Руководство по настройке GitHub для автоматической подготовки пользователей

Цель этого руководства — показать действия, которые необходимо выполнить в GitHub и идентификаторе Microsoft Entra для автоматизации подготовки членства в организации GitHub Enterprise Cloud.

Примечание.

Интеграция подготовки Microsoft Entra зависит от API SCIM GitHub, который доступен клиентам GitHub Enterprise Cloud в плане выставления счетов GitHub Enterprise.

Необходимые компоненты

Сценарий, описанный в этом учебнике, предполагает, что у вас уже имеется:

• Клиент Microsoft Entra
• Организация GitHub, созданная в облаке GitHub Enterprise, которой требуется план выставления счетов GitHub Enterprise.
• Учетная запись пользователя в GitHub с разрешениями администратора организации.
• SAML с конфигурацией для организации GitHub Enterprise Cloud.
• Убедитесь, что вашей организации предоставлен доступ OAuth, как описано здесь.
• Подготовка SCIM для одной организации поддерживается, только если единый вход включен на уровне организации.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Назначение пользователей в GitHub

Идентификатор Microsoft Entra использует концепцию "назначения", чтобы определить, какие пользователи должны получать доступ к выбранным приложениям. В контексте автоматической подготовки учетных записей пользователей синхронизируются только пользователи и группы, которые были "назначены" приложению в идентификаторе Microsoft Entra ID.

Перед настройкой и включением службы подготовки необходимо решить, какие пользователи и (или) группы в идентификаторе Microsoft Entra представляют пользователей, которым требуется доступ к вашей организации GitHub. После решения вы можете назначить этих пользователей, выполнив следующие инструкции:

Дополнительные сведения о назначении корпоративному приложению пользователя или группы см. в этой статье.

Важные советы по назначению пользователей в GitHub

• Рекомендуется назначить одного пользователя Microsoft Entra GitHub для проверки конфигурации подготовки. Дополнительные пользователи и/или группы можно назначить позднее.

• При назначении пользователя в GitHub в диалоговом окне назначения необходимо выбрать роль пользователя или другую действительную роль для конкретного приложения (если доступно). Роль Доступ по умолчанию не подходит для подготовки, и эти пользователи пропускаются.

Настройка подготовки учетных записей пользователей в GitHub

В этом разделе описано, как подключить идентификатор Microsoft Entra к API подготовки SCIM GitHub для автоматизации подготовки членства в организации GitHub. Эта интеграция, которая использует приложение OAuth, автоматически добавляет, управляет и удаляет доступ участников к организации GitHub Enterprise Cloud на основе назначения пользователей и групп в идентификаторе Microsoft Entra ID. При подготовке пользователей к работе в организации GitHub через SCIM приглашения по электронной почте рассылаются на адреса электронной почты пользователей.

Настройка автоматической подготовки учетных записей пользователей в GitHub в идентификаторе Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям Identity>Applications>Enterprise.

3. Если в GitHub уже настроен единый вход, найдите свой экземпляр GitHub с помощью поля поиска.

4. Выберите экземпляр GitHub, а затем перейдите на вкладку Подготовка.

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

6. В портал Azure введите URL-адрес клиента и щелкните "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к организации GitHub. Если подключение завершается ошибкой, убедитесь, что у вашей учетной записи GitHub есть разрешения администратора, а URL-адрес клиента введен правильно, а затем повторите шаг "Авторизовать" (вы можете создать URL-адрес клиента по правилу: https://api.github.com/scim/v2/organizations/<Organization_name>вы можете найти организации в учетной записи GitHub: Settings>Organizations).

   

7. В разделе Учетные данные администратора щелкните Авторизовать. В новом окне браузера откроется диалоговое окно авторизации GitHub. Вам нужно убедиться, что вы утверждены для авторизации доступа. Следуйте инструкциям, описанным здесь.

   

8. В новом окне войдите в GitHub с использованием учетной записи администратора. В результирующем диалоговом окне авторизации выберите организацию GitHub, для которой требуется включить подготовку, а затем нажмите кнопку "Авторизовать". После завершения вернитесь на портал Azure для завершения настройки подготовки.

   

9. В поле Почтовое уведомление введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок "Отправить уведомление по электронной почте при сбое".

10. Нажмите кнопку Сохранить.

11. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с GitHub.

12. В разделе "Сопоставления атрибутов" просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с GitHub. Атрибуты, выбранные как свойства Matching, используются для сопоставления учетных записей пользователей в GitHub для операций обновления. Не включите параметр приоритета сопоставления для других атрибутов по умолчанию в разделе подготовки , так как могут возникнуть ошибки. Чтобы зафиксировать изменения, щелкните Сохранить.

13. Чтобы включить службу подготовки Microsoft Entra для GitHub, измените состояние подготовки на "Включено" в разделе "Параметры".

14. Нажмите кнопку Сохранить.

После этого начнется начальная синхронизация всех пользователей и (или) групп, назначенных в GitHub в разделе "Пользователи и группы". Начальная синхронизация занимает больше времени, чем последующие операции синхронизации. Если служба запущена, они выполняются примерно каждые 40 минут. В разделе Сведения о синхронизации можно отслеживать ход выполнения и переходить по ссылкам для просмотра журналов действий по подготовке, в которых зафиксированы все действия, выполняемые службой подготовки.

Дополнительные сведения о том, как читать журналы подготовки Microsoft Entra, см. в разделе "Отчеты о автоматической подготовке учетных записей пользователей".

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке