectionnez l’icône Modifier pour modifier les propriétés. Activez les e-mails de notification et fournissez un e-mail pour recevoir des notifications de quarantaine. Activer la prévention des suppressions accidentelles. Cliquez sur Appliquer pour enregistrer les modifications.
Dans le champ e-mail de notification , entrez l’adresse e-mail d’une personne qui doit recevoir les notifications d’erreur d’approvisionnement et cochez la case Envoyer une notification par e-mail lorsqu’une défaillance se produit .
Sélectionnez Mappage d’attributs dans le volet gauche et sélectionnez utilisateurs.
Dans la section Attribute Mappings, passez en revue les attributs utilisateur qui sont synchronisés entre Microsoft Entra ID et GitHub. Les attributs sélectionnés en tant que propriétés Matching sont utilisés pour faire correspondre les comptes d’utilisateur dans GitHub pour les opérations de mise à jour. N’activez pas le paramètre de précédence correspondante pour les autres attributs par défaut de la section Approvisionnement , car des erreurs peuvent se produire. Sélectionnez Enregistrer pour valider les modifications.
Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans l’article de filtre d’étendue.
Utilisez l’approvisionnement à la demande pour valider la synchronisation avec un petit nombre d’utilisateurs avant de déployer plus largement dans votre organisation.
Lorsque vous êtes prêt à provisionner, sélectionnez Démarrer l’approvisionnement dans la page Vue d’ensemble .
Pour plus d’informations sur la lecture des journaux de provisionnement Microsoft Entra, consultez Rapports sur le provisionnement automatique des comptes d’utilisateur.
Ressources supplémentaires
- Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
- Quel est l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?