Configurare GitHub per il provisioning automatico degli utenti

L'obiettivo di questo articolo è illustrare i passaggi da eseguire in GitHub e Microsoft Entra ID per automatizzare il provisioning dell'appartenenza all'organizzazione GitHub Enterprise Cloud.

Nota

L'integrazione del provisioning di Microsoft Entra è basata sull'API SCIM di GitHub, disponibile per i clienti di GitHub Enterprise Cloud nel piano di fatturazione di GitHub Enterprise.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già presenti gli elementi seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • Amministratore di applicazioni
  • Amministratore di applicazioni cloud
  • proprietario dell'applicazione.

• Un'organizzazione GitHub creata in GitHub Enterprise Cloud, che richiede il piano di fatturazione GitHub Enterprise
• Account utente in GitHub con autorizzazioni di amministratore dell'organizzazione
• SAML configurato per l'organizzazione GitHub Enterprise Cloud
• Assicurarsi che sia stato fornito l'accesso OAuth per l'organizzazione, come descritto qui
• Il provisioning SCIM in una singola organizzazione è supportato solo quando SSO è abilitato a livello dell'organizzazione

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Assegnazione di utenti a GitHub

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Microsoft Entra ID usa il concetto delle "assegnazioni". Nel contesto del provisioning automatico degli account utente vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'organizzazione GitHub. Dopo averlo deciso, è possibile assegnare tali utenti seguendo le istruzioni riportate qui:

Per altre informazioni, vedere Assegnare un utente o un gruppo a un'app aziendale.

Suggerimenti importanti per l'assegnazione di utenti a GitHub

• È consigliabile assegnare un singolo utente di Microsoft Entra a GitHub per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

• Quando si assegna un utente a GitHub, è necessario selezionare il ruolo Utente o un altro ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione. Poiché il ruolo Accesso predefinito non è applicabile per il provisioning, i relativi utenti vengono ignorati.

Configurare il provisioning utenti su GitHub

Questa sezione ti guida nel collegare il tuo ID Microsoft Entra all'API di provisioning SCIM di GitHub per automatizzare il provisioning dei membri di un'organizzazione GitHub. Questa integrazione, che sfrutta un'app OAuth, aggiunge, gestisce e rimuove automaticamente l'accesso dei membri a un'organizzazione GitHub Enterprise Cloud in base all'assegnazione di utenti e gruppi in Microsoft Entra ID. Quando viene effettuato il provisioning degli utenti in un'organizzazione GitHub tramite SCIM, viene inviato un invito tramite posta elettronica all'indirizzo di posta elettronica dell'utente.

Configurare il provisioning automatico degli account utente su GitHub in Microsoft Entra ID

1. Accedere al Centro di amministrazione di Microsoft Entra almeno come Amministratore delle applicazioni cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Se hai già configurato GitHub per l'accesso Single Sign-On, cerca la tua istanza di GitHub usando il campo di ricerca.

4. Selezionare l'istanza di GitHub, poi selezionare la scheda Provisioning.

5. Impostare Modalità di provisioning su Automatico.

6. Nel portale di Azure, immettere lo URL tenant e fare clic su Testa connessione per verificare che Microsoft Entra ID possa connettersi alla tua organizzazione GitHub. Se la connessione non riesce, verificare che l'account GitHub abbia le autorizzazioni di amministratore e che l'URL tenant sia stato inserito correttamente, quindi provare a eseguire di nuovo il passaggio per l'autorizzazione. È possibile calcolare l'URL tenant seguendo la regola: https://api.github.com/scim/v2/organizations/<Organization_name>. È possibile individuare le organizzazioni nell'account GitHub in Impostazioni>Organizzazioni.

   

7. Nella sezione Credenziali amministratore fare clic su Autorizza. Viene aperta una finestra di dialogo di autorizzazione di GitHub in una nuova finestra del browser. Si assicuri di essere approvato per autorizzare l'accesso. Seguire le istruzioni descritte qui.

   

8. Nella nuova finestra accedere a GitHub con l'account di amministratore. Nella finestra di dialogo di autorizzazione risultante selezionare l'organizzazione di GitHub per cui si vuole abilitare il provisioning e quindi Autorizza. Al termine, tornare al portale di Azure per completare la configurazione del provisioning.

   

9. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo "Invia una notifica di posta elettronica in caso di errore".

10. Fare clic su Salva.

11. Nella sezione Mapping selezionare Sincronizza utenti di Microsoft Entra in GitHub.

12. Nella sezione Mapping degli attributi, esamina gli attributi utente sincronizzati da Microsoft Entra ID a GitHub. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in GitHub per le operazioni di aggiornamento. Non abilitare l'impostazione Precedenza abbinamento per gli altri attributi predefiniti nella sezione Provisioning perché potrebbero verificarsi errori. Selezionare Salva per eseguire il commit delle modifiche.

13. Per abilitare il servizio di provisioning di Microsoft Entra per GitHub, impostare Stato del provisioning su Sì nella sezione Impostazioni.

14. Fare clic su Salva.

L'operazione avvia la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a GitHub nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai log delle attività di provisioning che descrivono tutte le azioni eseguite dal servizio di provisioning.

Per altre informazioni sulla lettura dei registri di provisioning di Microsoft Entra, vedere Creazione di report sul provisioning automatico degli account utente.

Risorse aggiuntive

• Gestione del provisioning degli account utente per le App aziendali
• Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?

Contenuto correlato

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning