Configurar GitHub para provisionamento automático de usuário no Microsoft Entra ID

O objetivo deste artigo é mostrar as etapas que você precisa executar no GitHub e no Microsoft Entra ID para automatizar o provisionamento de membros da organização GitHub Enterprise Cloud.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes itens:

• Uma conta de usuário Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos na Nuvem
  • Proprietário do aplicativo.

• Uma organização GitHub criada no GitHub Enterprise Cloud, que requer o plano de cobrança GitHub Enterprise
• Uma conta de usuário em GitHub com permissões de administrador para a organização
• SAML configurado para a organização GitHub Enterprise Cloud
• Verifique se o acesso ao OAuth foi fornecido para sua organização, conforme descrito aqui
• Só há suporte ao provisionamento do SCIM para uma organização individual quando o SSO está habilitado no nível da organização

Atribuir usuários a GitHub

Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que foram "atribuídos" a um aplicativo em Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam de acesso à sua organização GitHub. Depois de decidir, você pode atribuir esses usuários seguindo as instruções aqui:

Para obter mais informações, consulte Atribuir um usuário ou grupo a um aplicativo empresarial.

Dicas importantes para atribuir usuários a GitHub

• Recomendamos que você atribua um único usuário Microsoft Entra a GitHub para testar a configuração de provisionamento. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

• Ao atribuir um usuário a GitHub, você deve selecionar a função User ou outra função específica do aplicativo válida (se disponível) na caixa de diálogo de atribuição. A função acesso padrão não funciona para provisionamento e esses usuários são ignorados.

Configurando o provisionamento de usuário para GitHub

Esta seção orienta você na conexão do seu Microsoft Entra ID à API de provisionamento SCIM do GitHub para automatizar o provisionamento de associação a organizações no GitHub. Essa integração, que aproveita um aplicativo OAuth, adiciona, gerencia e remove automaticamente o acesso dos membros a uma organização GitHub Enterprise Cloud com base na atribuição de usuário e grupo no Microsoft Entra ID. Quando os usuários são provisionados para uma organização GitHub via SCIM, um convite de email é enviado para o endereço de email do usuário.

Configurar o provisionamento automático de conta de usuário para GitHub no Microsoft Entra ID

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos em Nuvem.

2. Navegue até Entra ID>Enterprise apps.

3. Se você já tiver configurado GitHub para logon único, pesquise sua instância de GitHub usando o campo de pesquisa.

4. Selecione sua instância de GitHub e selecione a guia Provisioning.

5. Selecione + Nova configuração.

   

6. No campo URL do locatário, insira a URL do locatário GitHub e o Token Secreto. Selecione Test Connection para garantir que Microsoft Entra ID possa se conectar ao GitHub. Se a conexão falhar, verifique se sua conta GitHub tem as permissões de administrador necessárias e tente novamente.

   

7. Na nova janela, entre GitHub usando sua conta de administrador. Na caixa de diálogo de autorização resultante, selecione a Organização do GitHub para a qual você deseja habilitar o provisionamento e selecione Autorizar. Depois de concluído, retorne ao portal Azure para concluir a configuração de provisionamento.

   

8. Selecione Criar para criar sua configuração.

9. Selecione Propriedades na página Visão Geral .

10. Selecione o ícone Editar para editar as propriedades. Habilite emails de notificação e forneça um email para receber notificações de quarentena. Habilitar prevenção de exclusões acidentais. Escolha Aplicar para salvar as alterações.

11. No campo Email de Notificação, insira o endereço de email de uma pessoa que deve receber as notificações de erros de provisionamento e selecione a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

    

12. Selecione Mapeamento de Atributos no painel esquerdo e selecione usuários.

13. Na seção Attribute Mappings , examine os atributos de usuário sincronizados de Microsoft Entra ID para GitHub. Os atributos selecionados como propriedades Matching são usados para corresponder às contas de usuário em GitHub para operações de atualização. Não habilite a configuração de precedência correspondente para os outros atributos padrão na seção Provisionamento porque podem ocorrer erros. Selecione Salvar para confirmar as alterações.

14. Para configurar filtros de escopo, consulte as instruções fornecidas no artigo de filtro de escopo.

15. Use o provisionamento sob demanda para validar a sincronização com um pequeno número de usuários antes de implantar de forma mais ampla em sua organização.

16. Quando estiver pronto para provisionar, selecione Iniciar Provisionamento na página Visão Geral .

Para obter mais informações sobre como ler os logs de provisionamento de Microsoft Entra, consulte Reportando sobre provisionamento automático de conta de usuário.

Recursos adicionais

• Gerenciando o provisionamento de conta de usuário para Aplicativos Empresariais
• O que é acesso ao aplicativo e logon único com Microsoft Entra ID?

Conteúdo relacionado

• Saiba como revisar logs e obter relatórios sobre a atividade de provisionamento