Samouczek: konfigurowanie zarządzanego użytkownika w usłudze GitHub Enterprise (OIDC) na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze GitHub Enterprise Managed User (OIDC) i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze GitHub Enterprise Managed User (OIDC) przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Uwaga

Użytkownik zarządzany w usłudze GitHub Enterprise (EMU) to inny typ konta GitHub Enteprise. Jeśli nie zażądano specjalnie wystąpienia EMU, masz standardowe konto GitHub Enterprise. W takim przypadku zapoznaj się z dokumentacją , aby skonfigurować aprowizację użytkowników w organizacji innej niż EMU. Aprowizacja użytkowników nie jest obsługiwana w przypadku standardowych kont GitHub Enteprise, ale jest obsługiwana w przypadku organizacji w ramach standardowego konta GitHub Enterprise.

Obsługiwane możliwości

• Tworzenie użytkowników w usłudze GitHub Enterprise Managed User (OIDC)
• Usuwanie użytkowników w usłudze GitHub Enterprise Managed User (OIDC), gdy nie wymagają już dostępu
• Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i użytkownikiem zarządzanym w usłudze GitHub Enterprise (OIDC)
• Aprowizuj grupy i członkostwa w grupach w usłudze GitHub Enterprise Managed User (OIDC)
• Logowanie jednokrotne do usługi GitHub Enterprise Managed User (OIDC) (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra
• Konto użytkownika w usłudze Microsoft Entra ID z uprawnieniem do konfigurowania aprowizacji (na przykład application Administracja istrator, administrator aplikacji w chmurze, właściciel aplikacji lub globalny Administracja istrator).
• Włączono i skonfigurowano użytkowników zarządzanych przedsiębiorstwa GitHub Enterprise do logowania przy użyciu logowania jednokrotnego OIDC za pośrednictwem dzierżawy firmy Microsoft Entra.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Określ, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i użytkownikiem zarządzanym w usłudze GitHub Enterprise.

Krok 2. Konfigurowanie zarządzanego użytkownika usługi GitHub Enterprise (OIDC) w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

1. Adres URL dzierżawy to https://api.github.com/scim/v2/enterprises/{enterprise}. Ta wartość zostanie wprowadzona w polu Adres URL dzierżawy na karcie Aprowizacja aplikacji Zarządzanego użytkownika (OIDC) usługi GitHub Enterprise.

2. Jako administrator zarządzany usługi GitHub Enterprise przejdź do prawego górnego rogu —> kliknij swoje zdjęcie profilowe ,> a następnie kliknij przycisk Ustawienia.

3. Na lewym pasku bocznym kliknij pozycję Ustawienia dewelopera.

4. Na lewym pasku bocznym kliknij pozycję Osobiste tokeny dostępu.

5. Kliknij pozycję Generuj nowy token.

6. Wybierz zakres admin:enterprise dla tego tokenu.

7. Kliknij pozycję Generuj token.

8. Skopiuj i zapisz token tajny. Ta wartość zostanie wprowadzona w polu Token tajny na karcie Aprowizacja aplikacji Użytkownika zarządzanego w usłudze GitHub Enterprise (OIDC).

Krok 3. Dodawanie zarządzanego użytkownika usługi GitHub Enterprise (OIDC) z galerii aplikacji Microsoft Entra

Dodaj aplikację GitHub Enterprise Managed User (OIDC) z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze GitHub Enterprise Managed User (OIDC). Jeśli wcześniej skonfigurowano usługę GitHub Enterprise Managed User (OIDC) na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecane jest jednak utworzenie osobnej aplikacji na potrzeby początkowych testów integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze GitHub Enterprise Managed User (OIDC)

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla usługi GitHub Enterprise Managed User (OIDC) w identyfikatorze Entra firmy Microsoft:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz pozycję GitHub Enterprise Managed User (OIDC).

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Administracja Credentials (Poświadczenia) wprowadź adres URL dzierżawy usługi GitHub Enterprise Managed User (OIDC) i token tajny. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z zarządzanym użytkownikiem (OIDC) w usłudze GitHub Enterprise. Jeśli połączenie nie powiedzie się, upewnij się, że konto użytkownika zarządzanego w usłudze GitHub Enterprise (OIDC) utworzyło token tajny jako właściciel przedsiębiorstwa i spróbuj ponownie.

   W polu "Adres URL dzierżawy" wpisz https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, zastępując YOUR_ENTERPRISE nazwą konta przedsiębiorstwa.

   Jeśli na przykład adres URL konta przedsiębiorstwa to https://github.com/enterprises/octo-corp, nazwa konta przedsiębiorstwa to octo-corp.

   W polu "Token tajny" wklej osobisty token dostępu z utworzonym wcześniej zakresem admin:enterprise.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą GitHub Enterprise Managed User (OIDC).

10. Przejrzyj atrybuty użytkownika, które są synchronizowane z identyfikatora Entra firmy Microsoft do zarządzanego użytkownika w usłudze GitHub Enterprise (OIDC) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania kont użytkowników w usłudze GitHub Enterprise Managed User (OIDC) na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API użytkownika zarządzanego w usłudze GitHub Enterprise (OIDC) obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Type	Obsługiwane do filtrowania
    externalId	Ciąg	✓
    userName	Ciąg
    aktywne	Wartość logiczna
    role	Ciąg
    displayName	Ciąg
    name.givenName	Ciąg
    name.familyName	Ciąg
    name.formatted	Ciąg
    emails[type eq "work"].value	Ciąg
    email[type eq "home"].value	Ciąg
    email[type eq "other"].value	Ciąg

11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy entra firmy Microsoft z usługą GitHub Enterprise Managed User (OIDC).

12. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi GitHub Enterprise Managed User (OIDC) w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w usłudze GitHub Enterprise Managed User (OIDC) na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Type	Obsługiwane do filtrowania
    externalId	Ciąg	✓
    displayName	Ciąg
    członkowie	Odwołanie

13. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla zarządzanego użytkownika w usłudze GitHub Enterprise (OIDC), zmień stan aprowizacji na Wł. w sekcji Ustawienia.

    

15. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze GitHub Enterprise Managed User (OIDC), wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    

16. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

1. Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
2. Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
3. Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji