Qu’est-ce que les utilisateurs gérés d’entreprise dans GitHub ?
Avec Enterprise Managed Users, vous gérez le cycle de vie et l’authentification de vos utilisateurs sur GitHub.com ou GHE.com à partir d’un système de gestion des identités externe, ou IdP :
- Votre IdP provisionne de nouveaux comptes utilisateurs sur GitHub, avec accès à votre entreprise.
- Les utilisateurs doivent s’authentifier sur votre IdP pour accéder aux ressources de votre entreprise sur GitHub.
- Vous gérez les noms d’utilisateur, les données de profil, l’appartenance à une organisation et l’accès au référentiel depuis votre IdP.
- Si votre entreprise utilise l’authentification unique OIDC, GitHub validera l’accès à votre entreprise et à ses ressources en utilisant la stratégie d’accès conditionnel de votre fournisseur d’identité. Consultez « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».
- Comptes d’utilisateur managés ne peut pas créer de contenu public ou collaborer en dehors de votre entreprise. Consultez « Capacités et restrictions des comptes d’utilisateur managés ».
Remarque
Enterprise Managed Users n’est pas la meilleure solution pour chaque client. Pour déterminer si cela convient pour votre entreprise, consultez Choix d’un type d’entreprise pour GitHub Enterprise Cloud.
Comment les EMU s’intègrent-elles aux systèmes de gestion des identités ?
GitHub s'associe à certains développeurs de systèmes de gestion d'identité pour fournir une intégration «prête à l’emploi » avec Enterprise Managed Users. Pour simplifier votre configuration et garantir une prise en charge complète, utilisez un seul partenaire IdP pour l'authentification et l'approvisionnement.
Qu’est-ce que les fournisseurs d’identité partenaires ?
Les IdP partenaires proposent une authentification reposant sur SAML ou OIDC et assurent le provisionnement à l’aide de System for Cross-domain Identity Management (SCIM).
| Partenaire IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
Lorsque vous utilisez un IdP partenaire unique pour l'authentification et l'approvisionnement, GitHub assure la prise en charge de l'application sur l'IdP partenaire, ainsi que l'intégration des IdP avec GitHub.
Puis-je utiliser des systèmes de gestion des identités autres que les partenaires pris en charge ?
Si vous ne pouvez pas utiliser un fournisseur d'identité partenaire unique pour l'authentification et l'approvisionnement, vous pouvez utiliser un autre système de gestion des identités ou une combinaison de systèmes. Le système doit :
- Respecter les consignes d'intégration de GitHub
- Fournir une authentification à l'aide de SAML, conformément à la spécification SAML 2.0
- Fournir une gestion du cycle de vie des utilisateurs à l'aide de SCIM, conformément à la spécification SCIM 2.0 et en communiquant avec l'API REST de GitHub (voir Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST)
GitHub ne prend pas expressément en charge le mélange de fournisseurs d’identité partenaires pour l’authentification et l’approvisionnement et ne teste pas tous les systèmes de gestion des identités. L’équipe de support technique de GitHub pourrait ne pas être en mesure de vous aider à résoudre les problèmes liés aux systèmes mixtes ou non testés. Si vous avez besoin d’aide, vous devez vérifier la documentation du système, contacter l’équipe de support technique ou consulter d’autres ressources.
Important
La combinaison de Okta et Entra ID pour l’authentification unique et SCIM (dans n’importe quel ordre) n’est explicitement pas prise en charge. L’API SCIM de GitHub renverra une erreur au fournisseur d’identité lors des tentatives d’approvisionnement si cette combinaison est configurée.
Comment les noms d’utilisateur et les informations de profil sont-ils gérés pour les EMU ?
GitHub crée automatiquement un nom d’utilisateur pour chaque développeur en normalisant un identificateur fourni par votre fournisseur d'identité (IdP). Un conflit peut se produire si les parties uniques de l’identificateur sont supprimées lors de la normalisation. Consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».
Le nom de profil et l’adresse e-mail d’un compte d’utilisateur managé sont également fournis par l’IdP :
- Les Comptes d’utilisateur managés ne peuvent pas modifier leur nom de profil ou leur adresse email sur GitHub.
- L'IdP ne peut fournir qu'une seule adresse e-mail.
- La modification de l'adresse e-mail d'un utilisateur dans votre IdP supprimera le lien entre l'utilisateur et l'historique des contributions associé à l'ancienne adresse e-mail.
Comment les rôles et l’accès sont-ils gérés pour les EMU ?
Dans votre IdP, vous pouvez attribuer à chaque compte d’utilisateur managé un rôle dans votre entreprise, comme membre, propriétaire ou collaborateur invité. Consultez « Compétences des rôles dans une entreprise ».
Vous pouvez gérer manuellement les appartenances (et l’accès aux dépôts) à l’organisation ou vous pouvez mettre à jour les appartenances automatiquement à l’aide de groupes d’IdP. Consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».
Comment comptes d’utilisateur managés s’authentifient-ils auprès de GitHub ?
Les emplacements où les comptes d’utilisateur managés peuvent s’authentifier sur GitHub dépend de la façon dont vous configurez l’authentification (SAML ou OIDC). Consultez « Authentification avec Enterprise Managed Users ».
Par défaut, lorsqu'un utilisateur non authentifié tente d'accéder à votre entreprise, GitHub affiche une erreur 404. Vous pouvez éventuellement activer les redirections automatiques vers l’authentification unique (SSO) à la place. Consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise ».