Configurer et l’authentification SCIM avec Okta

Découvrez comment configurer Okta pour communiquer avec votre entreprise à l’aide de System for Cross-domain Identity Management (SCIM).

Qui peut utiliser cette fonctionnalité ?

Site administrators with admin access to the IdP

Dans cet article

Note

SCIM pour GitHub Enterprise Server est en version bêta publique et est susceptible de changer. GitHub recommande d’effectuer les tests avec une instance de préproduction d’abord. Consulter « Configuration d’une instance de préproduction ».

À propos du provisionnement avec Okta

Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un fournisseur d’identité partenaire. Vous pouvez donc simplifier votre configuration d’authentification et d’approvisionnement à l’aide de l’application Okta pour gérer à la fois l’authentification unique SAML et l’approvisionnement SCIM sur GitHub Enterprise Server.

Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Fonctionnalités prises en charge

GitHub Enterprise Server prend en charge les fonctionnalités d’approvisionnement suivantes pour Okta.

FonctionnalitéDescription
Push New UsersLes utilisateurs attribués à GitHub dans Okta sont automatiquement créés dans l’entreprise sur GitHub Enterprise Server.
Push Profile UpdateLes mises à jour effectuées sur le profil de l’utilisateur dans Okta seront poussées sur GitHub Enterprise Server.
Push GroupsLes groupes dans Okta qui sont attribués à l’application GitHub en tant que groupes Push sont automatiquement créés dans l’entreprise sur GitHub Enterprise Server.
Push User DeactivationLa désattribution de l’utilisateur de GitHub dans Okta désactivera l’utilisateur sur GitHub Enterprise Server. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées.
Reactivate UsersLes utilisateurs Okta dont les comptes Okta sont réactivés et qui sont réattribués à GitHub sur Okta seront activés.

Prérequis

Les conditions préalables générales pour l’utilisation de SCIM sur GitHub Enterprise Server s’appliquent. Consultez la section « Conditions préalables » dans « Configurer l’approvisionnement SCIM pour gérer les utilisateurs ».

De plus :

  • Pour configurer SCIM, vous devez avoir effectué les étapes 1 à 4 dans « Configurer l’approvisionnement SCIM pour gérer les utilisateurs ».

    • Vous aurez besoin des données personal access token (classic) créées pour que l’utilisateur d’installation authentifie les demandes d’Okta.

  • Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.

  • Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.

1. Configurer SAML

Pendant la version bêta publique de SCIM sur GitHub Enterprise Server, vous utiliserez l’application GitHub AE dans Okta pour configurer l’authentification SAML et l’approvisionnement SCIM. N’utilisez pas l’application « GitHub Enterprise Server », qui n’est pas compatible avec les derniers points de terminaison de l’API SCIM de GitHub.

Avant de commencer cette section, vérifiez que vous avez suivi les étapes 1 et 2 dans « Configurer l’approvisionnement SCIM pour gérer les utilisateurs ».

Dans Okta

  1. Accédez à l’application GitHub AE dans Okta.

  2. Cliquez sur Ajouter une intégration.

  3. Dans les paramètres généraux, pour l’URL de base, saisissez votre URL de l’hôte GitHub Enterprise Server (https://HOSTNAME.com).

  4. Cliquez sur l’onglet Sign On.

  5. Vérifiez que les « détails des informations d’identification » correspondent à ce qui suit.

    • « Format du nom d’utilisateur de l’application » : nom d’utilisateur Okta
    • « Mettre à jour le nom d’utilisateur de l’application sur » : créer et mettre à jour
    • « Révéler le mot de passe » : désélectionné

  6. Dans la section « Certificats de signature SAML », téléchargez votre certificat en sélectionnant Actions, puis en cliquant sur Télécharger le certificat.

  7. Sur le côté droit de la page, cliquez sur Afficher les instructions de configuration SAML.

  8. Notez l’« URL de connexion » et l’URL de l’« Emetteur ».

Dans GitHub Enterprise Server

  1. Connectez-vous à votre instance GitHub Enterprise Server en tant qu’utilisateur ayant accès à la console de gestion.
  2. Configurez SAML à l’aide des informations que vous avez collectées. Consulter « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».

2. Configurer SCIM

Après avoir configuré vos paramètres SAML, vous pouvez procéder à la configuration des paramètres d’approvisionnement.

Avant de commencer cette section, vérifiez que vous avez suivi les étapes 1 à 4 dans « Configurer l’approvisionnement SCIM pour gérer les utilisateurs ».

  1. Accédez à votre application GitHub Enterprise Managed User sur Okta.

  2. Cliquez sur l'onglet Configuration.

  3. Dans le menu de paramètres, cliquez sur Integration.

  4. Pour effectuer des modifications, cliquez sur Edit.

  5. Cliquez sur Configurer l’intégration d’API.

  6. Dans le champ « API Token », entrez le personal access token (classic) avec l’étendue admin:enterprise appartenant à l’utilisateur de configuration.

    Note

    « Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.

  7. Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.

  8. Pour enregistrer le jeton, cliquez sur Save.

  9. Dans le menu de paramètres, cliquez sur To App.

  10. À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.

  11. Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.

  12. Pour terminer la configuration du provisionnement, cliquez sur Save.

Une fois que vous avez terminé de configurer SCIM, vous pouvez désactiver certains paramètres SAML que vous avez activés pour le processus de configuration. Consulter « Configurer l’approvisionnement SCIM pour gérer les utilisateurs ».

Comment attribuer des utilisateurs et des groupes ?

Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application pertinente dans votre fournisseur d’identité.

Remarque : Un administrateur de site pourrait avoir activé des limites de débit d’API sur votre instance. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez « Résolution des problèmes de gestion des identités et des accès pour votre entreprise ».

Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise sur GitHub Enterprise Server. Pour plus d’informations sur les rôles attribuables disponibles, consultez « Rôles dans une entreprise ».

Remarque : Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.

Comment déprovisionner des utilisateurs et des groupes ?

Pour supprimer un utilisateur ou un groupe de GitHub Enterprise Server, supprimez l’utilisateur ou le groupe de l’onglet « Assignments » et de l’onglet « Push groups » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».