Configuration de l’authentification unique SAML pour Enterprise Managed Users

          **Avant** en suivant les étapes décrites dans cet article, assurez-vous que votre entreprise utilise **utilisateurs gérés** et que vous êtes connecté en tant qu’utilisateur d’installation dont le nom d’utilisateur est le suffixe abrégé de votre entreprise avec `_admin`. Vous pouvez vérifier que vous êtes connecté avec l’utilisateur approprié en vérifiant si la vue d’entreprise comporte la barre d’en-tête « Affichage en tant que SHORTCODE_admin » en haut de l’écran. Si vous voyez cela, vous êtes connecté avec l’utilisateur approprié et vous pouvez suivre les étapes décrites dans cet article. Pour plus d’informations sur l’utilisateur d’installation, consultez [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).

Si votre entreprise utilise des compte personnels, vous devez suivre un processus différent pour configurer l’authentification unique SAML. Consultez « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».

À propos de SAML pour la gestion des identités et des accèsEnterprise Managed Users

Avec Enterprise Managed Users, l’accès aux ressources de votre entreprise sur GitHub.com ou GHE.com doit être authentifié par le biais de votre fournisseur d’identité (IDP). Au lieu de vous connecter avec un nom d’utilisateur et un GitHub mot de passe, les membres de votre entreprise se connectent via votre fournisseur d’identité.

Nous vous recommandons de stocker vos codes de récupération après avoir configuré l’authentification unique SAML pour pouvoir récupérer l’accès à votre entreprise en cas d’indisponibilité de votre IdP.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Prérequis

• Comprendre les exigences d’intégration et le niveau de prise en charge de votre IdP.

  •           GitHub offre une intégration « parcours balisé » et une prise en charge complète si vous utilisez un **partenaire fournisseur d’identité** pour l’authentification et le provisionnement.
    

  • Vous pouvez également utiliser n’importe quel système ou toute combinaison de systèmes conformes à SAML 2.0 et SCIM 2.0. Toutefois, la prise en charge de la résolution des problèmes pour ces systèmes peut être limitée.

  Pour plus d’informations, consultez À propos d’Enterprise Managed Users.

• Votre IdP doit respecter la spécification SAML 2.0. Consultez le Wiki SAML sur le site web OASIS.

• Vous devez disposer d’un accès administrateur au niveau du locataire pour votre IdP.

• Si vous configurez l’authentification unique SAML pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez « Pour commencer avec Enterprise Managed Users ».

Configurer l’authentification unique SAML pour Enterprise Managed Users

Pour configurer le SSO SAML pour votre entreprise avec utilisateurs managés, vous devez configurer une application sur votre fournisseur d’identité, puis configurer votre entreprise sur GitHub. Après avoir configuré l'authentification unique SAML, vous pouvez configurer le provisionnement des utilisateurs.

1.        [Configurer votre fournisseur d’identité](#configure-your-idp)
   

2.        [Configurer votre entreprise](#configure-your-enterprise)
   

3.        [Activer l’approvisionnement](#enable-provisioning)
   

Configurer votre fournisseur d’identité

1. Si vous utilisez un fournisseur d’identité partenaire, pour installer l’application GitHub Enterprise Managed User , cliquez sur le lien de votre fournisseur d’identité et de votre environnement.

   Fournisseur d’identité	Application pour GitHub.com	Application pour GHE.com
   Microsoft Entra ID	GitHub Enterprise Managed User	GitHub Enterprise Managed User
   Okta	GitHub Enterprise Managed User

          [
          GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) |
   

   | PingFederate | PingFederate télécharge le site web (accédez à l’onglet Modules complémentaires , puis sélectionnez GitHub CONNECTEUR UEM 1.0) | PingFederate télécharge le site web (accédez à l’onglet Modules complémentaires , puis sélectionnez GitHub CONNECTEUR UEM 1.0) |

2. Pour configurer le SSO (authentification unique) SAML pour un fournisseur d’identité partenaire Enterprise Managed Users, lisez la documentation pertinente pour votre fournisseur d’identité et votre environnement.

   Fournisseur d’identité	Documentation pour GitHub.com	Documentation pour GHE.com
   Microsoft Entra ID

          [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | 
          [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) |
   

   | Okta | Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users | Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users | | PingFederate | Configuration de l’authentification et de l’approvisionnement avec PingFederate ("Prérequis" et "1. Configurer les sections « SAML » | Configuration de l’authentification et de l’approvisionnement avec PingFederate ("Prérequis" et "1. Configurer les sections « SAML » |

   Alternativement, si vous n’utilisez pas de fournisseur d'identité partenaire, vous pouvez utiliser la référence de configuration SAML pour GitHub créer et configurer une application SAML 2.0 générique sur votre fournisseur d’identité. Consultez « Référence de configuration SAML ».

3. Pour tester et configurer votre entreprise, assignez-vous à vous-même ou à l’utilisateur qui configurera la SSO SAML pour votre entreprise sur GitHub à l’application que vous avez configurée pour Enterprise Managed Users sur votre IdP.

   Remarque

   Pour vérifier que la connexion d'authentification est bien établie lors de la configuration, un utilisateur au moins doit être attribué à l'IdP.

4. Pour continuer à configurer votre entreprise sur GitHub, recherchez et notez les informations suivantes de l'application que vous avez installée sur votre fournisseur d'identité (IdP).

   Valeur	Autres noms	Description
   URL de connexion IdP	URL de connexion, URL de l’IdP	URL de l’application sur votre IdP
   URL d’identificateur de l’IdP	Émetteur	Identificateur de l’IdP utilisé auprès des fournisseurs de services pour l’authentification SAML
   Certificat de signature, codé en PEM	Certificat public	Certificat public utilisé par le fournisseur d’identité pour signer les demandes d’authentification

Configurer votre entreprise

Après avoir configuré l'authentification unique SAML pour Enterprise Managed Users sur votre fournisseur d'identité, vous pouvez configurer votre entreprise sur GitHub.

Après la configuration initiale de l’authentification unique SAML, le seul paramètre sur lequel GitHub vous pouvez effectuer la mise à jour pour votre configuration SAML existante est le certificat SAML, qui peut être effectué par n’importe quel membre disposant du rôle propriétaire d’entreprise. Si vous devez mettre à jour l’URL de connexion ou celle de l’émetteur, vous devez d’abord désactiver l’authentification unique (SSO) SAML, puis la reconfigurer avec les nouveaux paramètres. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».

1. Connectez-vous en tant qu'utilisateur de configuration de votre entreprise avec le nom d'utilisateur SHORTCODE_admin, en remplaçant SHORTCODE par le code court de votre entreprise.

   Remarque

   Si vous devez réinitialiser le mot de passe de votre utilisateur de configuration, contactez Support GitHub à partir du Portail de support GitHub. L’option de réinitialisation de mot de passe habituelle en fournissant votre adresse e-mail ne fonctionnera pas.

2. Si vous utilisez une idP non partenaire (un fournisseur d’identité autre que Okta, PingFederate ou Entra ID), avant d’activer SAML, vous devez mettre à jour un paramètre pour pouvoir configurer SCIM à l’aide de l’API REST. Consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

3. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

4. En haut de la page, cliquez sur Fournisseur d’identité.

5. Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.

6. Dans la rubrique « Authentification unique SAML », sélectionnez Ajouter une configuration SAML.

7. Sous URL de connexion, saisissez le point de terminaison HTTPS de votre IdP pour les demandes SSO que vous avez notées lors de la configuration de votre IdP.

8. Sous Émetteur, tapez l’URL de votre émetteur SAML, que vous avez notée au moment de la configuration de votre fournisseur d’identité, pour vérifier l’authenticité des messages envoyés.

9. Sous Certificat public, collez le certificat que vous avez noté au moment de la configuration de votre fournisseur d’identité pour vérifier les réponses SAML.

   Remarque

   GitHub ne prend pas en compte l’expiration de ce certificat IdP SAML. Cela signifie que même si ce certificat expire, votre authentification SAML continuera de fonctionner. Toutefois, GitHubla recommandation consiste à mettre à jour le certificat avant son expiration. Nous accepterons une réponse SAML signée avec un certificat expiré, mais nous ne pouvons pas commenter la façon dont l’expiration du certificat sera gérée au niveau du fournisseur d’identité. Si votre administrateur idP régénère le certificat SAML et que vous ne le mettez pas à jour côté GitHub , les utilisateurs rencontrent une digest mismatch erreur lors des tentatives d’authentification SAML en raison de l’incompatibilité du certificat. Consultez Erreur : incompatibilité de synthèse.

10. Dans la même section Certificat public, sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.

11. Avant d'activer l'authentification unique SAML pour votre entreprise, pour vérifier que les informations que vous avez entrées sont correctes, cliquez sur Tester la configuration SAML. Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.

12. Cliquez sur Save SAML settings (Enregistrer les paramètres SAML).

    Remarque

    Une fois que l'authentification unique SAML est requise pour votre entreprise et que vous enregistrez les paramètres SAML, l'utilisateur qui a configuré l'accès continuera à pouvoir accéder à l'entreprise et restera connecté à GitHub, ainsi que comptes d’utilisateur managés approvisionné par votre fournisseur d'identité, qui aura lui aussi accès à l'entreprise.

13. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

Activer l’approvisionnement

Après avoir activé l’authentification unique SAML, activez le provisionnement. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

Activer les collaborateurs invités

Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.

Si vous utilisez Entra ID ou Okta pour l’authentification SAML, il vous faudra peut-être mettre à jour votre application IdP pour permettre l’utilisation de collaborateurs invités. Pour plus d’informations, consultez « Activation des collaborateurs invités ».