Remarque
La prise en charge d'OpenID Connect (OIDC) et de la politique d'accès conditionnel (CAP) pour Enterprise Managed Users n'est disponible que pour Microsoft Entra ID (anciennement Azure AD).
À propos d’OIDC pour les utilisateurs managés par l’entreprise
Avec Enterprise Managed Users, votre entreprise utilise votre fournisseur d'identité (IdP) pour authentifier tous les membres. Vous pouvez utiliser OpenID Connect (OIDC) pour gérer l’authentification de votre entreprise avec utilisateurs managés. L’activation de l’authentification unique OIDC est un processus d’installation en un clic avec des certificats managés par GitHub et votre fournisseur d’identité.
Lorsque votre entreprise utilise l'authentification unique OIDC, GitHub utilisera automatiquement la politique d'accès conditionnel (CAP) de votre fournisseur d'identité pour valider les interactions avec GitHub lorsque les membres utilisent l’interface utilisateur web ou modifient les adresses IP, et pour chaque authentification avec une clé SSH associée à un compte d'utilisateur. Consultez À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité.
Remarque
La protection CAP pour les sessions web est actuellement dans préversion publique et peut changer.
Si le support CAP de l'IdP est déjà activé pour votre entreprise, vous pouvez opter pour une protection étendue des sessions web à partir des paramètres « Sécurité de l'authentification » de votre entreprise. Lorsque la protection de session web est activée et que les conditions de l’adresse IP d’un utilisateur ne sont pas satisfaites, il peut consulter et filtrer toutes les ressources appartenant à l’utilisateur, mais ne peut pas voir les détails des résultats pour les notifications, les recherches, les tableaux de bord personnels ou les référentiels en vedette.
Vous pouvez régler la durée de vie d’une session et la fréquence à laquelle un compte d’utilisateur managé doit se réauthentifier avec votre IdP, en modifiant la propriété de stratégie de durée de vie des jetons d’ID émis pour GitHub par votre IdP. La durée de vie par défaut est d’une heure. Consultez « Configurer les stratégies de durée de vie des jetons » dans la documentation Microsoft.
Pour modifier la propriété de la politique de durée de vie, vous aurez besoin de l’ID d’objet associé à votre OIDC Enterprise Managed Users. Consultez « Recherche de l'identifiant de l'objet de votre application Entra OIDC ».
Remarque
Si vous avez besoin d’aide pour configurer la durée de vie de la session OIDC, contactez Microsoft Support.
Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».
Avertissement
Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis votre instance GitHub Enterprise Server, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Entra ID, sinon votre migration peut être bloquée.
Prise en charge des fournisseurs d’identité
La prise en charge de OIDC est disponible pour les clients utilisant Entra ID.
Chaque instance Entra ID ne peut prendre en charge qu’une seule intégration OIDC avec Enterprise Managed Users. Si vous souhaitez connecter Entra ID à plusieurs entreprises sur GitHub, utilisez SAML à la place. Consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».
OIDC ne prend pas en charge l’authentification initiée par le fournisseur d’identité.
Remarque
Les revendications et attributs OIDC personnalisés ne sont pas pris en charge.
Configuration d’OIDC pour les utilisateurs managés par l’entreprise
-
Connectez-vous à GitHub comme utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @SHORT-CODE_admin.
-
Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
-
En haut de la page, cliquez sur Fournisseur d’identité.
-
Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.
-
Sous « OIDC Authentification unique », sélectionnez Activer la configuration OIDC.
-
Pour continuer à configurer et être redirigé vers Entra ID, cliquez sur Enregistrer.
-
Une fois que GitHub vous redirige vers votre fournisseur d'identité, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Entra ID demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.
Avertissement
Vous devez vous connecter à Entra ID en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).
-
Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».
-
Cliquez sur Activer l’authentification OIDC.
Activation de l'approvisionnement
Après avoir activé l'authentification unique OIDC, activez le provisionnement. Consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
Activation des collaborateurs invités
Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.
Pour utiliser des collaborateurs invités avec l’authentification OIDC, vous devrez peut-être mettre à jour vos paramètres dans Entra ID. Consultez « Activation des collaborateurs invités ».