Esercitazione: Configurare GitHub Enterprise Managed User (OIDC) per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire sia in GitHub Enterprise Managed User (OIDC) che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in GitHub Enterprise Managed User (OIDC) usando il servizio di provisioning Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.
Nota
GitHub Enterprise Managed User (EMU) è un tipo diverso di account GitHub Enteprise. Se non è stata richiesta specificamente un'istanza EMU, si dispone di un account GitHub Enterprise standard. In tal caso, fare riferimento alla documentazione per configurare il provisioning utenti nell'organizzazione non EMU. Il provisioning utenti non è supportato per gli account GitHub Enterprise standard, ma è supportato per le organizzazioni con l'account GitHub Enterprise standard.
Funzionalità supportate
- Creare utenti in GitHub Enterprise Managed User (OIDC)
- Rimuovere gli utenti in GitHub Enterprise Managed User (OIDC) quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e GitHub Enterprise Managed User (OIDC)
- Effettuare il provisioning di gruppi e appartenenze a gruppi in GitHub Enterprise Managed User (OIDC)
- Accesso Single Sign-On a GitHub Enterprise Managed User (OIDC) (scelta consigliata).
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
- È stato abilitato e configurato Enterprise Managed Users GitHub Enterprise per accedere con OIDC SSO tramite il tenant di Microsoft Entra.
Nota
Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.
Passaggio 1: Pianificare la distribuzione del provisioning
- Vedere le informazioni su come funziona il servizio di provisioning.
- Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.
- Determinare i dati da mappare tra Microsoft Entra ID e GitHub Enterprise Managed User.
Passaggio 2: Preparare il provisioning con Microsoft Entra ID
Identificare l'URL del tenant. Questo è il valore immesso nel campo URL tenant nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise.
- Per un'azienda in GitHub.com, l'URL del tenant è
https://api.github.com/scim/v2/enterprises/{enterprise}
. - Per un'azienda in GHE.com, l'URL del tenant è
https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain}
- Per un'azienda in GitHub.com, l'URL del tenant è
Assicurarsi di aver creato un token con l'ambito scim:enterprise per l'utente di configurazione dell'organizzazione. Questo valore viene immesso nel campo Token segreto nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise. Vedere Introduzione agli utenti gestiti dell'organizzazione in GitHub Docs.
Passaggio 3: aggiungere GitHub Enterprise Managed User (OIDC) dalla raccolta di applicazioni Microsoft Entra
Aggiungere GitHub Enterprise Managed User (OIDC) dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in GitHub Enterprise Managed User (OIDC). Se GitHub Enterprise Managed User (OIDC) è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Si consiglia però di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: definire chi sarà nell'ambito del provisioning
Il servizio di provisioning di Microsoft Entra consente di definire l'ambito per gli utenti di cui verrà eseguito il provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning per l'app in base all'assegnazione, è possibile seguire questa procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari altri ruoli è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: configurare il provisioning utenti automatico in GitHub Enterprise Managed User (OIDC)
Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Per configurare il provisioning utenti automatico per GitHub Enterprise Managed User (OIDC) in Microsoft Entra ID:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Identità>Applicazioni>Applicazioni enterprise
Nell'elenco delle applicazioni selezionare GitHub Enterprise Managed User (OIDC).
Selezionare la scheda Provisioning.
Impostare Modalità di provisioning su Automatico.
Nella sezione Credenziali amministratore immettere l'URL del tenant e il token segreto di GitHub Enterprise Managed User (OIDC). Fare clic su Verifica connessione per verificare che Microsoft Entra ID possa connettersi a GitHub Enterprise Managed User (OIDC). Se la connessione non riesce, verificare che l'account GitHub Enterprise Managed User (OIDC) abbia creato il token segreto come proprietario dell'organizzazione e riprovare.
Per "URL tenant", digitare l'URL del tenant identificato in precedenza.
Ad esempio, se l'URL dell'account aziendale è https://github.com/enterprises/octo-corp, il nome dell'account aziendale è octo-corp.
Per "Token segreto", incollare il token di accesso personale gitHub creato in precedenza.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra con GitHub Enterprise Managed User (OIDC).
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User (OIDC) nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub Enterprise Managed User (OIDC) per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API OIDC (GitHub Enterprise Managed User) supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type Supportato per il filtro externalId String ✓ userName String active Booleano ruoli. String displayName String name.givenName String name.familyName String name.formatted String emails[type eq "work"].value String emails[type eq "home"].value String emails[type eq "other"].value String Nella sezione Mapping selezionare Sincronizza gruppi di Microsoft Entra con GitHub Enterprise Managed User (OIDC).
Esaminare gli attributi di gruppo sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User (OIDC) nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in GitHub Enterprise Managed User (OIDC) per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type Supportato per il filtro externalId String ✓ displayName String membri Riferimento Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per GitHub Enterprise Managed User (OIDC), impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in GitHub Enterprise Managed User (OIDC) selezionando i valori desiderati in Ambito nella sezione Impostazioni.
Quando si è pronti per effettuare il provisioning, fare clic su Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Passaggio 6: monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
- Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
- Se la configurazione del provisioning appare in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.
Altre risorse
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?