Tutoriel : Intégration de l’authentification unique Microsoft Entra à GitHub Enterprise Cloud - Enterprise Account

Dans ce tutoriel, vous allez apprendre à configurer une intégration Microsoft Entra SAML avec GitHub Enterprise Cloud - Enterprise Account. Lorsque vous intégrez GitHub Entreprise Cloud - Entreprise à Microsoft Entra ID, vous pouvez :

• Contrôler qui dans Microsoft Entra ID a accès à un compte GitHub Enterprise et à toute organisation au sein du compte Enterprise.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Un compte GitHub Enterprise.
• Un compte d’utilisateur GitHub qui est propriétaire d’un compte Enterprise.

Description du scénario

Dans ce tutoriel, vous allez configurer une intégration SAML pour un compte GitHub Enterprise et tester l’authentification et l’accès compte d'entreprise propriétaire et d’entreprise/organization membre.

Notes

L’application GitHub Enterprise Cloud - Enterprise Account ne prend pas en charge l’activation de l’approvisionnement automatique SCIM. Si vous devez configurer l’approvisionnement pour votre environnement GitHub Enterprise Cloud, SAML doit être configuré au niveau organisation et l’application GitHub Enterprise Cloud - Organization Microsoft Entra doit être utilisée à la place. Si vous configurez une intégration d’approvisionnement SAML et SCIM pour une entreprise qui est activée pour les utilisateurs gérés par l’entreprise (EMU), vous devez utiliser l’application Microsoft Entra pour les GitHub Enterprise Managed User intégrations SAML/Provisioning ou l’application GitHub Enterprise Managed User (OIDC) Microsoft Entra pour les intégrations OIDC/Provisioning.

• GitHub Enterprise Cloud – Enterprise Account prend en charge l’authentification unique initiée par un fournisseur de services et un fournisseur d’identité.

Ajouter GitHub Enterprise Cloud – Enterprise Account à partir de la galerie

Pour configurer l’intégration de GitHub Enterprise Cloud – Enterprise Account dans Microsoft Entra ID, vous devez ajouter GitHub Enterprise Cloud – Enterprise Account à partir de la galerie à votre liste d’applications SaaS managées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie , tapez GitHub Enterprise Cloud – Enterprise Account dans la zone de recherche.
4. Sélectionnez GitHub Enterprise Cloud – Enterprise Account dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais aussi parcourir les étapes de configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour GitHub Enterprise Cloud – Enterprise Account

Configurez et testez l’authentification unique Microsoft Entra avec GitHub Enterprise Cloud – Enterprise Account avec un utilisateur de test nommé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation entre un utilisateur Microsoft Entra et l’utilisateur GitHub Enterprise Cloud – Enterprise Account associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec GitHub Enterprise Cloud – Enterprise Account, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Affecter votre utilisateur Microsoft Entra et le compte d’utilisateur de test à l’application GitHub pour permettre à votre compte d’utilisateur et à l’utilisateur de test B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Activer et tester SAML pour le compte Enterprise et ses organisations afin de configurer les paramètres d’authentification unique côté application.
   1. Tester l’authentification unique avec un autre compte de membre de l’organisation ou propriétaire de compte Enterprise pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>GitHub Enterprise Cloud – Compte d’entreprise>Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

   a. Dans la zone de texte Identificateur (ID d’entité) , saisissez une URL au format suivant : https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. Si vous souhaitez configurer l’application en mode initié par le fournisseur de service, effectuez l’étape suivante :

   Dans la zone de texte URL de connexion, saisissez une URL au format suivant : https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   Remarque

   Remplacez <ENTERPRISE-SLUG> par le nom réel de votre compte GitHub Enterprise.

7. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (Base64) , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

   

8. Dans la section Configurer GitHub Enterprise Cloud – Enterprise Account, copiez la ou les URL appropriées en fonction de vos besoins.

   

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon dans le portail Azure.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Affecter votre utilisateur Microsoft Entra et le compte d’utilisateur de test à l’application GitHub

Dans cette section, vous allez autoriser B.Simon et votre compte d’utilisateur à utiliser l’authentification unique Azure en accordant l’accès au compte GitHub Enterprise Cloud - Enterprise.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>GitHub Enterprise Cloud – Compte d’entreprise.
3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon et votre compte d’utilisateur dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Activer et tester SAML pour le compte Enterprise et ses organisations

Pour configurer l’authentification unique côté compte GitHub Enterprise Cloud - Enterprise, suivez les étapes listées dans cette documentation GitHub.

1. Connectez-vous à GitHub.com avec un compte d’utilisateur qui est propriétaire d’un compte Enterprise.
2. Copiez la valeur du champ Login URL de l’application et collez-la dans le champ Sign on URL des paramètres SAML du compte GitHub Enterprise.
3. Copiez la valeur du champ Azure AD Identifier de l’application et collez-la dans le champ Issuer des paramètres SAML du compte GitHub Enterprise.
4. Copiez le contenu du fichier de certificat (en base64) que vous avez téléchargé lors des étapes précédentes à partir du portail Azure, puis collez-le dans le champ approprié des paramètres SAML du compte GitHub Enterprise.
5. Cliquez sur Test SAML configuration et confirmez que vous pouvez correctement vous authentifier à partir du compte GitHub Enterprise auprès d’e Microsoft Entra ID.
6. Une fois le test réussi, enregistrez les paramètres.
7. Après l’authentification via SAML pour la première fois à partir du compte GitHub Enterprise, une identité externe liée est créée dans le compte GitHub Enterprise qui associe le compte d’utilisateur GitHub connecté au compte d’utilisateur Microsoft Entra.

Une fois que vous avez activé l’authentification unique SAML pour votre compte GitHub Enterprise, l’authentification unique SAML est activée par défaut pour toutes les organisations appartenant à votre compte Enterprise. Tous les membres devront s’authentifier à l’aide de l’authentification unique SAML pour accéder aux organisations dont ils sont membres, et les propriétaires de compte Enterprise devront s’authentifier à l’aide de l’authentification unique SAML lors de l’accès à un compte Enterprise.

Tester l’authentification unique avec un autre compte de membre de l’organisation ou propriétaire de compte Enterprise

Une fois l’intégration SAML configurée pour le compte GitHub Enterprise (qui s’applique également aux organisations GitHub dans le compte Enterprise), les autres propriétaires de compte Enterprise qui sont affectés à l’application dans Microsoft Entra ID doivent pouvoir accéder à l’URL du compte GitHub Enterprise (https://github.com/enterprises/<enterprise account>), s’authentifier via SAML et accéder aux stratégies et aux paramètres sous le compte GitHub Enterprise.

Le propriétaire d’une organisation dans un compte Enterprise doit être en mesure d’inviter un utilisateur à rejoindre son organisation GitHub. Connectez-vous à GitHub.com avec le compte d’un propriétaire de l’organisation et suivez les étapes décrites dans l’article pour inviter B.Simon à rejoindre l’organisation. Un compte d’utilisateur GitHub doit être créé pour B.Simon s’il n’en existe pas déjà un.

Pour tester l’accès à l’organisation GitHub sous le compte Enterprise avec le compte d’utilisateur de test B.Simon :

1. Invitez B.Simon à rejoindre une organisation sous le compte Enterprise en tant que propriétaire de l’organisation.
2. Connectez-vous à GitHub.com avec le compte d’utilisateur que vous souhaitez lier au compte d’utilisateur Microsoft Entra de B.Simon.
3. Connectez-vous à Microsoft Entra ID à l’aide du compte d’utilisateur B.Simon.
4. Accédez à l’organisation GitHub. L’utilisateur doit être invité à s’authentifier via SAML. Après une authentification SAML réussie, B.Simon doit être en mesure d’accéder aux ressources de l’organisation.

Étapes suivantes

Une fois que vous avez configuré GitHub Enterprise Cloud – Enterprise Account, vous pouvez appliquer un contrôle de session qui protège l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.