Tutorial: Configurar GitHub Enterprise Managed User para fornecimento automático de utilizadores

Este tutorial descreve os passos que precisa de executar tanto no GitHub Enterprise Managed User como no Azure Ative Directory (Azure AD) para configurar o fornecimento automático do utilizador. Quando configurado, o Azure AD fornece automaticamente e desescvisões utilizadores e grupos para GitHub Enterprise Managed User usando o serviço de provisionamento Azure AD. Para obter detalhes importantes sobre o que este serviço faz, como funciona e perguntas frequentes, veja Automatizar o aprovisionamento e desaprovisionamento de utilizadores em aplicações SaaS no Azure Active Directory.

Nota

GitHub Enterprise Managed Users é uma funcionalidade da GitHub Enterprise Cloud que é diferente da sSO SAML padrão da GitHub Enterprise e da implementação de fornecimento de utilizadores. Se não solicitou especificamente uma instância da UEM, tem um plano padrão da GitHub Enterprise Cloud. Nesse caso, consulte a documentação para configurar o fornecimento do utilizador na sua organização não-UEM. O fornecimento de utilizadores não é suportado para as contas empresariais do GitHub

Capacidades Suportadas

  • Criar utilizadores no GitHub Enterprise Managed User
  • Remova os utilizadores no GitHub Enterprise Managed User quando já não necessitam de acesso
  • Mantenha os atributos do utilizador sincronizados entre Azure AD e GitHub Enterprise Managed User
  • Grupos de fornecimento e membros do grupo no GitHub Enterprise Managed User
  • Único sinal de sação para GitHub Enterprise Managed User (recomendado)

Nota

Este conector de provisionamento está ativado apenas para os participantes beta dos Utilizadores Geridos pela Empresa.

Pré-requisitos

O cenário delineado neste tutorial pressupõe que já tem os seguintes pré-requisitos:

  • Um inquilino da AD AZure
  • Uma conta de utilizador em Azure AD com permissão para configurar o provisionamento (por exemplo, Administrador de Aplicação, Administrador de Aplicação cloud, Proprietário de Aplicações ou Administrador Global).
  • Os Utilizadores Geridos pela Empresa ativaram a GitHub Enterprise e configuraram o login com a SAML SSO através do seu inquilino AZure AD.

Nota

Esta integração também está disponível para usar a partir do ambiente cloud do governo dos EUA Azure AD. Você pode encontrar esta aplicação na Azure AD US Government Cloud Application Gallery e configurá-la da mesma forma que você faz a partir de nuvem pública.

Passo 1. Planear a sua implementação de aprovisionamento

  1. Saiba como funciona o serviço de aprovisionamento.
  2. Determine quem vai estar no âmbito do aprovisionamento.
  3. Determine quais os dados a mapear entre Azure AD e GitHub Enterprise Managed User.

Passo 2. Configure GitHub Enterprise Managed User para apoiar o provisionamento com Azure AD

  1. A URL do inquilino é https://api.github.com/scim/v2/enterprises/{enterprise}. Este valor será introduzido no campo URL do inquilino no separador De Provisioning da sua aplicação GitHub Enterprise Managed User no portal Azure.

  2. Como administrador gitHub Enterprise Managed navegue para o canto superior direito -> clique na sua foto de perfil -> em seguida, clique em Definições.

  3. Na barra lateral esquerda, clique nas definições do Desenvolvedor.

  4. Na barra lateral esquerda, clique em fichas de acesso pessoal.

  5. Clique Em Gerar novo token.

  6. Selecione o âmbito de administração:enterprise para este token.

  7. Clique em Gerar Token.

  8. Copie e guarde o símbolo secreto. Este valor será introduzido no campo Secret Token no separador Provisioning da sua aplicação GitHub Enterprise Managed User no portal Azure.

Adicione o GitHub Enterprise Managed User da galeria de aplicações Azure AD para começar a gerir o fornecimento ao Utilizador Gerido pela Empresa GitHub. Se tiver configurado previamente o GitHub Enterprise Managed User para SSO, pode utilizar a mesma aplicação. No entanto, é recomendável criar uma aplicação separada ao testar a integração inicialmente. Saiba mais sobre como adicionar uma aplicação a partir da galeria aqui.

Passo 4: Determinar quem vai estar no âmbito do aprovisionamento

O serviço de aprovisionamento do Azure AD permite-lhe determinar quem vai ser aprovisionado com base na atribuição à aplicação e/ou com base em atributos do utilizador/grupo. Se optar por determinar quem vai ser aprovisionado na sua aplicação com base na atribuição, pode utilizar os seguintes passos para atribuir utilizadores e grupos à aplicação. Se escolher determinar quem vai ser aprovisionado com base apenas em atributos do utilizador ou grupo, pode utilizar um filtro de âmbito conforme descrito aqui.

  • Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o âmbito está definido para todos os utilizadores e grupos, pode especificar um filtro de âmbito baseado em atributos.

  • Se precisar de funções adicionais, pode atualizar o manifesto de aplicação para adicionar novas funções.

Passo 5. Configure o fornecimento automático de utilizadores ao GitHub Enterprise Managed User

Esta secção guia-o através dos passos para configurar o serviço de fornecimento de AD Azure para criar, atualizar e desativar utilizadores e/ou grupos em TestApp com base em atribuições de utilizador e/ou grupo em Azure AD.

Para configurar o provisionamento automático do utilizador para o GitHub Enterprise Managed User em Azure AD:

  1. Inicie sessão no portal do Azure. Selecione Aplicações Empresariais e, em seguida, Todas as aplicações.

    Enterprise applications blade

  2. Na lista de aplicações, selecione GitHub Enterprise Managed User.

    The GitHub Enterprise Managed User link in the Applications list

  3. Selecione o separador Aprovisionamento.

    Provisioning tab

  4. Defina o Modo de Aprovisionamento como Automático.

    Provisioning tab automatic

  5. Na secção Credenciais de Administração , insira o SEU URSA de Inquilino de Utilizador Gerido pela Empresa GitHub e o Token Secreto. Clique em Testar A Ligação para garantir que o Azure AD pode ligar-se ao Utilizador Gerido pela Empresa GitHub. Se a ligação falhar, certifique-se de que a sua conta de Utilizador Gerido pela Empresa GitHub criou o símbolo secreto como proprietário da empresa e tente novamente.

    Token

  6. No campo E-mail de Notificação, introduza o endereço de e-mail de uma pessoa ou um grupo que deve receber as notificações de erro de aprovisionamento e marque a caixa de verificação Enviar uma notificação de e-mail quando ocorre uma falha.

    Notification Email

  7. Selecione Guardar.

  8. Na secção Mappings , selecione Synchronize Azure Ative Directory Users para GitHub Enterprise Managed User.

  9. Reveja os atributos do utilizador que são sincronizados de Azure AD para GitHub Enterprise Managed User na secção De mapeamento de atributos . Os atributos selecionados como propriedades de correspondência são utilizados para corresponder às contas de utilizador no GitHub Enterprise Managed User para operações de atualização. Se optar por alterar o atributo de alvo correspondente, terá de garantir que a API do utilizador gerido pela empresa GitHub suporta utilizadores filtrando utilizadores com base nesse atributo. Selecione o botão Guardar para escoar quaisquer alterações.

    Atributo Tipo Suportado para filtragem
    externalId String
    userName String
    active Booleano
    funções String
    displayName String
    name.givenName String
    name.familyName String
    nome.formatado String
    emails[type eq "work"].value String
    e-mails[tipo eq "casa"].valor String
    e-mails[tipo eq "outros"].valor String
  10. Na secção Mappings , selecione Synchronize Azure Ative Directory Groups para GitHub Enterprise Managed User.

  11. Reveja os atributos do grupo que são sincronizados de Azure AD para GitHub Enterprise Managed User na secção De mapeamento de atributos . Os atributos selecionados como propriedades de correspondência são utilizados para corresponder aos grupos do Utilizador Gerido pela Empresa GitHub para operações de atualização. Selecione o botão Guardar para escoar quaisquer alterações.

    Atributo Tipo Suportado para filtragem
    externalId String
    displayName String
    membros Referência
  12. Para configurar filtros de âmbito, veja as instruções seguintes disponibilizadas no Tutorial de filtro de âmbito.

  13. Para ativar o serviço de prestação de Ad Azure para o Utilizador Gerido pela Empresa GitHub, altere o Estado de Provisionamento para On na secção Definições .

    Provisioning Status Toggled On

  14. Defina os utilizadores e/ou grupos que deseja prestar ao Utilizador Gerido pela Empresa GitHub, escolhendo os valores pretendidos no Âmbito na secção Definições .

    Provisioning Scope

  15. Quando estiver pronto para aprovisionar, clique em Guardar.

    Saving Provisioning Configuration

Esta operação inicia o ciclo de sincronização inicial de todos os utilizadores e grupos definidos no Âmbito na secção Definições. O ciclo inicial leva mais tempo a ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de aprovisionamento do Azure AD esteja em execução.

Passo 6. Monitorizar a implementação

Depois de configurar o aprovisionamento, utilize os seguintes recursos para monitorizar a sua implementação:

  1. Utilize os registos de aprovisionamento para determinar quais os utilizadores que foram aprovisionados com ou sem êxito
  2. Verifique a barra de progresso para ver o estado do ciclo de aprovisionamento e quão próximo está da conclusão
  3. Se a configuração de aprovisionamento parecer estar num mau estado de funcionamento, a aplicação vai entrar em quarentena. Saiba mais sobre os estados de quarentena aqui.

Recursos adicionais

Passos seguintes