Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i passaggi che devi eseguire sia su l'utente gestito di GitHub Enterprise che su Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in GitHub Enterprise Managed User usando il servizio di provisioning Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.
Nota
GitHub Enterprise Managed User (EMU) è un tipo diverso di account GitHub Enteprise. Se non è stata richiesta specificamente un'istanza EMU, si dispone di un account GitHub Enterprise standard. In tal caso, fare riferimento alla documentazione per configurare il provisioning utenti nell'organizzazione non EMU. La configurazione degli utenti non è supportata per gli account GitHub Enterprise standard, ma è supportata per le organizzazioni sotto GitHub Enterprise Managed User (EMU).
Funzionalità supportate
- Creare utenti in GitHub Enterprise Managed User
- Rimuovere gli utenti in GitHub Enterprise Managed User quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e GitHub Enterprise Managed User
- Effettuare il provisioning di gruppi e appartenenze a gruppi in GitHub Enterprise Managed User
- Accesso Single Sign-On a GitHub Enterprise Managed User (scelta consigliata)
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Uno dei ruoli seguenti: Amministratore applicazione, Amministratore applicazione cloud o Proprietario dell'applicazione.
- Gli utenti gestiti dell'organizzazione hanno abilitato GitHub Enterprise e hanno configurato l'opzione di accesso con SAML SSO tramite il tenant di Microsoft Entra.
Nota
Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.
Passaggio 1: Pianificare la distribuzione del provisioning
- Vedere le informazioni su come funziona il servizio di provisioning.
- Determinare chi è incluso nell'ambito per l'approvvigionamento.
- Determinare i dati da mappare tra Microsoft Entra ID e GitHub Enterprise Managed User.
Passaggio 2: Preparare il provisioning con Microsoft Entra ID
Identificare l'URL del tenant. Questo è il valore immesso nel campo URL tenant nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise.
- Per un'azienda in GitHub.com, l'URL del tenant è
https://api.github.com/scim/v2/enterprises/{enterprise}. - Per un'azienda in GHE.com, l'URL del tenant è
https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain}
- Per un'azienda in GitHub.com, l'URL del tenant è
Assicurarsi di aver creato un token con l'ambito scim:enterprise per l'utente di configurazione dell'organizzazione. Questo valore viene immesso nel campo Token segreto nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise. Vedere Introduzione agli utenti gestiti dell'organizzazione in GitHub Docs.
Passaggio 3: Aggiungere GitHub Enterprise Managed User dalla raccolta di applicazioni Microsoft Entra
Aggiungere GitHub Enterprise Managed User dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in GitHub Enterprise Managed User. Se GitHub Enterprise Managed User è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Si consiglia però di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: Definire chi è incluso nel processo di provisioning
Il servizio di provisioning di Microsoft Entra consente di delimitare chi viene fornito in base all'assegnazione all'applicazione o in base agli attributi degli utenti o dei gruppi. Se scegli di definire chi viene fornito alla tua app in base all'assegnazione, puoi usare la procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti a cui è stato fornito accesso esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning utenti automatico in GitHub Enterprise Managed User
Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Per configurare il provisioning utenti automatico per GitHub Enterprise Managed User in Microsoft Entra ID:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Accedi alle Entra ID>applicazioni aziendali
Nell'elenco delle applicazioni selezionare GitHub Enterprise Managed User.
Selezionare la scheda Provisioning.
Impostare Modalità di provisioning su Automatico.
Nella sezione Credenziali amministratore immettere l'URL del tenant e il token segreto di GitHub Enterprise Managed User. Seleziona Test connessione per assicurarsi che Microsoft Entra ID possa connettersi all'Utente Gestito di GitHub Enterprise. Se la connessione non riesce, verificare che l'account GitHub Enterprise Managed User abbia creato il token segreto come proprietario dell'organizzazione e riprovare.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra con GitHub Enterprise Managed User.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub Enterprise Managed User per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API utente gestita di GitHub Enterprise supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo TIPO Supportato per il filtro Id esterno Stringa ✓ nome utente Stringa attivo Booleano ruoli. Stringa nome visualizzato Stringa nome.nomeDato Stringa nome.cognome Stringa nome.formattato Stringa email[type eq "work"].valore Stringa email[type eq "home"].value Stringa email[type eq "other"].value Stringa Nella sezione Mapping selezionare Sincronizza gruppi di Microsoft Entra con GitHub Enterprise Managed User.
Esaminare gli attributi di gruppo sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in GitHub Enterprise Managed User per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo TIPO Supportato per il filtro Id esterno Stringa ✓ nome visualizzato Stringa membri Riferimento Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Definizione dell'ambito del filtro.
Per abilitare il servizio di provisioning di Microsoft Entra per GitHub Enterprise Managed User, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in GitHub Enterprise Managed User selezionando i valori desiderati in Ambito nella sezione Impostazioni.
Quando sei pronto a configurare, seleziona Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Passaggio 6: monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
- Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
- Se la configurazione del provisioning appare in uno stato non integro, l'applicazione entra in quarantena. Ulteriori informazioni sugli stati di quarantena sono disponibili nell'articolo sullo stato di quarantena del provisioning delle applicazioni.
Altre risorse
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?