Настройка GitHub для автоматического управления учетными записями пользователей в Microsoft Entra ID

Цель этой статьи — показать вам шаги, которые необходимо выполнить в GitHub и Microsoft Entra ID для автоматизации предоставления членства в организации GitHub Enterprise Cloud.

Примечание.

Интеграция предоставления Microsoft Entra использует SCIM API GitHub, который доступен клиентам GitHub Enterprise Cloud в рамках тарифного плана GitHub Enterprise.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие элементы:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Организация GitHub, созданная в облаке GitHub Enterprise, которой требуется план выставления счетов GitHub Enterprise.
• Учетная запись пользователя в GitHub с разрешениями администратора организации.
• SAML настроен для организации GitHub Enterprise Cloud.
• Убедитесь, что вашей организации предоставлен доступ OAuth, как описано здесь.
• Provisioning SCIM в одну организацию поддерживается только при включенном SSO на уровне организации.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Назначение пользователей в GitHub

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматического предоставления учетных записей пользователей синхронизируются только те пользователи и группы, которые были "назначены" приложению в Microsoft Entra ID.

Перед настройкой и включением службы подготовки необходимо решить, какие пользователи и (или) группы в идентификаторе Microsoft Entra представляют пользователей, которым требуется доступ к вашей организации GitHub. После решения вы можете назначить этих пользователей, выполнив следующие инструкции:

Дополнительные сведения см. в статье Назначение пользователя или группы корпоративному приложению.

Важные советы по назначению пользователей в GitHub

• Мы рекомендуем назначить одного пользователя Microsoft Entra для проверки конфигурации подготовки в GitHub. Дополнительные пользователи и/или группы можно назначить позднее.

• При назначении пользователя в GitHub в диалоговом окне назначения необходимо выбрать роль пользователя или другую действительную роль для конкретного приложения (если доступно). Роль Default Access не работает для предоставления доступа, и эти пользователи пропускаются.

Настройка предоставления учетных записей пользователей в GitHub

В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки SCIM GitHub для автоматизации подготовки членства в организации GitHub. Эта интеграция, которая использует приложение OAuth, автоматически добавляет, управляет и удаляет доступ участников к организации GitHub Enterprise Cloud на основе назначения пользователей и групп в идентификаторе Microsoft Entra ID. При подготовке пользователей к работе в организации GitHub через SCIM приглашения по электронной почте рассылаются на адреса электронной почты пользователей.

Настройка автоматического создания учетных записей пользователей в GitHub в Microsoft Entra ID

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий.

3. Если в GitHub уже настроен единый вход, найдите вашу инстанцию GitHub, воспользовавшись полем поиска.

4. Выберите экземпляр GitHub, а затем перейдите на вкладку Подготовка.

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

6. На портале Azure введите URL-адрес клиента и выберите проверить подключение, чтобы убедиться, что идентификатор Microsoft Entra может подключиться к организации GitHub. Если подключение завершается ошибкой, убедитесь, что у вашей учетной записи GitHub есть разрешения администратора, а URL-адрес Tenant введен правильно, затем повторите шаг "Авторизовать" (вы можете составить URL-адрес Tenant по правилу: https://api.github.com/scim/v2/organizations/<Organization_name> вы можете найти свои организации в учетной записи GitHub: Settings>Organizations).

   

7. В разделе "Учетные данные администратора" выберите "Авторизовать". В новом окне браузера откроется диалоговое окно авторизации GitHub. Обратите внимание, что необходимо убедиться, что вы утверждены для авторизации доступа. Следуйте инструкциям, описанным здесь.

   

8. В новом окне войдите в GitHub с использованием учетной записи администратора. В результирующем диалоговом окне авторизации выберите организацию GitHub, для которой требуется включить подготовку, а затем нажмите кнопку "Авторизовать". После завершения вернитесь на портал Azure для завершения настройки подготовки.

   

9. В поле Почтовое уведомление введите адрес электронной почты человека или группы, которые должны получать уведомления о провизионных ошибках, и установите флажок "Отправить уведомление по электронной почте при сбое".

10. Нажмите кнопку "Сохранить".

11. В разделе "Сопоставления" выберите «Синхронизировать пользователей Microsoft Entra с GitHub».

12. В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с GitHub. Атрибуты, выбранные как свойства Matching, используются для сопоставления учетных записей пользователей в GitHub для операций обновления. Не включайте настройку соответствия приоритета для других атрибутов по умолчанию в разделе Настройки, так как могут возникнуть ошибки. Чтобы зафиксировать изменения, щелкните Сохранить.

13. Чтобы включить службу подготовки Microsoft Entra для GitHub, измените состояние подготовки на "Включено" в разделе "Параметры".

14. Нажмите кнопку "Сохранить".

После этого начнется начальная синхронизация всех пользователей и (или) групп, назначенных в GitHub в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий по подготовке, в которых зафиксированы все действия, выполняемые службой подготовки.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о действиях по предоставлению