Configurer et l’authentification SCIM avec Okta

Découvrez comment configurer Okta pour communiquer avec votre entreprise .

Qui peut utiliser cette fonctionnalité ?

Site administrators with admin access to the IdP

Dans cet article

À propos du provisionnement avec Okta

Si vous utilisez Okta comme fournisseur d’identité, vous pouvez utiliser l’application d’Okta pour approvisionner des comptes d’utilisateurs, gérer l’appartenance à l’entreprise et gérer les appartenances aux équipes pour les organisations de votre entreprise. Okta est un fournisseur d’identité partenaire. Vous pouvez donc simplifier votre configuration d’authentification et d’approvisionnement à l’aide de l’application Okta pour gérer à la fois l’authentification unique SAML et l’approvisionnement SCIM sur GitHub Enterprise Server.

Sinon, si vous envisagez uniquement d’utiliser Okta pour l’authentification SAML et que vous souhaitez utiliser un autre fournisseur d’identité pour l’approvisionnement, vous pouvez intégrer l’API REST de GitHub pour SCIM. Pour plus d’informations, consultez « Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST ».

Fonctionnalités prises en charge

GitHub Enterprise Server prend en charge les fonctionnalités d’approvisionnement suivantes pour Okta.

FonctionnalitéDescription
Push New UsersLes utilisateurs affectés à GitHub dans Okta sont automatiquement créés dans l’entreprise sur GitHub.
Push Profile UpdateLes mises à jour apportées au profil de l’utilisateur dans Okta seront envoyées à GitHub.
Push GroupsLes groupes dans Okta qui sont assignés à GitHub's en tant que Push Groups sont automatiquement créés dans l'entreprise sur GitHub.
Push User DeactivationDésattribuer l'utilisateur de l'application de GitHub dans Okta désactivera l'utilisateur sur GitHub. L’utilisateur ne pourra pas se connecter, mais ses informations seront conservées.
Reactivate UsersLes utilisateurs Okta dont les comptes Okta sont réactivés et qui sont réattribués à GitHub sur Okta seront activés.

Prérequis

Les prérequis généraux pour utiliser SCIM sur GitHub Enterprise Server s'appliquent. Consultez la section « Conditions préalables » dans Configurer l’approvisionnement SCIM pour gérer les utilisateurs.

De plus :

  • Pour configurer SCIM, vous devez avoir effectué les étapes 1 à 4 dans Configurer l’approvisionnement SCIM pour gérer les utilisateurs.

    • Vous aurez besoin des données personal access token (classic) créées pour que l’utilisateur d’installation authentifie les demandes d’Okta.

  • Vous devez utiliser l’application d’Okta pour l’authentification et l’approvisionnement.

  • Votre produit Okta doit prendre en charge System for Cross-domain Identity Management (SCIM). Pour plus d’informations, consultez la documentation d’Okta ou contactez son équipe de support.

1. Configurer SAML

Avant de commencer cette section, vérifiez que vous avez suivi les étapes 1 et 2 dans Configurer l’approvisionnement SCIM pour gérer les utilisateurs.

Dans Okta

  1. Accédez à l'application GitHub Enterprise Server dans Okta.

  2. Cliquez sur Ajouter une intégration.

  3. Dans les paramètres généraux, pour l’URL de base, saisissez votre URL de l’hôte GitHub Enterprise Server (https://HOSTNAME.com).

  4. Cliquez sur l’onglet Sign On.

  5. Vérifiez que les « détails des informations d’identification » correspondent à ce qui suit.

    • « Format du nom d’utilisateur de l’application » : nom d’utilisateur Okta
    • « Mettre à jour le nom d’utilisateur de l’application sur » : créer et mettre à jour
    • « Révéler le mot de passe » : désélectionné

  6. Dans la section « Certificats de signature SAML », téléchargez votre certificat en sélectionnant Actions, puis en cliquant sur Télécharger le certificat.

  7. Sur le côté droit de la page, cliquez sur Afficher les instructions de configuration SAML.

  8. Notez l’« URL de connexion » et l’URL de l’« Emetteur ».

Sur GitHub Enterprise Server

  1. Connectez-vous à votre instance GitHub Enterprise Server en tant qu’utilisateur ayant accès à la console de gestion.
  2. Configurez SAML à l’aide des informations que vous avez collectées. Consultez Configuration d'une authentification unique (SSO) SAML pour votre entreprise.

2. Configurer SCIM

Après avoir configuré les paramètres SAML, vous pouvez passer à la configuration des paramètres d’approvisionnement.

Avant de commencer cette section, vérifiez que vous avez suivi les étapes 1 à 4 dans Configurer l’approvisionnement SCIM pour gérer les utilisateurs.

  1. Accédez à votre application GitHub Enterprise Managed User sur Okta.

  2. Cliquez sur l'onglet Configuration.

  3. Dans le menu de paramètres, cliquez sur Integration.

  4. Pour effectuer des modifications, cliquez sur Edit.

  5. Cliquez sur Configurer l’intégration d’API.

  6. Dans le champ Jeton d’API, saisissez le personal access token (classic) appartenant à l’utilisateur configuré.

    Remarque

    « Importer de groupes » n'est pas prise en charge par GitHub. Le fait de cocher ou de décocher la case n'a aucune incidence sur votre configuration.

  7. Cliquez sur Test API Credentials. Si le test réussit, un message de vérification s’affiche en haut de l’écran.

  8. Pour enregistrer le jeton, cliquez sur Save.

  9. Dans le menu de paramètres, cliquez sur To App.

  10. À droite de « Provisioning to App », pour autoriser les modifications, cliquez sur Edit.

  11. Sélectionnez Activer à droite de Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver les utilisateurs.

  12. Pour terminer la configuration du provisionnement, cliquez sur Save.

Une fois que vous avez terminé de configurer SCIM, vous pouvez désactiver certains paramètres SAML que vous avez activés pour le processus de configuration. Consultez Configurer l’approvisionnement SCIM pour gérer les utilisateurs.

Comment attribuer des utilisateurs et des groupes ?

Après avoir configuré l’authentification et l’approvisionnement, vous pourrez approvisionner de nouveaux utilisateurs sur GitHub en assignant des utilisateurs ou des groupes à l’application pertinente dans votre fournisseur d’identité.

Remarque

Un administrateur de site pourrait avoir activé des limites de débit d’API sur votre instance. Si vous dépassez ces seuils, les tentatives de provisionnement d’utilisateurs peuvent échouer avec une erreur « limite de débit ». Vous pouvez consulter les journaux de votre fournisseur d’identité pour vérifier si une tentative de provisionnement SCIM ou d’opérations de poussée a échoué en raison d’une erreur de limite de débit. La réponse à une tentative de provisionnement ayant échoué dépend du fournisseur d’identité. pour plus d’informations, consultez Résolution des problèmes de gestion des identités et des accès pour votre entreprise.

Vous pouvez également gérer l’appartenance à l’organisation automatiquement en ajoutant des groupes sous l’onglet « Push Groups » dans Okta. Si le groupe est correctement provisionné, il pourra se connecter aux équipes des organisations de l’entreprise. Pour plus d’informations sur la gestion des équipes, consultez Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité.

Quand vous attribuez des utilisateurs, vous pouvez utiliser l’attribut « Rôles » dans l’application de votre fournisseur d’identité pour définir le rôle d’un utilisateur dans votre entreprise. Pour plus d’informations sur les rôles attribuables disponibles, consultez Rôles dans une entreprise.

Remarque

Vous pouvez uniquement définir l’attribut « Roles » pour un utilisateur individuel, pas pour un groupe. Si vous souhaitez définir des rôles pour tous les membres d’un groupe attribués à l’application dans Okta, vous devez utiliser l’attribut « Rôles » pour chaque membre du groupe, individuellement.

Comment déprovisionner des utilisateurs et des groupes ?

Pour supprimer un utilisateur ou un groupe de GitHub, supprimez l'utilisateur ou le groupe à la fois de l'onglet « Attributions » et de l'onglet « Groupes Push » dans Okta. Pour les utilisateurs, assurez-vous que l’utilisateur est supprimé de tous les groupes sous l’onglet « Push groups ».