Activation des collaborateurs invités

À propos des collaborateurs invités

Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires. Les collaborateurs invités :

• Sont provisionnés par votre IdP, comme tous les comptes d’utilisateur managés.
• Peuvent être ajoutés en tant que membres de l’organisation ou en tant que collaborateurs dans les référentiels.
• Ne peuvent pas accéder aux référentiels internes de l’entreprise, sauf dans les organisations où ils sont ajoutés en tant que membres.

Activation des collaborateurs invités dans votre IdP

Si vous utilisez Microsoft Entra ID (anciennement Azure AD) ou Okta pour l’authentification, vous devrez peut-être mettre à jour l’application Enterprise Managed Users dans votre IdP.

• « Activation des collaborateurs invités avec Entra ID »
• « Activation des collaborateurs invités avec Okta »

Activation des collaborateurs invités avec Entra ID

1. Connectez-vous au portail Microsoft Azure.

2. Cliquez sur Identité.

3. Cliquez sur Applications.

4. Cliquez sur Applications d’entreprise.

5. Cliquez sur Toutes les applications.

6. Afficher les détails de votre application Enterprise Managed Users

7. Dans la barre latérale de gauche, cliquez sur Utilisateurs et groupes.

8. Affichez l’inscription d’application.

   • Si l’inscription d’application affiche les rôles Utilisateur avec accès restreint ou Collaborateur invité, vous êtes prêt à inviter des collaborateurs invités dans votre entreprise.
   • Si l’inscription d’application n’affiche pas ces rôles, passez à l’étape suivante.

9. Dans le portail Azure, cliquez sur Inscriptions d’applications.

10. Cliquez sur Toutes les applications, puis utilisez la barre de recherche pour rechercher votre application pour Enterprise Managed Users.

11. Cliquez sur votre application SAML ou OIDC.

12. Dans la barre latérale de gauche, cliquez sur Manifeste.

13. Recherchez les éléments suivants id: 1ebc4a02-e56c-43a6-92a5-02ee09b90824 dans le fichier manifeste :

    • Si le id n’est pas présent, passez à l’étape suivante.
    • Si le id est présent, passez en revue les valeurs description et displayName. Si les valeurs ne sont pas définies sur Guest Collaborator, vous pouvez renommer les deux pour l’être et passer à l’étape 15.

14. Sous l’objet appRoles , ajoutez le bloc suivant :

    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Guest Collaborator",
      "displayName": "Guest Collaborator",
      "id": "1ebc4a02-e56c-43a6-92a5-02ee09b90824",
      "isEnabled": true,
      "lang": null,
      "origin": "Application",
      "value": null
    },
    

    Remarque : la valeur id est essentielle. Si une autre valeur id est présente, la mise à jour échoue.

15. Cliquez sur Enregistrer.

Activation des collaborateurs invités avec Okta

Pour ajouter le rôle de collaborateur invité à votre application Okta :

1. Accédez à votre application pour Enterprise Managed Users sur Okta.

2. Cliquez sur Approvisionnement.

3. Cliquez sur Accéder à l’éditeur de profils.

4. Recherchez Rôles en bas de l’éditeur de profils, puis cliquez sur l’icône de modification.

5. Ajoutez un nouveau rôle.

   • Pour Nom complet, saisissez Guest Collaborator.
   • Pour Valeur, saisissez guest_collaborator.

6. Cliquez sur Enregistrer.

Ajout de collaborateurs invités à votre entreprise

Lorsque les collaborateurs invités sont activés dans votre IdP, vous pouvez utiliser SCIM pour approvisionner les utilisateurs avec le rôle guest_collaborator.

• Si vous utilisez un IdP partenaire, utilisez l’attribut « Rôles » dans l’application Enterprise Managed Users.
• Si vous utilisez les points de terminaison SCIM de l’API REST de GitHub pour approvisionner les utilisateurs, utilisez l’attribut utilisateur roles.

Pour plus d’informations sur les IdP partenaires et d’autres systèmes de gestion des identités, consultez « À propos d’Enterprise Managed Users ».

Donner aux collaborateurs invités l’accès aux ressources

Lorsque vous avez ajouté un collaborateur invité à votre entreprise, vous pouvez ajouter l’utilisateur à des organisations ou référentiels spécifiques.

Ajouter l’utilisateur à une organisation

Pour permettre à l’utilisateur d’accéder aux référentiels d’une organisation, ajoutez l’utilisateur en tant que membre de l’organisation.

• Comme pour tous les membres, la stratégie d’autorisation de base pour l’organisation détermine si l’utilisateur a accès à des référentiels internes et privés par défaut. Consulter « Définition des autorisations de base pour une organisation ».
• Les collaborateurs invités peuvent être membres de groupes IdP connectés à des équipes GitHub et seront ajoutés à l’organisation via SCIM, tout comme d’autres membres de l’entreprise. Consulter « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Ajouter un utilisateur à un référentiel

Pour permettre à l’utilisateur d’accéder à des référentiels spécifiques, ajoutez l’utilisateur aux référentiels en tant que collaborateur de référentiel.

Cela permet à l’utilisateur d’accéder au référentiel sans lui donner accès à d’autres référentiels internes ou privés au sein de la même organisation. Pour plus d’informations, consultez « Rôles dans une organisation ».

Pour aller plus loin

• Tutoriel : Configurer GitHub Enterprise Managed User pour l’approvisionnement automatique d’utilisateurs dans la documentation Entra ID
• Configurer PingFederate pour l’approvisionnement et le SSO dans la documentation PingIdentity
• « Configurer l’approvisionnement SCIM avec Okta »
• « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST »