Esercitazione: Configurare GitHub per il provisioning utenti automatico

Questa esercitazione descrive i passaggi da eseguire in GitHub e Microsoft Entra ID per automatizzare il provisioning dell'appartenenza all'organizzazione GitHub Enterprise Cloud.

Nota

L'integrazione del provisioning di Microsoft Entra è basata sull'API SCIM di GitHub, disponibile per i clienti di GitHub Enterprise Cloud nel piano di fatturazione di GitHub Enterprise.

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:

• Un tenant di Microsoft Entra
• Un'organizzazione GitHub creata in GitHub Enterprise Cloud, che richiede il piano di fatturazione GitHub Enterprise
• Account utente in GitHub con autorizzazioni di amministratore dell'organizzazione
• SAML configurato per l'organizzazione GitHub Enterprise Cloud
• Assicurarsi che sia stato fornito l'accesso OAuth per l'organizzazione, come descritto qui
• Il provisioning di SCIM in una singola organizzazione è supportato solo quando l'accesso SSO è abilitato a livello di organizzazione

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Assegnazione di utenti a GitHub

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle "assegnazioni". Nel contesto del provisioning automatico degli account utente vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'organizzazione GitHub. Dopo averlo deciso, è possibile assegnare tali utenti seguendo le istruzioni riportate qui:

Per altre informazioni, vedere Assegnare un utente o un gruppo a un'app aziendale.

Suggerimenti importanti per l'assegnazione di utenti a GitHub

• È consigliabile assegnare un singolo utente di Microsoft Entra a GitHub per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

• Quando si assegna un utente a GitHub, è necessario selezionare il ruolo Utente o un altro ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione. Poiché il ruolo Accesso predefinito non è applicabile per il provisioning, i relativi utenti vengono ignorati.

Configurazione del provisioning utenti in GitHub

Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning SCIM di GitHub per automatizzare il provisioning dell'appartenenza all'organizzazione GitHub. Questa integrazione, che sfrutta un'app OAuth, aggiunge, gestisce e rimuove automaticamente l'accesso dei membri a un'organizzazione GitHub Enterprise Cloud in base all'assegnazione di utenti e gruppi in Microsoft Entra ID. Quando viene effettuato il provisioning degli utenti in un'organizzazione GitHub tramite SCIM, viene inviato un invito tramite posta elettronica all'indirizzo di posta elettronica dell'utente.

Configurare il provisioning automatico degli account utente in GitHub in Microsoft Entra ID

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Se si è già configurato GitHub per l'accesso Single Sign-On, cercare l'istanza di GitHub usando il campo di ricerca.

4. Selezionare l'istanza di GitHub e quindi la scheda Provisioning.

5. Impostare Modalità di provisioning su Automatico.

6. Nel portale di Azure immettere l'URL tenant e fare clic su Test connessione per verificare che Microsoft Entra ID possa connettersi all'app GitHub. Se la connessione non riesce, verificare che l'account GitHub abbia le autorizzazioni di amministratore e che l'URL tenant sia stato inserito correttamente, quindi provare a eseguire di nuovo il passaggio per l'autorizzazione. È possibile calcolare l'URL tenant seguendo la regola: https://api.github.com/scim/v2/organizations/<Organization_name>. È possibile individuare le organizzazioni nell'account GitHub in Impostazioni>Organizzazioni.

   

7. Nella sezione Credenziali amministratore fare clic su Autorizza. Viene aperta una finestra di dialogo di autorizzazione di GitHub in una nuova finestra del browser. Assicurarsi di essere approvati per autorizzare l'accesso. Seguire le istruzioni descritte qui.

   

8. Nella nuova finestra accedere a GitHub con l'account di amministratore. Nella finestra di dialogo di autorizzazione risultante selezionare l'organizzazione di GitHub per cui si vuole abilitare il provisioning e quindi Autorizza. Al termine, tornare al portale di Azure per completare la configurazione del provisioning.

   

9. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".

10. Fare clic su Salva.

11. Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra in GitHub.

12. Nella sezione Mapping degli attributi esaminare gli attributi utente sincronizzati da Microsoft Entra ID a GitHub. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub per le operazioni di aggiornamento. Non abilitare l'impostazione Precedenza abbinamento per gli altri attributi predefiniti nella sezione Provisioning perché potrebbero verificarsi errori. Selezionare Salva per eseguire il commit delle modifiche.

13. Per abilitare il servizio di provisioning di Microsoft Entra per GitHub, impostare Stato del provisioning su Sì nella sezione Impostazioni.

14. Fare clic su Salva.

L'operazione avvia la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a GitHub nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning che descrivono tutte le azioni eseguite dal servizio di provisioning.

.Per altre informazioni sulla lettura dei log di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.

Risorse aggiuntive

• Gestione del provisioning degli account utente per app aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Passaggi successivi

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning