Samouczek: konfigurowanie usługi GitHub na potrzeby automatycznej aprowizacji użytkowników

Celem tego samouczka jest pokazanie kroków, które należy wykonać w usłudze GitHub i Azure AD w celu zautomatyzowania aprowizacji członkostwa w organizacji w usłudze GitHub Enterprise Cloud.

Uwaga

Integracja Azure AD aprowizacji opiera się na interfejsie API SCIM usługi GitHub, który jest dostępny dla klientów usługi GitHub Enterprise Cloud w planie rozliczeniowym GitHub Enterprise.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:

• Dzierżawa usługi Azure Active Directory
• Organizacja usługi GitHub utworzona w chmurze usługi GitHub dla przedsiębiorstw, która wymaga planu rozliczeniowego usługi GitHub Enterprise
• Konto użytkownika w usłudze GitHub z uprawnieniami Administracja do organizacji
• SamL skonfigurowany dla organizacji GitHub Enterprise Cloud
• Upewnij się, że dostęp do protokołu OAuth został podany dla organizacji zgodnie z opisem w tym miejscu
• Aprowizowanie protokołu SCIM w jednej organizacji jest obsługiwane tylko wtedy, gdy logowanie jednokrotne jest włączone na poziomie organizacji

Uwaga

Ta integracja jest również dostępna do użycia z Azure AD środowiska chmury dla instytucji rządowych USA. Tę aplikację można znaleźć w galerii aplikacji Azure AD US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Przypisywanie użytkowników do usługi GitHub

Usługa Azure Active Directory używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w Azure AD.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w Azure AD reprezentują użytkowników, którzy potrzebują dostępu do aplikacji GitHub. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji GitHub, postępując zgodnie z instrukcjami podanymi tutaj:

Aby uzyskać więcej informacji, zobacz Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw.

Ważne porady dotyczące przypisywania użytkowników do usługi GitHub

• Zalecamy przypisanie pojedynczego użytkownika Azure AD do usługi GitHub w celu przetestowania konfiguracji aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

• Podczas przypisywania użytkownika do usługi GitHub należy wybrać rolę Użytkownik lub inną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisania. Rola dostępu domyślnego nie działa w celu aprowizacji, a ci użytkownicy są pomijani.

Konfigurowanie aprowizacji użytkowników w usłudze GitHub

W tej sekcji opisano sposób łączenia Azure AD z interfejsem API aprowizacji SCIM usługi GitHub w celu zautomatyzowania aprowizacji członkostwa w organizacji usługi GitHub. Ta integracja, która korzysta z aplikacji OAuth, automatycznie dodaje, zarządza i usuwa dostęp członków do organizacji GitHub Enterprise Cloud na podstawie przypisania użytkowników i grup w Azure AD. Gdy użytkownicy są aprowizowani w organizacji usługi GitHub za pośrednictwem protokołu SCIM, zaproszenie e-mail jest wysyłane na adres e-mail użytkownika.

Konfigurowanie automatycznej aprowizacji kont użytkowników w usłudze GitHub w Azure AD

1. W Azure Portal przejdź do sekcji Azure Active Directory > Enterprise Apps > Wszystkie aplikacje.

2. Jeśli skonfigurowano już usługę GitHub na potrzeby logowania jednokrotnego, wyszukaj swoje wystąpienie usługi GitHub przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj ciąg GitHub w galerii aplikacji. Wybierz pozycję GitHub z wyników wyszukiwania i dodaj ją do listy aplikacji.

3. Wybierz swoje wystąpienie usługi GitHub, a następnie wybierz kartę Aprowizowanie .

4. Ustaw Tryb aprowizacji na Automatyczny.

   

5. W sekcji Poświadczenia administratora kliknij pozycję Autoryzuj. Ta operacja otwiera okno dialogowe autoryzacji usługi GitHub w nowym oknie przeglądarki. Pamiętaj, że musisz upewnić się, że masz zgodę na autoryzowanie dostępu. Postępuj zgodnie z instrukcjami opisanymi tutaj.

6. W nowym oknie zaloguj się do usługi GitHub przy użyciu konta Administracja. W wyświetlonym oknie dialogowym autoryzacji wybierz zespół usługi GitHub, dla którego chcesz włączyć aprowizowanie, a następnie wybierz pozycję Autoryzuj. Po wykonaniu tych czynności wróć do witryny Azure Portal, aby dokończyć konfigurowanie aprowizacji.

   

7. W Azure Portal wprowadź adres URL dzierżawy i kliknij pozycję Testuj połączenie, aby upewnić się, że Azure AD może nawiązać połączenie z aplikacją GitHub. Jeśli połączenie zakończy się niepowodzeniem, upewnij się, że konto usługi GitHub ma uprawnienia Administracja, a adres URl dzierżawy jest poprawnie wprowadzany, a następnie spróbuj ponownie wykonać krok "Autoryzuj" (możesz utworzyć adres URL dzierżawy według reguły: , możesz znaleźć swoje organizacje na koncie usługi GitHub: https://api.github.com/scim/v2/organizations/<Organization_name>Ustawienia>Organizacji).

   

8. Wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji w polu Powiadomienie Email, a następnie zaznacz pole wyboru "Wyślij powiadomienie e-mail po wystąpieniu awarii".

9. Kliknij pozycję Zapisz.

10. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Azure Active Directory z usługą GitHub.

11. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z Azure AD do usługi GitHub. Atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze GitHub na potrzeby operacji aktualizacji. Nie włączaj ustawienia Dopasowywanie pierwszeństwa dla innych atrybutów domyślnych w sekcji Aprowizacja , ponieważ mogą wystąpić błędy. Wybierz pozycję Zapisz, aby zatwierdzić wszelkie zmiany.

12. Aby włączyć usługę aprowizacji Azure AD dla usługi GitHub, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

13. Kliknij pozycję Zapisz.

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup przypisanych do usługi GitHub w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które występują co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji , aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji Azure AD, zobacz Raportowanie automatycznej aprowizacji kont użytkowników.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Czym jest dostęp do aplikacji i logowanie jednokrotne za pomocą usługi Azure Active Directory?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji