À propos du provisionnement avec Okta
Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un fournisseur d’identité partenaire. Vous pouvez donc simplifier votre configuration d’authentification et d’approvisionnement à l’aide de l’application Okta pour Enterprise Managed Users. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users »
Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».
Fonctionnalités prises en charge
Enterprise Managed Users prend en charge les fonctionnalités d’approvisionnement suivantes pour Okta.
Fonctionnalité | Description |
---|---|
Push New Users | Les utilisateurs attribués à l’application de GitHub Enterprise Managed User dans Okta sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud. |
Push Profile Update | Les mises à jour effectuées sur le profil de l’utilisateur dans Okta seront poussées sur GitHub Enterprise Cloud. |
Push Groups | Les groupes dans Okta qui sont attribués à l’application the GitHub Enterprise Managed User en tant que groupes Push sont automatiquement créés dans l’entreprise sur GitHub Enterprise Cloud. |
Push User Deactivation | La désattribution de l’utilisateur de |
l’application de GitHub Enterprise Managed User dans Okta désactivera l’utilisateur sur GitHub Enterprise Cloud. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées. | |
Reactivate Users | Les utilisateurs Okta dont les comptes Okta sont réactivés et qui sont réattribués à l’application de GitHub Enterprise Managed User sur Okta seront activés. |
Remarque : Enterprise Managed Users ne prend pas en charge la modification des noms d’utilisateur.
Prérequis
-
GitHub vous recommande d’authentifier uniquement les demandes avec l’application SCIM d’Okta à l’aide d’un personal access token (classic) associé à l’utilisateur de configuration de votre entreprise. Le jeton nécessite l’étendue scim:enterprise. Pour plus d’informations, consultez « Bien démarrer avec Enterprise Managed Users ».
-
Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.
-
Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.
1. Définir le nom de votre entreprise
Quand votre entreprise avec utilisateurs managés a été créée, vous pouvez commencer à configurer le provisionnement en définissant le nom de votre entreprise dans Okta.
- Accédez à votre application GitHub Enterprise Managed User sur Okta.
- Cliquez sur l’onglet Sign On.
- Pour effectuer des modifications, cliquez sur Edit.
- Sous « Advanced Sign-on Settings », dans la zone de texte « Enterprise Name », tapez le nom de votre entreprise. Par exemple, si vous accédez à votre entreprise à l’adresse
https://github.com/enterprises/octoinc
, le nom de votre entreprise est « octoinc ». - Pour enregistrer le nom de votre entreprise, cliquez sur Save.
2. Configurer SCIM
Après avoir défini le nom de votre entreprise et, vous pouvez procéder à la configuration des paramètres d’approvisionnement.
Pour configurer l’approvisionnement, l’utilisateur de configuration avec le nom d’utilisateur @SHORT-CODE_admin doit fournir un personal access token (classic) avec l’étendue scim:enterprise. Consultez « Bien démarrer avec Enterprise Managed Users ».
-
Accédez à votre application GitHub Enterprise Managed User sur Okta.
-
Cliquez sur l'onglet Configuration.
-
Dans le menu de paramètres, cliquez sur Integration.
-
Pour effectuer des modifications, cliquez sur Edit.
-
Cliquez sur Configurer l’intégration d’API.
-
Dans le champ « API Token », entrez le personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.
Note
« Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.
-
Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.
-
Pour enregistrer le jeton, cliquez sur Save.
-
Dans le menu de paramètres, cliquez sur To App.
-
À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.
-
Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.
-
Pour terminer la configuration du provisionnement, cliquez sur Save.
Une fois que vous avez terminé de configurer SCIM, vous pouvez désactiver certains paramètres SAML que vous avez activés pour le processus de configuration. Consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
Comment attribuer des utilisateurs et des groupes ?
Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application GitHub Enterprise Managed User.
Remarque : Pour éviter de dépasser la limitation de débit sur GitHub Enterprise Cloud, n’affectez pas plus de 1 000 utilisateurs par heure à l’intégration SCIM de votre IdP. Si vous utilisez des groupes pour affecter des utilisateurs à l’application IdP, n’ajoutez pas plus de 1 000 utilisateurs à chaque groupe par heure. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez « Résolution des problèmes de gestion des identités et des accès pour votre entreprise ».
Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».
Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Cloud. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».
Remarque : Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.
Comment déprovisionner des utilisateurs et des groupes ?
Pour supprimer un utilisateur ou un groupe de GitHub Enterprise Cloud, supprimez l’utilisateur ou le groupe de l’onglet « Assignments » et de l’onglet « Push groups » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».