Samouczek: konfigurowanie użytkownika zarządzanego przez usługę GitHub Enterprise (OIDC) na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze GitHub Enterprise Managed User (OIDC) i Azure Active Directory (Azure AD), aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu Azure AD automatycznie aprowizować użytkowników i grupy w usłudze GitHub Enterprise Managed User (OIDC) przy użyciu usługi Azure AD Provisioning. Aby zapoznać się z ważnymi szczegółowymi informacjami na temat przeznaczenia i sposobu działania tej usługi oraz z często zadawanymi pytaniami, zobacz Automatyzowanie aprowizacji i cofania aprowizacji użytkowników w aplikacjach SaaS przy użyciu usługi Azure Active Directory.

Uwaga

Usługa GitHub Enterprise Managed User to funkcja usługi GitHub Enterprise Cloud, która różni się od standardowej implementacji aprowizacji logowania jednokrotnego OIDC usługi GitHub Enterprise i aprowizacji użytkowników. Jeśli nie zażądano specjalnie wystąpienia EMU, masz standardowy plan GitHub Enterprise Cloud. W takim przypadku zapoznaj się z dokumentacją , aby skonfigurować aprowizację użytkowników w organizacji innej niż EMU. Aprowizowanie użytkowników nie jest obsługiwane w przypadku kont Enteprise w usłudze GitHub

Obsługiwane możliwości

  • Tworzenie użytkowników w usłudze GitHub Enterprise Managed User (OIDC)
  • Usuń użytkowników w usłudze GitHub Enterprise Managed User (OIDC), gdy nie będą już wymagać dostępu
  • Zachowaj synchronizację atrybutów użytkownika między Azure AD i użytkownikiem zarządzanym przez usługę GitHub Enterprise (OIDC)
  • Aprowizuj grupy i członkostwa w grupach w usłudze GitHub Enterprise Managed User (OIDC)
  • Logowanie jednokrotne do usługi GitHub Enterprise Managed User (OIDC) (zalecane).

Uwaga

Ten łącznik aprowizacji jest włączony tylko dla uczestników wersji beta dla użytkowników zarządzanych przez przedsiębiorstwo.

Wymagania wstępne

Scenariusz opisany w tym samouczku zakłada, że masz już następujące wymagania wstępne:

  • Dzierżawa usługi Azure AD
  • Konto użytkownika w Azure AD z uprawnieniami do konfigurowania aprowizacji (na przykład administrator aplikacji, administrator aplikacji w chmurze, właściciel aplikacji lub administrator globalny).
  • Włączono i skonfigurowano użytkowników zarządzanych przez firmę GitHub Enterprise do logowania za pomocą logowania jednokrotnego OIDC za pośrednictwem dzierżawy Azure AD.

Uwaga

Ta integracja jest również dostępna do użycia z Azure AD środowiska chmury dla instytucji rządowych USA. Tę aplikację można znaleźć w galerii aplikacji Azure AD US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Krok 1. Planowanie wdrożenia aprowizacji

  1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
  2. Określ, kto znajdzie się w zakresie aprowizacji.
  3. Określ, jakie dane mają być mapowanie między Azure AD i użytkownikiem zarządzanym przez usługę GitHub Enterprise.

Krok 2. Konfigurowanie zarządzanego użytkownika usługi GitHub Enterprise (OIDC) w celu obsługi aprowizacji przy użyciu Azure AD

  1. Adres URL dzierżawy to https://api.github.com/scim/v2/enterprises/{enterprise}. Ta wartość zostanie wprowadzona w polu Adres URL dzierżawy na karcie Aprowizacja aplikacji Zarządzanego użytkownika (OIDC) w usłudze GitHub Enterprise w Azure Portal.

  2. Jako administrator zarządzany przez usługę GitHub Enterprise przejdź do prawego górnego rogu —> kliknij swoje zdjęcie profilu ,> a następnie kliknij pozycję Ustawienia.

  3. Na pasku bocznym po lewej stronie kliknij pozycję Ustawienia dewelopera.

  4. Na pasku bocznym po lewej stronie kliknij pozycję Osobiste tokeny dostępu.

  5. Kliknij pozycję Generuj nowy token.

  6. Wybierz zakres admin:enterprise dla tego tokenu.

  7. Kliknij pozycję Generuj token.

  8. Skopiuj i zapisz token tajny. Ta wartość zostanie wprowadzona w polu Token tajny na karcie Aprowizacja aplikacji Użytkownika zarządzanego przez firmę GitHub (OIDC) w Azure Portal.

Dodaj aplikację GitHub Enterprise Managed User (OIDC) z galerii aplikacji Azure AD, aby rozpocząć zarządzanie aprowizowaniem w usłudze GitHub Enterprise Managed User (OIDC). Jeśli wcześniej skonfigurowano usługę GitHub Enterprise Managed User (OIDC) na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecane jest jednak utworzenie osobnej aplikacji na potrzeby początkowych testów integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Określenie, kto znajdzie się w zakresie aprowizacji

Usługa aprowizacji Azure AD umożliwia określenie zakresu aprowizacji na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

  • Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

  • Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji , aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze GitHub Enterprise Managed User (OIDC)

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji Azure AD w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w aplikacji TestApp na podstawie przypisań użytkowników i/lub grup w Azure AD.

Aby skonfigurować automatyczną aprowizację użytkowników dla usługi GitHub Enterprise Managed User (OIDC) w Azure AD:

  1. Zaloguj się w witrynie Azure Portal. Wybierz pozycję Aplikacje dla przedsiębiorstw, a następnie Wszystkie aplikacje.

    Blok Aplikacje dla przedsiębiorstw

  2. Na liście aplikacji wybierz pozycję GitHub Enterprise Managed User (OIDC).

    Link do aplikacji GitHub Enterprise Managed User (OIDC) na liście aplikacji

  3. Wybierz kartę Aprowizacja.

    Karta Aprowizacja

  4. Ustaw Tryb aprowizacji na Automatyczny.

    Karta Aprowizacja automatyczna

  5. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi GitHub Enterprise Managed User (OIDC) i token tajny. Kliknij pozycję Testuj połączenie, aby upewnić się, że Azure AD może nawiązać połączenie z zarządzanym użytkownikiem usługi GitHub Enterprise (OIDC). Jeśli połączenie nie powiedzie się, upewnij się, że konto użytkownika zarządzanego przez usługę GitHub Enterprise (OIDC) utworzyło token tajny jako właściciel przedsiębiorstwa i spróbuj ponownie.

    W polu "Adres URL dzierżawy" wpisz https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, zastępując YOUR_ENTERPRISE nazwą konta przedsiębiorstwa.

    Jeśli na przykład adres URL konta przedsiębiorstwa to https://github.com/enterprises/octo-corp, nazwa konta przedsiębiorstwa to octo-corp.

    W polu "Token tajny" wklej osobisty token dostępu z utworzonym wcześniej zakresem admin:enterprise.

    Tokenu

  6. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

    Adres e-mail do powiadomień

  7. Wybierz pozycję Zapisz.

  8. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Azure Active Directory z usługą GitHub Enterprise Managed User (OIDC) .

  9. Przejrzyj atrybuty użytkownika synchronizowane z Azure AD do usługi GitHub Enterprise Managed User (OIDC) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze GitHub Enterprise Managed User (OIDC) na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API OIDC (GitHub Enterprise Managed User) obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane do filtrowania
    externalId Ciąg
    userName Ciąg
    aktywne Wartość logiczna
    role Ciąg
    displayName Ciąg
    name.givenName Ciąg
    name.familyName Ciąg
    name.formatted Ciąg
    emails[type eq "work"].value Ciąg
    email[type eq "home"].value Ciąg
    email[type eq "other"].value Ciąg
  10. W sekcji Mapowania wybierz pozycję Synchronizuj grupy usługi Azure Active Directory z usługą GitHub Enterprise Managed User (OIDC).

  11. Przejrzyj atrybuty grupy, które są synchronizowane z Azure AD do usługi GitHub Enterprise Managed User (OIDC) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w usłudze GitHub Enterprise Managed User (OIDC) na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut Typ Obsługiwane do filtrowania
    externalId Ciąg
    displayName Ciąg
    elementy członkowskie Tematy pomocy
  12. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

  13. Aby włączyć usługę aprowizacji Azure AD dla usługi GitHub Enterprise Managed User (OIDC), zmień stan aprowizacji na . w sekcji Ustawienia.

    Stan aprowizacji — przełącznik w pozycji włączonej

  14. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze GitHub Enterprise Managed User (OIDC), wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia .

    Zakres aprowizacji

  15. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    Zapisywanie konfiguracji aprowizacji

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne, które mają miejsce co około 40 minut w czasie działania usługi aprowizacji Azure AD.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

  1. Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
  2. Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
  3. Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Dodatkowe zasoby

Następne kroki