Configuration du provisionnement SCIM pour gérer les utilisateurs

Pour créer, gérer et désactiver des comptes d’utilisateurs pour les membres de votre entreprise sur GitHub, votre fournisseur d’identité peut implémenter SCIM pour la communication avec GitHub. SCIM est une spécification ouverte pour la gestion des identités utilisateur entre différents systèmes. Chaque IdP aura une expérience de configuration différente pour l’approvisionnement SCIM.

Si vous utilisez un IdP partenaire, vous pouvez simplifier la configuration du provisionnement SCIM en utilisant l’application de l’IdP partenaire. Si vous n’utilisez pas d’IdP partenaire pour le provisionnement, vous pouvez mettre en œuvre SCIM à l’aide d’appels vers l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez À propos de l’approvisionnement d’utilisateurs avec SCIM sur GitHub Enterprise Server.

Qui doit suivre ces instructions ?

Même si votre instance utilise déjà l’authentification SAML ou si vous étiez inscrit au SCIM bêta privée sur une version précédente GitHub Enterprise Server, vous devez vous assurer d’avoir suivi toutes les instructions de ce guide pour activer SCIM dans la version 3.14 et les versions ultérieures.

Ce guide s’applique dans toutes les situations suivantes.

• Vous configurez SAML et SCIM pour la première fois : suivez ces instructions pour commencer.
• Vous utilisez déjà l’authentification SAML : vous devrez activer SCIM sur votre instance, puis soit reconfigurer SAML avec une application IdP prenant en charge le provisionnement automatisé, soit configurer une intégration SCIM avec l’API REST.
• Vous étiez inscrit au SCIM bêta privée  : il vous sera nécessaire de réactiver SCIM sur votre instance et, si vous utilisez un IdP partenaire, de reconfigurer vos paramètres sur une application IdP mise à jour.

Prérequis

• SCIM est un protocole serveur à serveur. Les points de terminaison de l’API REST de votre instance doivent être accessibles à votre fournisseur SCIM.

Ce tableau présente les exigences réseau pour configurer GHES SCIM avec un IdP :

Système	Direction	Objectif	Protocole / port	Remarques
GitHub Enterprise Server	Trafic entrant	Reçoit les requêtes API SCIM de l’IdP pour les utilisateurs et les groupes	TCP 443 (HTTPS)

          [AUTOTITLE](/rest/enterprise-admin/scim) doit être accessible à partir de l'IdP |

| Fournisseur d’identité (IdP) | Sortant | Envoie des demandes d’approvisionnement SCIM à GitHub pour les utilisateurs et les groupes | TCP 443 (HTTPS) | IdP agit en tant que client SCIM, en initiant des connexions HTTPS sortantes vers les points de terminaison d’API SCIM de GitHub. |

• Pour l’authentification, votre instance doit utiliser SAML SSO ou une combinaison de SAML et d’authentification intégrée.
  • Il n’est pas possible de combiner SCIM avec d’autres méthodes d’authentification externes. Si vous utilisez CAS ou LDAP, il sera nécessaire de migrer vers SAML avant d’utiliser SCIM.
  • Une fois SCIM configuré, il est nécessaire de maintenir l’authentification SAML activée pour continuer à utiliser SCIM.
• Il est nécessaire que vous disposiez d’un accès administratif sur votre IdP.
• Il est nécessaire d’avoir accès à la console de gestion sur GitHub Enterprise Server.
• Si vous configurez SCIM sur une instance avec des utilisateurs existants, assurez-vous de bien comprendre comment SCIM identifiera et mettra à jour ces utilisateurs. Consultez « À propos de l’approvisionnement d’utilisateurs avec SCIM sur GitHub Enterprise Server ».

1. Créer un utilisateur de configuration intégré

Afin de garantir que vous puissiez continuer à vous connecter et à configurer les paramètres lorsque SCIM est activé, il est nécessaire de créer un propriétaire d’entreprise à l’aide de l’authentification intégrée.

1. Connectez-vous à GitHub Enterprise Server en tant qu’utilisateur ayant accès à la console de gestion.

2. Si vous avez déjà activé l’authentification SAML, assurez-vous que vos paramètres vous permettent de créer et de promouvoir un utilisateur d’authentification intégré. Accédez à la section « Authentification » de la console de gestion et activer les paramètres suivants :

   • Sélectionnez Autoriser la création de comptes avec l’authentification intégrée, de sorte que vous pouvez créer l’utilisateur.
   • Sélectionnez Désactiver la rétrogradation/promotion de l’administrateur, afin que les autorisations d’administrateur puissent être accordées en dehors de votre fournisseur SAML.

   Pour obtenir de l’aide sur la recherche de ces paramètres, consultez Configuration d'une authentification unique (SSO) SAML pour votre entreprise.

3. Créez un compte utilisateur intégré pour effectuer des actions de provisionnement sur votre instance. Consultez « Autorisation d’authentification intégrée pour les utilisateurs extérieurs à votre fournisseur ».

   Assurez-vous que l’adresse e-mail et le nom d’utilisateur de l’utilisateur sont différents de ceux de tout autre utilisateur que vous prévoyez de provisionner via SCIM. Si votre fournisseur de messagerie le permet, vous pouvez modifier une adresse e-mail en ajoutant +admin, par exemple johndoe+admin@example.com.

4. Copiez le lien de réinitialisation du mot de passe après avoir créé l’utilisateur, puis ouvrez-le dans une fenêtre de navigateur privée. Définissez un mot de passe pour cet utilisateur.

   Important

   Étant donné que cet utilisateur agira en tant que compte de secours, veillez à stocker le mot de passe en toute sécurité dans un gestionnaire de mots de passe. Dans le cas contraire, vous risquez de perdre l’accès à ce compte.

5. Promouvez l’utilisateur au rang de propriétaire d’entreprise. Consultez « Promotion ou rétrogradation d’un administrateur de site ».

2. Créer un personal access token

1. Connectez-vous à votre instance en tant qu’utilisateur de configuration intégré que vous avez créé dans la section précédente.

2. Créer une personal access token (classic). Pour les instructions, consultez Gestion de vos jetons d’accès personnels.

   • Le jeton doit avoir l’étendue admin:enterprise.
   • Le jeton ne doit pas avoir d’expiration. Si vous spécifiez une date d’expiration, SCIM ne fonctionnera plus après la date d’expiration.

3. Conservez le jeton en lieu sûr dans un gestionnaire de mots de passe jusqu’à ce que vous en ayez à nouveau besoin plus tard dans le processus de configuration. Vous aurez besoin du jeton pour configurer SCIM sur votre IdP.

3. Activer SAML sur votre instance

1. Connectez-vous à votre instance en tant qu’utilisateur disposant d’un accès à la console de gestion.

2. Accédez à la section « Authentification » de la console de gestion. Pour les instructions, consultez Configuration d'une authentification unique (SSO) SAML pour votre entreprise.

3. Sélectionnez SAML.

4. Configurez les paramètres SAML en fonction de vos besoins et de l’IdP que vous utilisez.

   • Afin que l’utilisateur intégré puisse continuer à s’authentifier, veillez à sélectionner les paramètres suivants :
     • Autoriser la création de comptes avec authentification intégrée
     • Désactiver la rétrogradation/promotion de l’administrateur
   • Si vous utilisez un IdP partenaire, suivez les instructions de la section « Configurer SAML » du guide correspondant pour trouver les informations nécessaires à la configuration des paramètres.
     • Configuration de l’authentification et du provisionnement avec Entra ID
     • Configuration de l’authentification et de l’approvisionnement avec PingFederate
     • Configuration de l’authentification et du provisionnement avec Okta

5. Si nécessaire, terminez la configuration des paramètres SAML dans l’application de votre IdP. Vous pouvez également reporter cette étape à plus tard.

4. Activer SCIM sur votre instance

1. Connectez-vous à votre instance en tant qu’utilisateur de configuration intégré que vous avez créé précédemment.

2. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

3. Sur le côté gauche de la page, dans la barre latérale du compte d'entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l'authentification.

5. Dans « Configuration SCIM », sélectionnez Activer la configuration SCIM.

Vous pouvez vérifier que SCIM est désormais activé en consultant les journaux d’audit de votre instance. Vous devez vous attendre à voir un événement « business.enable_open_scim », indiquant que l'API REST SCIM de GitHub a été activée sur votre instance.

5. Configurer votre fournisseur d’identité

Une fois la configuration terminée sur GitHub, vous pouvez configurer le provisionnement sur votre IdP. Les instructions à suivre varient selon que vous utilisez l’application d’un IdP partenaire à la fois pour l’authentification et le provisionnement.

• Configuration du provisionnement si vous utilisez l’application d’un IdP partenaire
• Configuration du provisionnement pour d’autres systèmes de gestion des identités

Configuration du provisionnement si vous utilisez l’application d’un IdP partenaire

Pour utiliser l’application d’un IdP partenaire à la fois pour l’authentification et le provisionnement, consultez les instructions disponibles via le lien ci-dessous. Suivez les étapes pour activer SCIM, ainsi que toute configuration SAML que vous n’avez pas encore effectuée.

• Configuration de l’authentification et du provisionnement avec Entra ID
• Configuration de l’authentification et de l’approvisionnement avec PingFederate
• Configuration de l’authentification et du provisionnement avec Okta

Configuration du provisionnement pour d’autres systèmes de gestion des identités

Si vous n’utilisez pas de fournisseur d'identité partenaire, ou si vous utilisez uniquement un fournisseur d'identité partenaire pour l’authentification SAML, vous pouvez gérer le cycle de vie des comptes d’utilisateur à l’aide des points de terminaison de l’API REST de GitHub pour le provisionnement SCIM. Consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

GitHub ne prend pas expressément en charge le mélange de fournisseurs d’identité partenaires pour l’authentification et l’approvisionnement et ne teste pas tous les systèmes de gestion des identités. L’équipe de support technique de GitHub pourrait ne pas être en mesure de vous aider à résoudre les problèmes liés aux systèmes mixtes ou non testés. Si vous avez besoin d’aide, vous devez vérifier la documentation du système, contacter l’équipe de support technique ou consulter d’autres ressources.

6. Mettre à jour les paramètres

Une fois le processus de configuration terminé, désactivez le paramètre suivant dans la console de gestion :

• Désactiver la rétrogradation/promotion des administrateurs : désactivez ce paramètre pour permettre l’attribution du rôle de propriétaire de l’entreprise via SCIM. Si ce paramètre reste activé, il ne sera pas possible de provisionner les propriétaires d’entreprise via SCIM.

Vous pouvez également désactiver le paramètre suivant dans la console de gestion :

• Autoriser la création de comptes avec authentification intégrée : désactivez ce paramètre si vous souhaitez que tous les utilisateurs soient provisionnés à partir de votre IdP.

7. Affecter des utilisateurs et des groupes

Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application pertinente dans votre fournisseur d’identité.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise. Pour plus d’informations sur les rôles attribuables disponibles, consultez Compétences des rôles dans une entreprise.

Entra ID ne prend pas en charge le provisionnement des groupes imbriqués. Pour plus d’informations, consultez Comment fonctionne le provisionnement d'applications dans Microsoft Entra ID sur Microsoft Learn.