Synchronisation d’une équipe avec un groupe de fournisseurs d’identité

Vous pouvez synchroniser une équipe GitHub avec un groupe de fournisseurs d'identité (IdP) pris en charge pour ajouter et supprimer automatiquement des membres de l'équipe.

Qui peut utiliser cette fonctionnalité ?

Organization owners can synchronize a GitHub team with an IdP group.

Dans cet article

Note

Si votre entreprise utilise Enterprise Managed Users, vous n’avez pas besoin d’utiliser la synchronisation d’équipe. À la place, vous pouvez gérer l’appartenance à l’équipe via la configuration SCIM que vous avez créée lors de la configuration de votre entreprise. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité ».

À propos de la synchronisation d’équipe

Si la synchronisation d’équipe est activée pour votre compte d’entreprise ou d’organisation, vous pouvez synchroniser une équipe GitHub avec un groupe IdP. Lorsque vous synchronisez une équipe GitHub avec un groupe d’IdP, les modifications d’appartenance apportées au groupe d’IdP se répercutent automatiquement sur GitHub Enterprise Cloud, ce qui réduit le besoin de mises à jour manuelles et de scripts personnalisés. Pour plus d’informations, consultez Gestion de la synchronisation des équipes pour votre organisation et Gestion de la synchronisation d’équipe pour les organisations de votre entreprise.

Vous pouvez connecter jusqu'à cinq groupes IdP à une équipe GitHub Vous pouvez affecter un groupe IdP à plusieurs GitHub équipes.

La synchronisation d’équipe ne prend pas en charge les groupes de fournisseurs d’identité comptant plus de 5 000 membres.

Une fois qu’une équipe GitHub est connectée à un groupe de fournisseurs d’identité, votre administrateur de fournisseur d’identité doit apporter des modifications d’appartenance à l’équipe via le fournisseur d’identité. Vous ne pouvez pas gérer l'appartenance à une équipe sur GitHub ou en utilisant l'API.

Si votre organisation appartient à un compte d’entreprise, l’activation de la synchronisation d’équipe pour le compte d’entreprise remplacera les paramètres de synchronisation d’équipe au niveau de l’organisation. Pour plus d’informations, consultez « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

La synchronisation d’équipe n’est pas un service d’attribution d’utilisateurs. Dans la plupart des cas, elle n’invite pas les non-membres à rejoindre des organisations. Cela signifie qu’un utilisateur est ajouté avec succès à une équipe uniquement s’il est déjà membre de l’organisation. Toutefois, vous pouvez également autoriser la synchronisation d’équipe à réinviter des utilisateurs qui étaient précédemment membres de l’organisation et qui ont été supprimés. Pour plus d’informations, consultez Gestion de la synchronisation des équipes pour votre organisation et Gestion de la synchronisation d’équipe pour les organisations de votre entreprise.

Tous les changements de membres de l'équipe effectués par votre IdP apparaîtront dans le journal d'audit sur GitHub comme des changements effectués par le robot de synchronisation de l'équipe. La synchronisation d'équipe récupérera les informations de groupe de votre IdP au moins une fois par heure, et reflétera tout changement dans l'appartenance à un groupe IdP dans GitHub. La connexion d’une équipe à un groupe de fournisseurs d’identité peut avoir pour effet de supprimer certains membres de l’équipe. Pour plus d’informations, consultez Conditions requises pour les membres d’équipes synchronisées.

Des équipes parentes ne peuvent pas se synchroniser avec des groupes de fournisseurs d’identité. Si l’équipe que vous souhaitez connecter à un groupe de fournisseurs d’identité est une équipe parente, nous vous recommandons de créer une équipe ou de supprimer les relations imbriquées qui font de votre équipe une équipe parente. Pour plus d’informations, consultez À propos des équipes, Création d’une équipe et Déplacement d’une équipe dans la hiérarchie de votre organisation.

Pour gérer l'accès au référentiel pour n'importe quelle équipe GitHub, y compris les équipes connectées à un groupe IdP, vous devez effectuer des modifications avec GitHub. Pour plus d’informations, consultez « À propos des équipes » et « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».

Vous pouvez également gérer la synchronisation d’équipe avec l’API. Pour plus d’informations, consultez « Points de terminaison d’API REST pour la synchronisation d’équipe ».

Conditions requises pour les membres d’équipes synchronisées

Après avoir connecté une équipe à un groupe IdP, la synchronisation d'équipe ajoutera chaque membre du groupe IdP à l'équipe correspondante sur GitHub uniquement si :

  • Si la synchronisation d'équipe n'est pas autorisée à inviter des non-membres dans votre organisation, la personne est déjà membre de l'organisation sur GitHub.
  • La personne s'est déjà connectée avec son compte personnel sur GitHub et s'est authentifiée au moins une fois sur le compte de l'organisation ou de l'entreprise via l'authentification unique SAML.
  • L’identité SSO de la personne est membre du groupe de fournisseurs d’identité.

Les équipes existantes ou les membres du groupe qui ne répondent pas à ces critères seront automatiquement retirés de l'équipe sur GitHub et perdront l'accès aux référentiels. La révocation de l’identité liée d’un utilisateur a également pour effet de supprimer l’utilisateur de toute équipe mappée aux groupes de fournisseur d’identité. Pour plus d’informations, consultez « Affichage et gestion de l’accès SAML d’un membre à votre organisation » et « Visualisation et gestion de l’accès SAML d’un utilisateur à votre entreprise ».

Un membre d’équipe supprimé peut être rajouté automatiquement à une équipe une fois qu’il s’est authentifié auprès du compte d’organisation ou d’entreprise à l’aide de SSO, et est déplacé vers le groupe de fournisseurs d’identité connecté.

Pour éviter toute suppression involontaire de membres d’équipe, nous vous recommandons d’appliquer une SSO SAML dans votre compte d’organisation ou d’entreprise, en créant de nouvelles équipes pour synchroniser les données d’appartenance, et en vérifiant l’appartenance au groupe de fournisseurs d’identité avant de synchroniser des équipes existantes. Pour plus d’informations, consultez « Appliquer l’authentification unique SAML pour votre organisation » et « Configuration d'une authentification unique (SSO) SAML pour votre entreprise ».

Prérequis

Pour connecter une équipe sur GitHub Enterprise Cloud à un groupe de fournisseurs d’identité, l’équipe doit déjà exister dans votre organisation. Même si vous avez configuré l’approvisionnement SCIM, la création d’un groupe dans votre fournisseur d’identité ne crée pas automatiquement une équipe sur GitHub Enterprise Cloud.

Avant de pouvoir connecter une équipe GitHub à un groupe IdP, un propriétaire d'organisation ou d'entreprise doit activer la synchronisation d'équipe pour votre organisation ou compte d'entreprise. Pour plus d’informations, consultez « Gestion de la synchronisation des équipes pour votre organisation » et « Gestion de la synchronisation d’équipe pour les organisations de votre entreprise ».

Pour éviter toute suppression involontaire de membres d’équipe, visitez le portail d’administration de votre fournisseur d’identité, et vérifiez que chaque membre de l’équipe actuelle se trouve également dans les groupes de fournisseurs d’identité que vous souhaitez connecter à cette équipe. Si vous n’avez pas accès à votre fournisseur d’identité, vous pouvez contacter l’administrateur de votre fournisseur d’identité.

Vous devez vous authentifier à l’aide d’une SSO SAML. Pour plus d’informations, consultez « Authentification à l’aide de l’authentification unique SAML ».

Connexion d’un groupe de fournisseurs d’identité à une équipe

Lorsque vous connectez un groupe IdP à une équipe GitHub, tous les utilisateurs du groupe sont automatiquement ajoutés à l'équipe.

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. Cliquez sur le nom de votre organisation.

  3. Sous le nom de votre organisation, cliquez sur Équipes.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. Cliquez sur le nom de l’équipe.

  5. En haut de la page de l’équipe, cliquez sur Paramètres.

    Capture d’écran de l’en-tête de la page d’une équipe. Un onglet, avec une icône d’engrenage et le texte « Paramètres », est entouré d’un encadré orange foncé.

  6. Sous « Groupes de fournisseurs d’identité », sélectionnez le menu déroulant Sélectionner des groupes et cliquez sur jusqu’à 5 groupes de fournisseurs d’identité.

  7. Cliquez sur Save changes.

Déconnexion d’un groupe de fournisseurs d’identité d’une équipe

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. Cliquez sur le nom de votre organisation.

  3. Sous le nom de votre organisation, cliquez sur Équipes.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de personnes et le texte « Équipes », est mis en évidence avec un encadré orange foncé.

  4. Cliquez sur le nom de l’équipe.

  5. En haut de la page de l’équipe, cliquez sur Paramètres.

    Capture d’écran de l’en-tête de la page d’une équipe. Un onglet, avec une icône d’engrenage et le texte « Paramètres », est entouré d’un encadré orange foncé.

  6. Si vous le souhaitez, sous « Groupes de fournisseurs d’identité », à droite du groupe de fournisseurs d’identité que vous souhaitez déconnecter, cliquez sur .

  7. Cliquez sur Save changes.