Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve as etapas que você precisa executar no GitHub Enterprise Managed User (OIDC) e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para o GitHub Enterprise Managed User (OIDC) usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Nota
O Usuário Gerenciado Corporativo (EMU) do GitHub é um tipo diferente de Conta Corporativa do GitHub. Se você não solicitou especificamente a instância da UEM, você tem uma conta corporativa padrão do GitHub. Nesse caso, consulte a documentação para configurar o provisionamento de utilizadores na sua organização não EMU. O provisionamento de utilizadores não é suportado para Contas Empresariais GitHub padrão, mas é suportado para organizações que estão sob uma Conta Empresarial GitHub padrão.
Capacidades suportadas
- Criar usuários no GitHub Enterprise Managed User (OIDC)
- Remova usuários no GitHub Enterprise Managed User (OIDC) quando eles não precisarem mais de acesso
- Mantenha os atributos de usuário sincronizados entre o Microsoft Entra ID e o GitHub Enterprise Managed User (OIDC)
- Gerir grupos e membros de grupos no GitHub Enterprise Managed User (OIDC)
- Autenticação única para GitHub Enterprise Managed User (OIDC) (recomendado).
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
- Utilizadores Geridos Empresariais do GitHub Enterprise habilitados e configurados para iniciar sessão com OIDC SSO através do seu tenant Microsoft Entra.
Nota
Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.
Etapa 1: Planejar a implantação do provisionamento
- Saiba como funciona o serviço de aprovisionamento.
- Determine quem faz parte do escopo de aprovisionamento.
- Determine quais dados mapear entre o Microsoft Entra ID e o GitHub Enterprise Managed User.
Etapa 2: Preparar para configurar o provisionamento com o Microsoft Entra ID
Identifique o URL do locatário. Este é o valor que você insere no campo URL do Locatário na guia Provisionamento do seu aplicativo GitHub Enterprise Managed User.
- Para uma empresa em GitHub.com, a URL do locatário é
https://api.github.com/scim/v2/enterprises/{enterprise}. - Para uma empresa no GHE.com, a URL do locatário é
https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain}
- Para uma empresa em GitHub.com, a URL do locatário é
Certifique-se de que criou um token com o escopo scim:enterprise para o utilizador de configuração da sua empresa. Esse valor é inserido no campo Token secreto na guia Provisionamento do seu aplicativo GitHub Enterprise Managed User. Consulte Introdução aos Utilizadores Geridos Corporativamente no GitHub Docs.
Etapa 3: Adicionar o GitHub Enterprise Managed User (OIDC) da galeria de aplicativos do Microsoft Entra
Adicione o GitHub Enterprise Managed User (OIDC) a partir da galeria de aplicações do Microsoft Entra para começar a gerir o provisionamento para o GitHub Enterprise Managed User (OIDC). Se você tiver configurado anteriormente o GitHub Enterprise Managed User (OIDC) para SSO, poderá usar o mesmo aplicativo. No entanto, é recomendável que você crie um aplicativo separado ao testar a integração inicialmente. Saiba mais sobre como adicionar uma aplicação a partir da galeria aqui.
Nota
Se precisar de outra instância da aplicação, pode aceitar o GitHub Enterprise Managed User (OIDC) - ghe.com e, por favor, trabalhe com a equipa de contas do GitHub para ativar esta funcionalidade na sua instância.
Etapa 4: Definir quem está no escopo do provisionamento
O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo ou com base nos atributos do usuário ou grupo. Se você optar por definir o escopo de quem é provisionado para seu aplicativo com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas nos atributos do usuário ou grupo, poderá usar um filtro de escopo.
Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o âmbito está definido para todos os utilizadores e grupos, pode especificar um filtro de âmbito baseado em atributos.
Se precisar de funções extras, você pode atualizar o manifesto do aplicativo para adicionar novas funções.
Etapa 5: Configurar o provisionamento automático de usuários para o GitHub Enterprise Managed User (OIDC)
Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base em atribuições de usuário e/ou grupo na ID do Microsoft Entra.
Para configurar o provisionamento automático de usuários para o GitHub Enterprise Managed User (OIDC) na ID do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue para Entra ID>Aplicações empresariais
Na lista de aplicativos, selecione GitHub Enterprise Managed User (OIDC).
Selecione o separador Aprovisionamento.
Definir + Nova configuração.
Na seção Credenciais de Administrador, insira a URL do Tenant do GitHub Enterprise Managed User (OIDC) e o Token Secreto. Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao GitHub Enterprise Managed User (OIDC). Se a conexão falhar, verifique se sua conta do GitHub Enterprise Managed User (OIDC) criou o token secreto como proprietário da empresa e tente novamente.
Em "URL do locatário", digite a URL do locatário identificada anteriormente.
- Para uma empresa chamada octo-corp em GitHub.com, o URL do Tenant é
https://api.github.com/scim/v2/enterprises/octo-corp. - Para uma empresa chamada octo-corp no GHE.com, o URL do Tenant é
https://api.octo-corp.ghe.com/scim/v2/enterprises/octo-corp.
- Para uma empresa chamada octo-corp em GitHub.com, o URL do Tenant é
Para "Token secreto", cole o token de acesso pessoal do GitHub que você criou anteriormente.
Selecione Criar para criar a sua configuração.
Selecione Propriedades na página de Visão Geral.
Selecione o lápis para editar as propriedades. Habilite e-mails de notificação e forneça um e-mail para receber e-mails de quarentena. Ative a opção para evitar eliminação acidental. Selecione Aplicar para salvar as alterações.
Selecione Mapeamento de Atributos no painel esquerdo e selecione utilizadores.
Analise os atributos de usuário sincronizados do Microsoft Entra ID para o GitHub Enterprise Managed User (OIDC) na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no GitHub Enterprise Managed User (OIDC) para operações de atualização. Se você optar por alterar o atributo de destino correspondente, precisará garantir que a API do GitHub Enterprise Managed User (OIDC) ofereça suporte à filtragem de usuários com base nesse atributo. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Suportado para filtragem Id externo Cordão ✓ nome de utilizador Cordão ativo booleano funções Cordão nome de exibição Cordão nome.dado Cordão nome.sobrenome Cordão nomeFormatado Cordão emails[tipo = "trabalho"].valor Cordão e-mails[tipo eq "home"].valor Cordão e-mails[tipo eq "outros"].value Cordão Selecione Grupos.
Analise os atributos de grupo sincronizados do Microsoft Entra ID para o GitHub Enterprise Managed User (OIDC) na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no GitHub Enterprise Managed User (OIDC) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo Suportado para filtragem Id externo Cordão ✓ nome de exibição Cordão membros Referência Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo Filtro de escopo .
Use provisionamento sob demanda para validar a sincronização com um pequeno número de utilizadores antes de uma implementação mais ampla na sua organização.
Quando estiver pronto para provisionar, selecione Iniciar Provisão na página de Visão Geral .
Etapa 6: Monitorar sua implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Use os logs de provisionamento para determinar quais usuários são provisionados com ou sem êxito
- Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está de ser concluído
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre o estado de quarentena no artigo estado de quarentena de aprovisionamento de aplicativos.
Mais recursos
- Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?