Configuration d’OIDC pour les utilisateurs managés par l’entreprise

Découvrez comment gérer automatiquement l’accès à votre compte GitHub d’entreprise en configurant l’authentification unique OpenID Connect (OIDC) et en activant la prise en charge de la stratégie d’accès conditionnel (CAP) de votre fournisseur d’identité.

Qui peut utiliser cette fonctionnalité ?

Enterprise Managed Users est disponible pour les nouveaux comptes d'entreprise sur GitHub Enterprise Cloud. Consultez À propos d’Enterprise Managed Users.

Dans cet article

Remarque

La prise en charge d'OpenID Connect (OIDC) et de la politique d'accès conditionnel (CAP) pour Enterprise Managed Users n'est disponible que pour Microsoft Entra ID (anciennement Azure AD).

À propos d’OIDC pour les utilisateurs managés par l’entreprise

Avec Enterprise Managed Users, votre entreprise utilise votre fournisseur d’identité (IdP) pour authentifier tous les membres. Vous pouvez utiliser OpenID Connect (OIDC) pour gérer l’authentification pour votre entreprise avec utilisateurs managés. L’activation du SSO OIDC est un processus de configuration en un clic, avec des certificats gérés par GitHub et votre fournisseur d’identité (IdP).

Lorsque votre entreprise utilise l'authentification unique OIDC, GitHub utilisera automatiquement la politique d'accès conditionnel (CAP) de votre fournisseur d'identité pour valider les interactions avec GitHub lorsque les membres utilisent l’interface utilisateur web ou modifient les adresses IP, et pour chaque authentification avec une clé SSH associée à un compte d'utilisateur. Voir À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité.

Remarque

La protection CAP pour les sessions web est actuellement dans préversion publique et peut changer.

Si le support CAP de l'IdP est déjà activé pour votre entreprise, vous pouvez opter pour une protection étendue des sessions web à partir des paramètres « Sécurité de l'authentification » de votre entreprise. Lorsque la protection de session web est activée et que les conditions de l’adresse IP d’un utilisateur ne sont pas satisfaites, il peut consulter et filtrer toutes les ressources appartenant à l’utilisateur, mais ne peut pas voir les détails des résultats pour les notifications, les recherches, les tableaux de bord personnels ou les référentiels en vedette.

Vous pouvez ajuster la durée de vie d’une session et la fréquence à laquelle compte d’utilisateur managé doit se réauthentifier auprès de votre fournisseur d’identité, en modifiant la propriété de la stratégie de durée de vie des jetons d’identité émis pour GitHub par votre fournisseur d’identité. La durée de vie par défaut est d’une heure. Consultez « Configurer les stratégies de durée de vie des jetons » dans la documentation Microsoft.

Pour modifier la propriété de la stratégie de cycle de vie, vous devez disposer de l’ID d’objet associé à votre Enterprise Managed Users OIDC. Consultez « Recherche de l'identifiant de l'objet de votre application Entra OIDC ».

Remarque

Si vous avez besoin d’aide pour configurer la durée de vie de la session OIDC, contactez Support Microsoft.

Si vous utilisez actuellement l’authentification unique SAML pour l’authentification et préférez utiliser OIDC et bénéficier du support de CAP, vous pouvez suivre un chemin de migration. Pour plus d’informations, consultez « Migration de SAML vers OIDC ».

Avertissement

Si vous utilisez GitHub Enterprise Importer pour migrer une organisation depuis votre instance GitHub Enterprise Server, veillez à utiliser un compte de service exempté de la stratégie d’accès conditionnel d’Entra ID, sinon votre migration peut être bloquée.

Prise en charge des fournisseurs d’identité

La prise en charge de OIDC est disponible pour les clients utilisant Entra ID.

Remarque

GitHub ne teste ni ne valide les applications de la galerie des fournisseurs d’identité (IdP) destinées à être utilisées dans des environnements de cloud gouvernemental, y compris Microsoft Entra ID Government Cloud et Okta Government Cloud. Les problèmes d’authentification et de provisionnement SCIM qui impliquent des applications de galerie dans ces environnements se trouvent en dehors GitHubde l’étendue de la prise en charge.

Chaque locataire Entra ID ne peut prendre en charge qu’une seule intégration OIDC avec Enterprise Managed Users. Si vous souhaitez connecter Entra ID à plus d’une entreprise sur GitHub, utilisez plutôt SAML. Consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».

OIDC ne prend pas en charge l’authentification initiée par le fournisseur d’identité.

Remarque

Les revendications et attributs OIDC personnalisés ne sont pas pris en charge.

Configuration d’OIDC pour les utilisateurs managés par l’entreprise

  1. Connectez-vous à GitHub en tant qu’utilisateur de configuration de votre nouvelle entreprise avec le nom d’utilisateur @SHORT-CODE_admin.

  2. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  3. En haut de la page, cliquez sur Fournisseur d’identité.

  4. Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.

  5. Sous « OIDC Authentification unique », sélectionnez Activer la configuration OIDC.

  6. Pour continuer à configurer et être redirigé vers Entra ID, cliquez sur Enregistrer.

  7. Une fois que GitHub vous redirige vers votre fournisseur d'identité, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Entra ID demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.

    Avertissement

    Vous devez vous connecter à Entra ID en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).

  8. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

  9. Cliquez sur Activer l’authentification OIDC.

Activation de l'approvisionnement

Après avoir activé l'authentification unique OIDC, activez le provisionnement. Consultez « Configuration du provisionnement SCIM pour les utilisateurs ».

Activation des collaborateurs invités

Vous pouvez utiliser le rôle de collaborateur invité pour accorder un accès limité aux fournisseurs et aux prestataires de votre entreprise. Contrairement aux membres de l’entreprise, les collaborateurs invités n’ont accès qu’aux référentiels internes au sein des organisations où ils sont membres.

Pour utiliser des collaborateurs invités avec l’authentification OIDC, vous devrez peut-être mettre à jour vos paramètres dans Entra ID. Consultez « Activation des collaborateurs invités ».