Esercitazione: Configurare GitHub Enterprise Managed User per il provisioning utenti automatico

Questa esercitazione descrive i passaggi da eseguire sia in GitHub Enterprise Managed User che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in GitHub Enterprise Managed User usando il servizio di provisioning Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Nota

GitHub Enterprise Managed User (EMU) è un tipo diverso di account GitHub Enteprise. Se non è stata richiesta specificamente un'istanza EMU, si dispone di un account GitHub Enterprise standard. In tal caso, fare riferimento alla documentazione per configurare il provisioning utenti nell'organizzazione non EMU. Il provisioning utenti non è supportato per gli account GitHub Enteprise standard, ma è supportato per le organizzazioni con GitHub Enterprise Managed User (EMU).

Funzionalità supportate

• Creare utenti in GitHub Enterprise Managed User
• Rimuovere gli utenti in GitHub Enterprise Managed User quando non richiedono più l'accesso
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e GitHub Enterprise Managed User
• Effettuare il provisioning di gruppi e appartenenze a gruppi in GitHub Enterprise Managed User
• Accesso Single Sign-On a GitHub Enterprise Managed User (scelta consigliata)

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

• Un tenant di Microsoft Entra
• Uno dei ruoli seguenti: Amministratore applicazione, Amministratore applicazione cloud o Proprietario dell'applicazione.
• Gli utenti gestiti dell'organizzazione hanno abilitato GitHub Enterprise e hanno configurato l'opzione di accesso con SAML SSO tramite il tenant di Microsoft Entra.

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Passaggio 1: Pianificare la distribuzione del provisioning

1. Vedere le informazioni su come funziona il servizio di provisioning.
2. Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.
3. Determinare i dati da mappare tra Microsoft Entra ID e GitHub Enterprise Managed User.

Passaggio 2: Preparare il provisioning con Microsoft Entra ID

1. Identificare l'URL del tenant. Questo è il valore immesso nel campo URL tenant nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise.

   • Per un'azienda in GitHub.com, l'URL del tenant è https://api.github.com/scim/v2/enterprises/{enterprise}.
   • Per un'azienda in GHE.com, l'URL del tenant è https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain}

2. Assicurarsi di aver creato un token con l'ambito scim:enterprise per l'utente di configurazione dell'organizzazione. Questo valore viene immesso nel campo Token segreto nella scheda Provisioning dell'applicazione Utente gestito di GitHub Enterprise. Vedere Introduzione agli utenti gestiti dell'organizzazione in GitHub Docs.

Passaggio 3: Aggiungere GitHub Enterprise Managed User dalla raccolta di applicazioni Microsoft Entra

Aggiungere GitHub Enterprise Managed User dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in GitHub Enterprise Managed User. Se GitHub Enterprise Managed User è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Si consiglia però di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 4: definire chi sarà nell'ambito del provisioning

Il servizio di provisioning di Microsoft Entra consente di definire l'ambito per gli utenti di cui verrà eseguito il provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning per l'app in base all'assegnazione, è possibile seguire questa procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

• Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

• Se sono necessari altri ruoli è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning utenti automatico in GitHub Enterprise Managed User

Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per GitHub Enterprise Managed User in Microsoft Entra ID:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Identità>Applicazioni>Applicazioni enterprise

   

3. Nell'elenco delle applicazioni selezionare GitHub Enterprise Managed User.

   

4. Selezionare la scheda Provisioning.

   

5. Impostare Modalità di provisioning su Automatico.

   

6. Nella sezione Credenziali amministratore immettere l'URL del tenant e il token segreto di GitHub Enterprise Managed User. Fare clic su Verifica connessione per verificare che Microsoft Entra ID possa connettersi a GitHub Enterprise Managed User. Se la connessione non riesce, verificare che l'account GitHub Enterprise Managed User abbia creato il token segreto come proprietario dell'organizzazione e riprovare.

   

7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

8. Seleziona Salva.

9. Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra con GitHub Enterprise Managed User.

10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub Enterprise Managed User per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API utente gestita di GitHub Enterprise supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro
    externalId	String	✓
    userName	String
    active	Booleano
    ruoli.	String
    displayName	String
    name.givenName	String
    name.familyName	String
    name.formatted	String
    emails[type eq "work"].value	String
    emails[type eq "home"].value	String
    emails[type eq "other"].value	String

11. Nella sezione Mapping selezionare Sincronizza gruppi di Microsoft Entra con GitHub Enterprise Managed User.

12. Esaminare gli attributi di gruppo sincronizzati da Microsoft Entra ID a GitHub Enterprise Managed User nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in GitHub Enterprise Managed User per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro
    externalId	String	✓
    displayName	String
    membri	Riferimento

13. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.

14. Per abilitare il servizio di provisioning di Microsoft Entra per GitHub Enterprise Managed User, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    

15. Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in GitHub Enterprise Managed User selezionando i valori desiderati in Ambito nella sezione Impostazioni.

    

16. Quando si è pronti per effettuare il provisioning, fare clic su Salva.

    

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 6: monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
2. Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
3. Se la configurazione del provisioning appare in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Altre risorse

• Gestione del provisioning degli account utente per app aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Passaggi successivi

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning