Tutoriel : Configurer GitHub pour l’approvisionnement automatique d’utilisateurs

L’objectif de ce tutoriel est de vous montrer les étapes à effectuer dans GitHub et Microsoft Entra ID pour automatiser l’approvisionnement de l’appartenance de l’organisation cloud GitHub Enterprise.

Remarque

L’intégration de l’approvisionnement Microsoft Entra s’appuie sur l’API GitHub SCIM disponible pour les clients GitHub Enterprise Cloud dans le plan de facturation GitHub Enterprise.

Prérequis

Le scénario décrit dans ce didacticiel part du principe que vous disposez des éléments suivants :

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Attribution d’utilisateurs à GitHub

Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre du provisionnement automatique de comptes d’utilisateur, seuls les utilisateurs et groupes qui ont été « attribués » à une application dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d'activer le service de provisionnement, vous devez décider quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d'accéder à votre organisation GitHub. Une fois que vous avez choisi, vous pouvez attribuer ces utilisateurs en suivant les instructions fournies ici :

Pour plus d’informations, voir Affecter un utilisateur ou un groupe à une application d’entreprise.

Conseils importants pour l’attribution d’utilisateurs à GitHub

  • Nous vous recommandons d'attribuer un seul utilisateur Microsoft Entra à GitHub pour tester la configuration de provisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.

  • Quand vous attribuez un utilisateur à GitHub, vous devez sélectionner le rôle Utilisateur ou un autre rôle valide propre à l’application (si disponible) dans la boîte de dialogue d’attribution. Le rôle Accès par défaut ne fonctionne pas pour l’approvisionnement et ces utilisateurs sont ignorés.

Configuration de l'approvisionnement des utilisateurs sur GitHub

Cette section vous guide tout au long de la connexion de votre Microsoft Entra ID à l’API d’approvisionnement SCIM GitHub pour automatiser la configuration de l’appartenance à l’organisation GitHub. Cette intégration, qui tire parti d’une application OAuth, ajoute, gère et supprime automatiquement l’accès des membres à une organisation cloud GitHub Enterprise en fonction de l’affectation d’utilisateurs et de groupes dans Microsoft Entra ID. Lorsque des utilisateurs sont configurés pour une organisation GitHub via SCIM, une invitation par e-mail est envoyée à l’adresse e-mail de l’utilisateur.

Configurer l’approvisionnement automatique des comptes d’utilisateur sur GitHub dans Microsoft Entra ID

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Si vous avez déjà configuré GitHub pour l’authentification unique, recherchez votre instance de GitHub à l’aide du champ de recherche.

  4. Sélectionnez votre instance de GitHub, puis sélectionnez l’onglet Approvisionnement.

  5. Définissez le Mode d’approvisionnement sur Automatique.

  6. Dans le portail Azure, entrez URL de locataire et cliquez sur Connexion test pour vous assurer que Microsoft Entra ID peut se connecter à votre organisation GitHub. Si la connexion échoue, vérifiez que votre compte GitHub dispose des autorisations administratives et que l’URL de locataire est correctement entrée. Ensuite, recommencez l’étape « Autoriser » (vous pouvez constituer l’URL de locataire par règle : https://api.github.com/scim/v2/organizations/<Organization_name>, et rechercher votre organisation sous votre compte GitHub : Paramètres>Organisations).

    Screenshot shows Organizations page in GitHub.

  7. Sous la section informations d’identification de l’administrateur, cliquez sur Autoriser. Cette opération ouvre une boîte de dialogue d’autorisation GitHub dans une nouvelle fenêtre du navigateur. Notez que vous devez vous assurer d’être approuvé pour autoriser l’accès. Suivez les instructions décrites ici.

    Screenshot shows the GitHub Provisioning.

  8. Dans la nouvelle fenêtre, connectez-vous à GitHub à l’aide de votre compte d’administrateur. Dans la boîte de dialogue d’autorisation qui s’affiche, sélectionnez l’organisation GitHub pour laquelle vous souhaitez activer l’approvisionnement, puis sélectionnez Autoriser. Une fois cela terminé, revenez au portail Azure pour terminer la configuration de l’approvisionnement.

    Screenshot shows the sign-in page for GitHub.

  9. Entrez l’adresse de courrier d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement dans le champ E-mail de notification, puis cochez la case « Envoyer une notification par e-mail en cas de défaillance ».

  10. Cliquez sur Enregistrer.

  11. Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec GitHub.

  12. Dans la section Mappages d’attributs, examinez les attributs utilisateur synchronisés de Microsoft Entra ID avec GitHub. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur dans GitHub pour les opérations de mise à jour. N’activez pas le paramètre Priorité de la correspondance pour les autres attributs par défaut dans la section Approvisionnement, car des erreurs peuvent survenir. Sélectionnez Enregistrer pour valider les modifications.

  13. Pour activer le service de provisionnement Microsoft Entra pour GitHub, modifiez l'état de provisionnement sur Activé dans la section Paramètres.

  14. Cliquez sur Enregistrer.

Cette opération démarre la synchronisation initiale des utilisateurs et/ou des groupes attribués à GitHub dans la section Utilisateurs et Groupes. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent toutes les 40 minutes environ tant que le service est en cours d’exécution. Vous pouvez utiliser la section Détails de la synchronisation pour surveiller la progression et suivre les liens vers les journaux d’activité de provisionnement, qui décrivent toutes les actions effectuées par le service de provisionnement.

Pour plus d’informations sur la façon de lire les journaux d’approvisionnement Microsoft Entra, voir Rapports sur le provisionnement automatique des comptes d’utilisateur.

Ressources supplémentaires

Étapes suivantes