Pour que vos développeurs puissent utiliser GitHub Enterprise Cloud avec Enterprise Managed Users, vous devez suivre une série d’étapes de configuration.
Créer un nouveau compte d’entreprise
Pour utiliser Enterprise Managed Users, vous avez besoin d’un type distinct de compte d’entreprise avec Enterprise Managed Users activé.
Vous pouvez créer un compte d’entreprise en vous inscrivant à un essai de GitHub Enterprise Cloud. Consultez « Configuration d’une version d’évaluation de GitHub Enterprise Cloud ».
Comprendre où votre entreprise est hébergée
Enterprise Managed Users sont disponibles sur GitHub.com ou, si vous utilisez différente, sur votre propre sous-domaine de GHE.com.
Le processus d’installation des environnements est similaire. Toutefois, vous devrez prêter attention à l’emplacement où votre entreprise est hébergée lorsque vous suivez le processus. Par exemple, il peut y avoir des différences dans l’application que vous devez utiliser dans votre fournisseur d’identité, ou les valeurs de configuration que vous devez fournir.
Créer l’utilisateur de configuration
Après avoir créé votre entreprise, vous recevrez un e-mail vous invitant à choisir un mot de passe pour l’utilisateur de configuration, qui est utilisé pour configurer l’authentification et l’approvisionnement. Il s’agit du premier compte propriétaire d’entreprise et du seul compte d’utilisateur de l’entreprise qui n’est pas approvisionné par SCIM. Le nom d’utilisateur est le shortcode de votre entreprise (choisi par vous ou généré de manière aléatoire), suivi de _admin. Par exemple : fabrikam_admin.
À l'aide d'une fenêtre de navigation privée ou en mode incognito :
-
Définissez le mot de passe de l’utilisateur.
-
Activez l’authentification à deux facteurs (2FA) pour le compte d’utilisateur d’installation et enregistrez les codes de récupération. Consultez « Configuration de l’authentification à 2 facteurs ».
Avertissement
Toutes les tentatives de connexion ultérieures au compte d’utilisateur d’installation nécessitent une réponse réussie au défi 2FA.
-
Téléchargez les codes de récupération d’entreprise. Consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».
-
Nous vous recommandons vivement de ** stocker les informations d’identification de l’utilisateur de configuration** dans l’outil de gestion des mots de passe de votre entreprise. Une personne devra se connecter en tant qu’utilisateur pour mettre à jour les paramètres d’authentification, migrer vers un autre fournisseur d’identité ou une autre méthode d’authentification, ou utiliser les codes de récupération de votre entreprise.
Pour plus d’informations sur l’utilisateur d’installation, consultez Configurer l’utilisateur.
Créer un personal access token
Ensuite, créez un personal access token que vous pouvez utiliser pour configurer l’approvisionnement.
- Vous devez être connecté en tant qu’utilisateur d’installation lorsque vous créez le jeton.
- Le jeton doit avoir au moins l’étendue scim:enterprise.
- Le jeton ne doit pas avoir d’expiration.
Pour apprendre à créer un personal access token (classic), consultez Gestion de vos jetons d’accès personnels.
Configurer l’authentification
Ensuite, configurez la façon dont vos membres doivent s’authentifier.
Si vous utilisez Entra ID comme IdP, vous pouvez choisir entre OpenID Connect (OIDC) et Security Assertion Markup Language (SAML).
- Nous recommandons OIDC, qui inclut la prise en charge des stratégies d’accès conditionnel (CAP).
- Si vous avez besoin de plusieurs entreprises provisionnées à partir d'un seul locataire, vous pouvez utiliser SAML ou OIDC pour la première entreprise, mais vous devez utiliser SAML pour chaque entreprise supplémentaire.
Si vous utilisez un autre fournisseur d’identité, comme Okta ou PingFederate, vous devez utiliser SAML pour authentifier vos membres.
Pour démarrer, lisez le guide relatif à la méthode d’authentification choisie.
- Configuration d’OIDC pour les utilisateurs managés par l’entreprise
- Configuration de l’authentification unique SAML pour Enterprise Managed Users
GitHub offre une intégration « prête à l’emploi » et une prise en charge complète si vous utilisez un fournisseur d’identité partenaire pour l’authentification et le provisionnement. Vous pouvez également utiliser n’importe quel système ou toute combinaison de systèmes conformes à SAML 2.0 et SCIM 2.0. Toutefois, la prise en charge de la résolution des problèmes pour ces systèmes peut être limitée. Pour plus d’informations, consultez À propos d’Enterprise Managed Users.
Configurer l’approvisionnement
Après avoir configuré l'authentification, vous pouvez configurer le provisionnement SCIM, qui est la façon dont votre IdP créera comptes d’utilisateur managés sur GitHub. Consultez Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise.
Synchroniser des équipes avec des groupes IdP
Soutenir les développeurs avec plusieurs comptes d’utilisateur
Les développeurs peuvent avoir besoin de conserver des comptes personnels distincts pour leur travail en dehors de votre entreprise avec utilisateurs managés. Vous pouvez les aider à gérer plusieurs comptes à la fois en fournissant les ressources suivantes :
-
**Sur la ligne de commande**, les développeurs peuvent configurer Git pour simplifier le processus d’utilisation de plusieurs comptes. Consultez « [AUTOTITLE](/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-your-personal-account/managing-multiple-accounts) ». -
**Dans Git Credential Manager (GCM)** : désactivez le filtrage des comptes pour éviter plusieurs prompts de connexion si le [paramètre de redirection SSO](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-security-settings-in-your-enterprise#managing-sso-for-unauthenticated-users) n’est pas activé pour votre entreprise. Consultez « [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-security-settings-in-your-enterprise#managing-sso-for-unauthenticated-users) ». -
**Dans l’interface web**, les développeurs peuvent basculer d’un compte à l’autre sans avoir toujours besoin de s’authentifier à nouveau. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/switching-between-accounts) ».