Tutorial: Configurar o GitHub para provisionamento automático de usuários
O objetivo deste tutorial é mostrar as etapas que você precisa executar no GitHub e no Microsoft Entra ID para automatizar o provisionamento da associação à organização do GitHub Enterprise Cloud.
Nota
A integração de provisionamento do Microsoft Entra depende da API SCIM do GitHub, que está disponível para clientes do GitHub Enterprise Cloud no plano de faturamento do GitHub Enterprise.
Pré-requisitos
O cenário descrito neste tutorial pressupõe que já tem os seguintes itens:
- Um inquilino do Microsoft Entra
- Uma organização do GitHub criada no GitHub Enterprise Cloud, que requer o plano de faturamento do GitHub Enterprise
- Uma conta de usuário no GitHub com permissões de administrador para a organização
- SAML configurado para a organização do GitHub Enterprise Cloud
- Certifique-se de que o acesso OAuth foi fornecido para sua organização, conforme descrito aqui
- O provisionamento SCIM para uma única organização é suportado somente quando o SSO está habilitado no nível da organização
Nota
Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.
Atribuindo usuários ao GitHub
O Microsoft Entra ID usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso a aplicativos selecionados. No contexto do provisionamento automático de conta de usuário, somente os usuários e grupos que foram "atribuídos" a um aplicativo no Microsoft Entra ID são sincronizados.
Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Microsoft Entra ID representam os usuários que precisam acessar sua Organização GitHub. Uma vez decidido, você pode atribuir esses usuários seguindo as instruções aqui:
Para obter mais informações, consulte Atribuir um usuário ou grupo a um aplicativo empresarial.
Dicas importantes para atribuir usuários ao GitHub
Recomendamos que você atribua um único usuário do Microsoft Entra ao GitHub para testar a configuração de provisionamento. Usuários e/ou grupos adicionais podem ser atribuídos posteriormente.
Ao atribuir um usuário ao GitHub, você deve selecionar a função Usuário ou outra função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. A função Acesso Padrão não funciona para provisionamento e esses usuários são ignorados.
Configurando o provisionamento de usuários para o GitHub
Esta seção orienta você na conexão de sua ID do Microsoft Entra à API de provisionamento SCIM do GitHub para automatizar o provisionamento da associação à organização do GitHub. Essa integração, que aproveita um aplicativo OAuth, adiciona, gerencia e remove automaticamente o acesso dos membros a uma organização do GitHub Enterprise Cloud com base na atribuição de usuários e grupos no Microsoft Entra ID. Quando os usuários são provisionados para uma organização do GitHub via SCIM, um convite por e-mail é enviado para o endereço de e-mail do usuário.
Configurar o provisionamento automático de conta de usuário para o GitHub no Microsoft Entra ID
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Se você já configurou o GitHub para logon único, procure sua instância do GitHub usando o campo de pesquisa.
Selecione sua instância do GitHub e, em seguida, selecione a guia Provisionamento .
Defina o Modo de Aprovisionamento como Automático.
No portal do Azure, insira a URL do Locatário e clique em Testar Conexão para garantir que o Microsoft Entra ID possa se conectar à sua Organização do GitHub. Se a conexão falhar, verifique se sua conta do GitHub tem permissões de administrador e a URL do locatário foi inserida corretamente e, em seguida, tente a etapa "Autorizar" novamente (você pode constituir a URL do locatário por regra:
https://api.github.com/scim/v2/organizations/<Organization_name>
, você pode encontrar suas organizações em sua conta do GitHub: Configurações>de organizações).Na secção Credenciais de Administrador, clique em Autorizar. Esta operação abre uma caixa de diálogo de autorização do GitHub em uma nova janela do navegador. Observe que você precisa garantir que está aprovado para autorizar o acesso. Siga as instruções descritas aqui.
Na nova janela, faça login no GitHub usando sua conta de administrador. Na caixa de diálogo de autorização resultante, selecione a Organização GitHub para a qual você deseja habilitar o provisionamento e selecione Autorizar. Depois de concluído, regresse ao portal do Azure para concluir a configuração do aprovisionamento.
Digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento no campo Email de notificação e marque a caixa de seleção "Enviar uma notificação por e-mail quando ocorrer uma falha".
Clique em Guardar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o GitHub.
Na seção Mapeamentos de Atributos, revise os atributos de usuário sincronizados do ID do Microsoft Entra para o GitHub. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no GitHub para operações de atualização. Não habilite a configuração Precedência correspondente para os outros atributos padrão na seção Provisionamento porque podem ocorrer erros. Selecione Salvar para confirmar as alterações.
Para habilitar o serviço de provisionamento do Microsoft Entra para o GitHub, altere o Status de provisionamento para Ativado na seção Configurações.
Clique em Guardar.
Esta operação inicia a sincronização inicial de quaisquer usuários e/ou grupos atribuídos ao GitHub na seção Usuários e Grupos. A sincronização inicial leva mais tempo para ser executada do que as sincronizações subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço estiver em execução. Você pode usar a seção Detalhes da sincronização para monitorar o progresso e seguir os links para logs de atividades de provisionamento, que descrevem todas as ações executadas pelo serviço de provisionamento.
Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, consulte Relatórios sobre provisionamento automático de conta de usuário.
Recursos adicionais
- Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?