Configuration de l’authentification etavec Okta

Découvrez comment configurer Okta pour communiquer avec votre entreprise sur GitHub.com ou GHE.com.

Qui peut utiliser cette fonctionnalité ?

People with admin access to the IdP

Enterprise Managed Users est disponible pour les nouveaux comptes d'entreprise sur GitHub Enterprise Cloud. Consultez À propos d’Enterprise Managed Users.

Dans cet article

À propos du provisionnement avec Okta

Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un IdP partenaire. Vous pouvez donc simplifier votre configuration de l’authentification et du provisionnement grâce à l’application Okta pour Enterprise Managed Users. Pour plus d’informations, consultez À propos d’Enterprise Managed Users.

Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API GitHubREST pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Fonctionnalités prises en charge

Enterprise Managed Users

prend en charge les fonctionnalités d’approvisionnement suivantes pour Okta.

FonctionnalitéDescription
Envoyer (push) de nouveaux utilisateursLes utilisateurs affectés à l’application GitHub Enterprise Managed User dans Okta sont automatiquement créés dans l’entreprise sur .GitHub
Mise à jour du profil par PushLes mises à jour apportées au profil de l’utilisateur dans Okta seront envoyées à GitHub.
Groupes de notificationLes groupes dans Okta qui sont attribués à l’application de GitHub Enterprise Managed User en tant que groupes Push sont automatiquement créés dans l’entreprise sur GitHub.
Désactivation automatique de l’utilisateurL’annulation de l’affectation de l’utilisateur à partir de GitHub Enterprise Managed User l’application dans Okta désactive l’utilisateur sur GitHub. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées.
Réactiver les utilisateursLes utilisateurs d’Okta dont les comptes Okta sont réactivés et qui sont réaffectés à l’application de GitHub Enterprise Managed User sur Okta seront activés.

Remarque

Enterprise Managed Users ne prend pas en charge les modifications apportées aux noms d’utilisateur.

Prérequis

Si vous configurez le provisionnement SCIM pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez « Pour commencer avec Enterprise Managed Users ».

De plus,:

  • Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.
  • Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.

Configuration de SCIM

Une fois que vous avez configuré vos paramètres SAML dans l’application Okta, vous pouvez continuer à configurer les paramètres d’approvisionnement. Si vous n’avez pas encore configuré les paramètres SAML, consultez Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users.

Pour configurer l’approvisionnement, l’utilisateur de configuration avec le nom d’utilisateur @SHORT-CODE_admindevra fournir un jeton personal access token (classic)avec la portée scim:enterprise. Consultez « Pour commencer avec Enterprise Managed Users ».

  1. Accédez à votre GitHub Enterprise Managed User application sur Okta.

  2. Cliquez sur l'onglet Configuration.

  3. Dans le menu de paramètres, cliquez sur Integration.

  4. Pour effectuer des modifications, cliquez sur Edit.

  5. Cliquez sur Configurer l’intégration d’API.

  6. Dans le champ « Jeton API », saisissez le personal access token (classic) de l’utilisateur de configuration.

    Remarque

    « Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.

    Important

    Pour une entreprise sur GitHub Enterprise Cloud avec résidence des données (GHE.com), entrez l’URL suivante dans le champ URL de base : https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain} (en veillant à remplacer {subdomain} par le sous-domaine de votre entreprise).

Par exemple : si le sous-domaine de votre entreprise est acme, l’URL de base est .https://api.acme.ghe.com/scim/v2/enterprises/acme

  1. Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.
  2. Pour enregistrer le jeton, cliquez sur Save.
  3. Dans le menu de paramètres, cliquez sur To App.
  4. À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.
  5. Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.
  6. Pour terminer la configuration du provisionnement, cliquez sur Save.

Comment attribuer des utilisateurs et des groupes ?

Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.

Remarque

Pour éviter de dépasser la limite de débit sur GitHub, n’attribuez pas plus de 1 000 utilisateurs par heure à l’intégration SCIM sur votre IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez Résolution des problèmes de gestion des identités et des accès pour votre entreprise.

Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise. Pour plus d’informations sur les rôles attribuables disponibles, consultez Compétences des rôles dans une entreprise.

Remarque

Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.

Comment déprovisionner des utilisateurs et des groupes ?

Pour supprimer un utilisateur ou un groupe GitHub, supprimez l’utilisateur ou le groupe de l’onglet « Affectations » et de l’onglet « Groupes Push » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».