Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez apprendre à intégrer une organisation GitHub Enterprise Cloud à Microsoft Entra ID. L'intégration d'une organisation GitHub Enterprise Cloud avec Microsoft Entra ID vous permet d'effectuer les opérations suivantes :
- Contrôler dans Microsoft Entra ID qui a accès à votre organisation GitHub Enterprise Cloud.
- Gérez l'accès à votre organisation GitHub Enterprise Cloud à partir d'emplacement central.
Prérequis
Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :
- Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Une organisation GitHub créée dans GitHub Enterprise Cloud, ce qui nécessite le plan de facturation GitHub Enterprise.
Description du scénario
Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.
GitHub prend en charge l’authentification unique lancée par le fournisseur de services.
GitHub prend en charge l’attribution automatique d’utilisateurs (invitations d’organisation).
Ajout de GitHub à partir de la galerie
Pour configurer l'intégration de GitHub à Microsoft Entra ID, vous devez ajouter GitHub à partir de la galerie à votre liste d'applications SaaS gérées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez GitHub dans la zone de recherche.
- Sélectionnez GitHub Enterprise Cloud - Organization dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). Découvrez-en plus sur les assistants Microsoft 365.
Configurer et tester l'authentification unique Microsoft Entra pour GitHub
Configurez et testez l'authentification unique (SSO) Microsoft Entra avec GitHub à l'aide d'un utilisateur test nommé B.Simon. Pour que l'authentification unique (SSO) fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans GitHub.
Pour configurer et tester l'authentification unique Microsoft Entra avec GitHub, effectuez les étapes suivantes :
-
Configurer l’authentification unique (SSO) Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
- Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
- Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
-
Configurer l'authentification unique GitHub pour configurer les paramètres de l'authentification unique côté application.
- Créer un utilisateur de test GitHub pour avoir un équivalent de B.Simon dans GitHub lié à la représentation Microsoft Entra de l’utilisateur.
- Tester l’authentification unique (SSO) pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Suivez ces étapes pour activer l’authentification unique (SSO) Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Entra ID>Applications d'entreprise>GitHub>Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.
Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :
a) Dans la zone de texte Identificateur (ID d’entité) , tapez une URL selon le modèle suivant :
https://github.com/orgs/<Organization ID>b. Dans la zone de texte URL de réponse, tapez une URL au format suivant :
https://github.com/orgs/<Organization ID>/saml/consumec. Dans la zone de texte URL de connexion, saisissez une URL au format suivant :
https://github.com/orgs/<Organization ID>/ssoNote
Notez que ce ne sont pas les valeurs réelles. Vous devez mettre à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL d’authentification réels. Nous vous suggérons d’utiliser ici la valeur de chaîne unique dans l’identificateur. Accédez à la section d’administration de GitHub pour extraire ces valeurs.
L’application GitHub s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration Attributs du jeton SAML. La capture d'écran suivante montre la liste des attributs par défaut, où Identificateur d'utilisateur unique (ID de nom) est mappé avec user.userprincipalname. L’application GitHub s’attend à ce que l’identificateur d’utilisateur unique (ID de nom) soit mappé avec user.mail. Vous devez donc modifier le mappage d’attribut en sélectionnant l’icône Modifier et en modifiant le mappage d’attributs.
Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez Télécharger pour télécharger le certificat (Base64) à partir des options spécifiées en fonction de vos besoins et enregistrez-le sur votre ordinateur.
Dans la section Configurer GitHub, copiez la ou les URL appropriées en fonction de vos besoins.
Créer et affecter un utilisateur de test Microsoft Entra
Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.
Configurer l’authentification unique GitHub
Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise GitHub en tant qu’administrateur.
Accédez à Paramètres et sélectionnez Sécurité.
Cochez la case Activer l’authentification SAML, révélant ainsi les champs de configuration de l’authentification unique, puis effectuez les étapes suivantes :
a) Copiez la valeur du champ URL d'authentification unique et collez-la dans la zone de texte URL de connexion de la section Configuration SAML de base.
b. Copiez la valeur URL Assertion Consumer Service et collez-la dans la zone de texte URL de réponse de la section Configuration SAML de base.
Configurez les champs suivants :
a) Dans la zone de texte URL de connexion, collez la valeur de l'URL de connexion que vous avez préalablement copiée.
b. Dans la zone de texte Émetteur, collez la valeur de l'Identifiant Microsoft Entra que vous avez préalablement copiée.
c. Ouvrez le certificat téléchargé à partir du portail Azure dans le bloc-notes et collez le contenu dans la zone de texte Certificat public.
d. Sélectionnez l’icône Modifier pour modifier la méthode signature et la méthode Digest de RSA-SHA1 et SHA1 vers RSA-SHA256 et SHA256 , comme indiqué ci-dessous.
e. Mettez à jour l’URL Assertion Consumer Service (URL de réponse) à partir de l’URL par défaut pour que l’URL dans GitHub corresponde à celle de l’inscription de l’application Azure.
Sélectionnez Tester la configuration SAML pour confirmer qu’aucun échec ou erreur de validation n’est rencontré pendant l’authentification unique.
Cliquez sur Enregistrer
Note
L’authentification unique dans GitHub s’authentifie auprès d’une organisation spécifique dans GitHub et ne remplace pas l’authentification de GitHub elle-même. Par conséquent, si la session github.com de l’utilisateur a expiré, vous pouvez être invité à vous authentifier avec un ID ou un mot de passe GitHub pendant le processus d’authentification unique.
Créer un utilisateur de test GitHub
L’objectif de cette section est de créer un utilisateur appelé Britta Simon dans GitHub. GitHub prend en charge l’attribution automatique d’utilisateurs, qui est activée par défaut. Vous trouverez plus d’informations ici sur la façon de configurer l’attribution automatique d’utilisateurs.
Si vous avez besoin de créer un utilisateur manuellement, procédez comme suit :
Connectez-vous à votre site d’entreprise GitHub en tant qu’administrateur.
Sélectionnez Personnes.
Sélectionnez Inviter un membre.
Dans la boîte de dialogue Invite member, procédez comme suit :
a) Dans la zone de texte E-mail , tapez l’adresse de messagerie du compte de Britta Simon.
b. Sélectionnez Envoyer une invitation.
Note
Le détenteur du compte Microsoft Entra reçoit un message électronique et suit un lien pour confirmer le compte avant qu'il ne soit activé.
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion GitHub où vous pouvez lancer le flux de connexion.
Accédez directement à l’URL de connexion GitHub pour lancer le flux de connexion à partir de là.
Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous sélectionnez la vignette GitHub dans Mes applications, cette option redirige vers l’URL de connexion à GitHub. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Contenu connexe
Une fois que vous avez configuré GitHub, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec les applications Microsoft Defender pour le cloud.