Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité

Associez les groupes IdP aux équipes sur GitHub afin de gérer les membres des équipes et de l’organisation via votre fournisseur d’identité.

Dans cet article

À propos de la gestion d’équipe avec SCIM

Si vous avez configuré le provisionnement SCIM, vous pouvez gérer l'appartenance des équipes et des organisations au sein de votre entreprise par le biais de votre IdP en connectant les équipes sur GitHub avec les groupes sur votre IdP.

Les sections suivantes expliquent comment GitHub utilise le provisionnement SCIM et les travaux de réconciliation pour maintenir la synchronisation des membres des équipes et de l’organisation avec votre IdP.

Lorsque GitHub reçoit un appel de l’API SCIM Group de votre IdP, il génère un événement external_group.scim_api_success ou external_group.scim_api_failure dans le journal d’audit de l’entreprise. Ces événements capturent des informations détaillées sur l’appel, y compris la charge utile et l’opération effectuée, et sont enregistrés dans le journal d’audit avec le champ actor défini sur l’utilisateur intégré/local, le compte utilisé pour configurer le provisionnement SCIM.

Une fois que GitHub a stocké les données de groupe à l’échelle de l’entreprise, il exécute une tâche quotidienne de rapprochement pour synchroniser l’appartenance aux équipes avec les données des groupes IdP enregistrées. Ce rapprochement s’exécute également chaque fois qu’un appel d’API SCIM de groupe met à jour l’appartenance au groupe, et si un administrateur lie ou dissocie une équipe à un groupe stocké.

Lorsqu’une modification d’un groupe IdP ou d’une nouvelle connexion d’équipe entraîne la jonction d’un utilisateur à une équipe dans une organisation dont elle n’était pas déjà membre, GitHub ajoute automatiquement l’utilisateur à l’organisation. Lorsque vous déconnectez un groupe d’une équipe, GitHub supprime les utilisateurs qui sont devenus membres de l’organisation par le biais de l’appartenance à l’équipe s’ils n’ont pas d’appartenance à l’organisation par d’autres moyens.

Les équipes connectées à des groupes d’idP ne peuvent pas être parentes d’autres équipes ni enfants d’une autre équipe. Si l’équipe que vous souhaitez connecter à un groupe d’IdP est une équipe parente ou enfant, nous vous recommandons de créer une équipe ou de supprimer les relations imbriquées qui font de votre équipe une équipe parente.

Pour gérer l’accès au référentiel pour n’importe quelle équipe de votre entreprise, y compris les équipes connectées à un groupe IdP, vous devez apporter des modifications GitHub. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».

Conditions requises pour connecter des groupes d’IdP à des équipes

Avant de pouvoir associer un groupe IdP à une équipe sur GitHub, vous devez affecter le groupe à l’application pertinente dans votre IdP. Pour plus d’informations, consultez « Configuration du provisionnement gérés par l’entreprise afin de gérer les utilisateurs ».

Vous pouvez connecter une équipe de votre entreprise à un groupe d’IdP. Vous pouvez affecter le même groupe d’IdP à plusieurs équipes de votre entreprise.

Si vous connectez une équipe existante à un groupe d’IdP, vous devez d’abord supprimer les membres qui ont été ajoutés manuellement. Après la connexion d’une équipe de votre entreprise à un groupe d’IdP, l’administrateur de votre idP doit modifier l’appartenance à l’équipe par le biais du fournisseur d’identité. Vous ne pouvez pas gérer l’appartenance à l’équipe directement sur GitHub.

Si vous utilisez Microsoft Entra ID (anciennement Azure AD) comme fournisseur d’identité, vous ne pouvez connecter qu’une équipe à un groupe de sécurité. Les appartenances aux groupes imbriqués et les groupes Microsoft 365 ne sont pas prises en charge.

Synchroniser une équipe d’entreprise

Les propriétaires d’entreprise peuvent créer des équipes au niveau de l’entreprise.

La plupart des instructions contenues dans cet article s’appliquent aux équipes au niveau de l’organisation. Pour obtenir des instructions sur la création d’une équipe d'entreprise et sa synchronisation avec un groupe d'IdP, consultez Création d’équipes d’entreprise.

Création d’une nouvelle équipe d’organisation reliée à un groupe IdP

Tout membre d’une organisation peut créer une équipe et la connecter à un groupe d’IdP.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Cliquez sur le nom de votre organisation.

  3. Sous le nom de votre organisation, cliquez sur Teams.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. En haut de la page, cliquez sur Nouvelle équipe.

  5. Sous « Créer une équipe », tapez le nom de votre nouvelle équipe.

  6. Dans le champ « Description », vous pouvez taper la description de l’équipe.

  7. Pour connecter une équipe, sous « Groupes de fournisseurs d’identité », sélectionnez le menu déroulant Sélectionner les groupes et cliquez sur l’équipe que vous souhaitez connecter.

  8. Sous « Visibilité de l’équipe », sélectionnez une visibilité pour l’équipe.

  9. Cliquez sur Créer une équipe.

Gestion de l’association entre une équipe d’organisation existante et un groupe IdP

Les propriétaires d’organisation et les responsables d’équipe peuvent gérer la connexion existante entre un groupe IdP et une équipe.

Remarque

Avant de connecter pour la première fois une équipe existante sur GitHub à un groupe IdP, tous les membres de l’équipe sur GitHub doivent d’abord être supprimés. Pour plus d’informations, consultez « Suppression de membres d’organisation d’une équipe ».

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Votre profil.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Votre profil » est délimité en orange foncé.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  3. Sous le nom de votre organisation, cliquez sur Teams.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. Cliquez sur le nom de l’équipe.

  5. En haut de la page de l'équipe, cliquez sur Paramètres.

    Capture d’écran de l’en-tête de la page d’une équipe. Un onglet, avec une icône d’engrenage et le texte « Paramètres », est entouré d’un encadré orange foncé.

  6. Si vous le souhaitez, sous « Groupe de fournisseurs d’identité », à droite du groupe IdP que vous souhaitez déconnecter, cliquez sur .

Désélectionnez un groupe IdP associé depuis l’équipe GitHub.

  1. Pour connecter un groupe d’IdP, sous « Groupe de fournisseur d’identité », sélectionnez le menu déroulant, puis cliquez sur un groupe de fournisseur d’identité dans la liste.

Menu déroulant pour choisir un groupe de fournisseurs d’identité.

  1. Cliquez sur Save changes.

Voir les groupes d’IdP, l’appartenance aux groupes et les équipes connectées

Les propriétaires d’entreprise peuvent passer en revue une liste des groupes IdP, les appartenances de chaque groupe et toutes les équipes connectées à chaque groupe. Les groupes et adhésions IdP répertoriés dans cette vue reposent sur les informations envoyées par l’IdP à GitHub via SCIM. Vous devez modifier l’appartenance à un groupe sur votre fournisseur d’identité.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. Pour consulter la liste des groupes IdP, dans la barre latérale gauche, cliquez sur Fournisseur d'identité.
  3. Pour voir les membres et les équipes connectés à un groupe d’IdP, cliquez sur le nom du groupe.
    1. Sous fournisseur d’identité, cliquez sur Groupes.
  5. Pour voir les équipes connectées au groupe d’IdP, cliquez sur Équipes.

Si une équipe ne peut pas synchroniser avec le groupe sur votre IdP, l’équipe affichera une erreur. Pour plus d’informations, consultez « Dépannage de l’appartenance à une équipe liée à des groupes de fournisseurs d’identité ».

Supprimer des membres d’organisations

La façon dont un membre est ajouté à une organisation appartenant à votre entreprise détermine comment il doit être supprimé d’une organisation.

  • Si un membre a été ajouté à une organisation manuellement, vous devez le supprimer manuellement. Désattribuer ces utilisateurs de l’application concernée dans votre IdP suspend l’utilisateur mais ne le supprime pas de l’organisation.
  • Si un utilisateur est devenu membre d’une organisation parce qu’il a été ajouté à des groupes d’IdP mappés, supprimez-le de tous les groupes d’IdP mappés associés à l’organisation.

Pour découvrir comment un membre a été ajouté à une organisation, vous pouvez filtrer sur la liste des membres par type. Voir Affichage des personnes dans votre entreprise.