Esercitazione: Configurare GitHub per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire in GitHub e Microsoft Entra ID per automatizzare il provisioning dell'appartenenza all'organizzazione GitHub Enterprise Cloud.
Nota
L'integrazione del provisioning di Microsoft Entra si basa sull'API SCIM di GitHub, disponibile per i clienti di GitHub Enterprise Cloud nel piano di fatturazione gitHub Enterprise.
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:
- Un tenant di Microsoft Entra
- Un'organizzazione GitHub creata in GitHub Enterprise Cloud, che richiede il piano di fatturazione GitHub Enterprise
- Account utente in GitHub con autorizzazioni di amministratore dell'organizzazione
- SAML configurato per l'organizzazione GitHub Enterprise Cloud
- Assicurarsi che sia stato fornito l'accesso OAuth per l'organizzazione, come descritto qui
- Il provisioning di SCIM in una singola organizzazione è supportato solo quando l'accesso SSO è abilitato a livello di organizzazione
Nota
Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.
Assegnazione di utenti a GitHub
Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.
Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere a GitHub Organzation. Dopo aver deciso, è possibile assegnare questi utenti seguendo le istruzioni riportate di seguito:
Per altre informazioni, vedere Assegnare un utente o un gruppo a un'app aziendale.
Suggerimenti importanti per l'assegnazione di utenti a GitHub
È consigliabile assegnare un singolo utente di Microsoft Entra a GitHub per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.
Quando si assegna un utente a GitHub, è necessario selezionare il ruolo Utente o un altro ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione. Poiché il ruolo Accesso predefinito non è applicabile per il provisioning, i relativi utenti vengono ignorati.
Configurazione del provisioning utenti in GitHub
Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning SCIM di GitHub per automatizzare il provisioning dell'appartenenza all'organizzazione GitHub. Questa integrazione, che sfrutta un'app OAuth, aggiunge, gestisce e rimuove automaticamente l'accesso dei membri a un'organizzazione GitHub Enterprise Cloud in base all'assegnazione di utenti e gruppi in Microsoft Entra ID. Quando viene effettuato il provisioning degli utenti in un'organizzazione GitHub tramite SCIM, viene inviato un invito tramite posta elettronica all'indirizzo di posta elettronica dell'utente.
Configurare il provisioning automatico degli account utente in GitHub in Microsoft Entra ID
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali.
Se si è già configurato GitHub per l'accesso Single Sign-On, cercare l'istanza di GitHub usando il campo di ricerca.
Selezionare l'istanza di GitHub e quindi la scheda Provisioning.
Impostare Modalità di provisioning su Automatico.
Nella portale di Azure immettere l'URL del tenant e fare clic su Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi all'organizzazione GitHub. Se la connessione non riesce, verificare che l'account GitHub abbia Amministrazione autorizzazioni e che l'URL del tenant sia immesso correttamente, quindi provare di nuovo il passaggio "Autorizza" (è possibile costituire l'URL del tenant per regola:
https://api.github.com/scim/v2/organizations/<Organization_name>, è possibile trovare le organizzazioni nell'account GitHub: Impostazioni> Organizations).
Nella sezione Credenziali amministratore fare clic su Autorizza. Viene aperta una finestra di dialogo di autorizzazione di GitHub in una nuova finestra del browser. Assicurarsi di essere approvati per autorizzare l'accesso. Seguire le istruzioni descritte qui.
Nella nuova finestra accedere a GitHub con l'account di amministratore. Nella finestra di dialogo di autorizzazione risultante selezionare l'organizzazione GitHub per cui si vuole abilitare il provisioning e quindi selezionare Autorizza. Al termine, tornare al portale di Azure per completare la configurazione del provisioning.
Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".
Fare clic su Salva.
Nella sezione Mapping selezionare Synchronize Microsoft Entra users to GitHub (Sincronizza utenti di Microsoft Entra in GitHub).
Nella sezione Mapping degli attributi esaminare gli attributi utente sincronizzati da Microsoft Entra ID a GitHub. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub per le operazioni di aggiornamento. Non abilitare l'impostazione Di precedenza corrispondente per gli altri attributi predefiniti nella sezione Provisioning perché potrebbero verificarsi errori. Selezionare Salva per eseguire il commit delle modifiche.
Per abilitare il servizio di provisioning di Microsoft Entra per GitHub, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Fare clic su Salva.
L'operazione avvia la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a GitHub nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning che descrivono tutte le azioni eseguite dal servizio di provisioning.
Per altre informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.
Risorse aggiuntive
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?