Configuration de l’authentification SCIM avec Okta

Découvrez comment configurer Okta pour communiquer avec votre entreprise sur GitHub.com ou sur GHE.com.

Qui peut utiliser cette fonctionnalité ?

People with admin access to the IdP

Enterprise Managed Users est disponible pour les nouveaux comptes d'entreprise sur GitHub Enterprise Cloud. Consultez À propos d’Enterprise Managed Users.

Dans cet article

À propos du provisionnement avec Okta

Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un IdP partenaire ; vous pouvez donc simplifier la configuration de l’authentification et du provisionnement en utilisant l’application Okta pour Enterprise Managed Users. Pour en savoir plus, consultez À propos d’Enterprise Managed Users.

Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Fonctionnalités prises en charge

Enterprise Managed Users prend en charge les fonctionnalités de provisionnement suivantes avec Okta.

FonctionnalitéDescription
Envoyer (push) de nouveaux utilisateursLes utilisateurs attribués à l’application GitHub Enterprise Managed User dans Okta sont automatiquement créés dans l’entreprise sur GitHub.
Mise à jour du profil par PushLes mises à jour apportées au profil de l’utilisateur dans Okta seront envoyées à GitHub.
Groupes de notificationLes groupes dans Okta qui sont affectés à l’application GitHub Enterprise Managed User en tant que groupes Push sont automatiquement créés dans l’entreprise sur GitHub.
Désactivation automatique de l’utilisateurLa suppression d’affectation d’un utilisateur à l’application GitHub Enterprise Managed User dans Okta entraîne la désactivation de cet utilisateur sur GitHub. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées.
Réactiver les utilisateursLes utilisateurs dans Okta dont les comptes sont réactivés et qui sont affectés à l’application GitHub Enterprise Managed User sur Okta seront activés.

Remarque

Enterprise Managed Users ne prend pas en charge la modification des noms d’utilisateur.

Prérequis

Si vous configurez l’approvisionnement SCIM pour une nouvelle entreprise, veillez à accomplir toutes les étapes précédentes du processus de configuration initial. Consultez « Pour commencer avec Enterprise Managed Users ».

En outre :

  • Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.

Configuration de SCIM

Une fois que vous avez configuré vos paramètres SAML dans l’application Okta, vous pouvez continuer à configurer les paramètres d’approvisionnement. Si vous n’avez pas encore configuré les paramètres SAML, consultez Configuration de l’authentification unique SAML avec Okta pour Enterprise Managed Users.

Pour configurer l’approvisionnement, l’utilisateur de configuration avec le nom d’utilisateur @SHORT-CODE_admin doit fournir un personal access token (classic) avec l’étendue scim:enterprise. Consultez « Pour commencer avec Enterprise Managed Users ».

  1. Accédez à votre application GitHub Enterprise Managed User sur Okta.

  2. Cliquez sur l'onglet Configuration.

  3. Dans le menu de paramètres, cliquez sur Integration.

  4. Pour effectuer des modifications, cliquez sur Edit.

  5. Cliquez sur Configurer l’intégration d’API.

  6. Dans le champ Jeton d’API, saisissez le personal access token (classic) appartenant à l’utilisateur configuré.

    Remarque

    « Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.

    Important

    Pour une entreprise sur GitHub Enterprise Cloud avec résidence des données (GHE.com), veuillez saisir l'URL suivante dans le champ URL de base : https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain} (en veillant à remplacer {subdomain} par le sous-domaine de votre entreprise).

           **Par exemple,**: si le sous-domaine de votre entreprise est `acme`, l’URL de base est `https://api.acme.ghe.com/scim/v2/enterprises/acme`.

  7. Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.

  8. Pour enregistrer le jeton, cliquez sur Save.

  9. Dans le menu de paramètres, cliquez sur To App.

  10. À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.

  11. Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.

  12. Pour terminer la configuration du provisionnement, cliquez sur Save.

Comment attribuer des utilisateurs et des groupes ?

Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.

Remarque

Pour éviter de dépasser la limite de débit sur GitHub, n’attribuez pas plus de 1 000 utilisateurs par heure à l’intégration SCIM sur votre IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez Résolution des problèmes de gestion des identités et des accès pour votre entreprise.

Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise. Pour plus d’informations sur les rôles attribuables disponibles, consultez Compétences des rôles dans une entreprise.

Remarque

Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.

Comment déprovisionner des utilisateurs et des groupes ?

Pour supprimer un utilisateur ou un groupe de GitHub, supprimez l'utilisateur ou le groupe à la fois de l'onglet « Attributions » et de l'onglet « Groupes Push » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».