Tutorial: Configurar o GitHub para provisionamento automático de usuários

O objetivo deste tutorial é mostrar as etapas que você precisa executar no GitHub e no Microsoft Entra ID para automatizar o provisionamento da associação à organização do GitHub Enterprise Cloud.

Nota

A integração de provisionamento do Microsoft Entra depende da API SCIM do GitHub, que está disponível para clientes do GitHub Enterprise Cloud no plano de faturamento do GitHub Enterprise.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que já tem os seguintes itens:

Nota

Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.

Atribuindo usuários ao GitHub

O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam acessar seu aplicativo GitHub. Uma vez decidido, você pode atribuir esses usuários ao seu aplicativo GitHub seguindo as instruções aqui:

Para obter mais informações, consulte Atribuir um usuário ou grupo a um aplicativo empresarial.

Dicas importantes para atribuir usuários ao GitHub

  • Recomendamos que você atribua um único usuário do Microsoft Entra ao GitHub para testar a configuração de provisionamento. Usuários e/ou grupos adicionais podem ser atribuídos posteriormente.

  • Ao atribuir um usuário ao GitHub, você deve selecionar a função Usuário ou outra função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. A função Acesso Padrão não funciona para provisionamento e esses usuários são ignorados.

Configurando o provisionamento de usuários para o GitHub

Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento SCIM do GitHub para automatizar o provisionamento da associação à organização do GitHub. Essa integração, que aproveita um aplicativo OAuth, adiciona, gerencia e remove automaticamente o acesso dos membros a uma organização do GitHub Enterprise Cloud com base na atribuição de usuários e grupos no Microsoft Entra ID. Quando os usuários são provisionados para uma organização do GitHub via SCIM, um convite por e-mail é enviado para o endereço de e-mail do usuário.

Configurar o provisionamento automático de conta de usuário para o GitHub no Microsoft Entra ID

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. Se você já configurou o GitHub para logon único, procure sua instância do GitHub usando o campo de pesquisa. Caso contrário, selecione Adicionar e procure GitHub na galeria de aplicativos. Selecione GitHub nos resultados da pesquisa e adicione-o à sua lista de aplicativos.

  4. Selecione sua instância do GitHub e, em seguida, selecione a guia Provisionamento .

  5. Defina o Modo de Aprovisionamento como Automático.

    GitHub Provisioning

  6. Na secção Credenciais de Administrador, clique em Autorizar. Esta operação abre uma caixa de diálogo de autorização do GitHub em uma nova janela do navegador. Observe que você precisa garantir que está aprovado para autorizar o acesso. Siga as instruções descritas aqui.

  7. Na nova janela, faça login no GitHub usando sua conta de administrador. Na caixa de diálogo de autorização resultante, selecione a equipe do GitHub para a qual você deseja habilitar o provisionamento e selecione Autorizar. Depois de concluído, regresse ao portal do Azure para concluir a configuração do aprovisionamento.

    Screenshot shows the sign-in page for GitHub.

  8. No portal do Azure, insira a URL do Locatário e clique em Testar Conexão para garantir que a ID do Microsoft Entra possa se conectar ao seu aplicativo GitHub. Se a conexão falhar, verifique se sua conta do GitHub tem permissões de administrador e se o URl do locatário foi inserido corretamente e, em seguida, tente a etapa "Autorizar" novamente (você pode constituir URL do locatário por regra: , você pode encontrar suas organizações em sua conta do GitHub: https://api.github.com/scim/v2/organizations/<Organization_name>Configurações>de Organizações).

    Screenshot shows Organizations page in GitHub.

  9. Digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento no campo Email de notificação e marque a caixa de seleção "Enviar uma notificação por e-mail quando ocorrer uma falha".

  10. Clique em Guardar.

  11. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o GitHub.

  12. Na seção Mapeamentos de Atributos, revise os atributos de usuário sincronizados do ID do Microsoft Entra para o GitHub. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no GitHub para operações de atualização. Não habilite a configuração Precedência correspondente para os outros atributos padrão na seção Provisionamento porque podem ocorrer erros. Selecione Salvar para confirmar as alterações.

  13. Para habilitar o serviço de provisionamento do Microsoft Entra para o GitHub, altere o Status de provisionamento para Ativado na seção Configurações.

  14. Clique em Guardar.

Esta operação inicia a sincronização inicial de quaisquer usuários e/ou grupos atribuídos ao GitHub na seção Usuários e Grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução. Você pode usar a seção Detalhes da Sincronização para monitorar o progresso e seguir os links para logs de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.

Recursos adicionais

Próximos passos