Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’objectif de cet article est de vous montrer les étapes à suivre dans GitHub et Microsoft Entra ID pour automatiser l’approvisionnement de l’appartenance à l’organisation GitHub Enterprise Cloud.
Remarque
L’intégration de l’approvisionnement Microsoft Entra s’appuie sur l’API GitHub SCIM disponible pour les clients GitHub Enterprise Cloud dans le plan de facturation GitHub Enterprise.
Prérequis
Le scénario décrit dans cet article suppose que vous disposez déjà des éléments suivants :
- Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Une organisation GitHub créée dans GitHub Enterprise Cloud, ce qui nécessite le plan de facturation GitHub Enterprise
- Un compte d’utilisateur dans GitHub avec des autorisations d’administrateur vers l’organisation
- SAML configuré pour l’organisation GitHub Enterprise Cloud
- Assurez-vous que l’accès OAuth a été fourni pour votre organisation, comme décrit ici
- Le provisionnement SCIM pour une seule organisation est pris en charge uniquement lorsque l’authentification unique est activée au niveau de l’organisation
Remarque
Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.
Attribution d’utilisateurs à GitHub
Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre du provisionnement automatique de comptes d’utilisateur, seuls les utilisateurs et groupes qui ont été « attribués » à une application dans Microsoft Entra ID sont synchronisés.
Avant de configurer et d’activer le service d’approvisionnement, vous devez décider quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs devant accéder à votre organisation GitHub. Une fois que vous avez choisi, vous pouvez attribuer ces utilisateurs en suivant les instructions fournies ici :
Pour plus d’informations, voir Affecter un utilisateur ou un groupe à une application d’entreprise.
Conseils importants pour l’attribution d’utilisateurs à GitHub
Nous vous recommandons d'attribuer un seul utilisateur Microsoft Entra à GitHub pour tester la configuration de provisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.
Quand vous attribuez un utilisateur à GitHub, vous devez sélectionner le rôle Utilisateur ou un autre rôle valide propre à l’application (si disponible) dans la boîte de dialogue d’attribution. Le rôle Accès par défaut ne fonctionne pas pour l’approvisionnement et ces utilisateurs sont ignorés.
Configuration de l'approvisionnement des utilisateurs sur GitHub
Cette section vous guide tout au long de la connexion de votre Microsoft Entra ID à l’API d’approvisionnement SCIM GitHub pour automatiser la configuration de l’appartenance à l’organisation GitHub. Cette intégration, qui tire parti d’une application OAuth, ajoute, gère et supprime automatiquement l’accès des membres à une organisation cloud GitHub Enterprise en fonction de l’affectation d’utilisateurs et de groupes dans Microsoft Entra ID. Lorsque des utilisateurs sont configurés pour une organisation GitHub via SCIM, une invitation par e-mail est envoyée à l’adresse e-mail de l’utilisateur.
Configurer l’approvisionnement automatique des comptes d’utilisateur sur GitHub dans Microsoft Entra ID
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez aux Entra ID>applications d'entreprise.
Si vous avez déjà configuré GitHub pour l’authentification unique, recherchez votre instance de GitHub à l’aide du champ de recherche.
Sélectionnez votre instance de GitHub, puis sélectionnez l’onglet Approvisionnement.
Définissez le Mode d’approvisionnement sur Automatique.
Dans le portail Azure, entrez l’URL du locataire et sélectionnez Tester la connexion pour vous assurer que l’ID Microsoft Entra peut se connecter à votre organisation GitHub. Si la connexion échoue, vérifiez que votre compte GitHub dispose des autorisations administratives et que l’URL de locataire est correctement entrée. Ensuite, recommencez l’étape « Autoriser » (vous pouvez constituer l’URL de locataire par règle :
https://api.github.com/scim/v2/organizations/<Organization_name>, et rechercher votre organisation sous votre compte GitHub : Paramètres>Organisations).
Dans la section Informations d’identification de l’administrateur , sélectionnez Autoriser. Cette opération ouvre une boîte de dialogue d’autorisation GitHub dans une nouvelle fenêtre du navigateur. Notez que vous devez vous assurer que vous êtes approuvé pour autoriser l’accès. Suivez les instructions décrites ici.
Dans la nouvelle fenêtre, connectez-vous à GitHub à l’aide de votre compte d’administrateur. Dans la boîte de dialogue d’autorisation qui s’affiche, sélectionnez l’organisation GitHub pour laquelle vous souhaitez activer l’approvisionnement, puis sélectionnez Autoriser. Une fois cela terminé, revenez au portail Azure pour terminer la configuration de l’approvisionnement.
Entrez l’adresse de courrier d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement dans le champ E-mail de notification, puis cochez la case « Envoyer une notification par e-mail en cas de défaillance ».
Cliquez sur Enregistrer.
Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec GitHub.
Dans la section Mappages d’attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID avec GitHub. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur dans GitHub pour les opérations de mise à jour. n’activez pas le paramètre de précédence correspondante pour les autres attributs par défaut de la section Approvisionnement , car des erreurs peuvent se produire. Sélectionnez Enregistrer pour valider les modifications.
Pour activer le service de provisionnement Microsoft Entra pour GitHub, modifiez l'état de provisionnement sur Activé dans la section Paramètres.
Cliquez sur Enregistrer.
Cette opération démarre la synchronisation initiale des utilisateurs et/ou des groupes attribués à GitHub dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution. Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement.
Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.
Ressources supplémentaires
- Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
- Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?