Samouczek: konfigurowanie usługi GitHub na potrzeby automatycznej aprowizacji użytkowników

Celem tego samouczka jest pokazanie kroków, które należy wykonać w usługach GitHub i Microsoft Entra ID w celu zautomatyzowania aprowizacji członkostwa w organizacji w usłudze GitHub Enterprise Cloud.

Uwaga

Integracja aprowizacji firmy Microsoft opiera się na interfejsie API SCIM usługi GitHub, który jest dostępny dla klientów usługi GitHub Enterprise Cloud w planie rozliczeniowym GitHub Enterprise.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące elementy:

• Dzierżawa Microsoft Entra
• Organizacja usługi GitHub utworzona w chmurze usługi GitHub dla przedsiębiorstw, która wymaga planu rozliczeniowego usługi GitHub Enterprise
• Konto użytkownika w usłudze GitHub z uprawnieniami Administracja do organizacji
• Protokół SAML skonfigurowany dla organizacji GitHub Enterprise Cloud
• Upewnij się, że dostęp do protokołu OAuth został udostępniony organizacji zgodnie z opisem w tym miejscu
• Aprowizowanie protokołu SCIM w jednej organizacji jest obsługiwane tylko wtedy, gdy logowanie jednokrotne jest włączone na poziomie organizacji

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Przypisywanie użytkowników do usługi GitHub

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w identyfikatorze Entra firmy Microsoft reprezentują użytkowników, którzy potrzebują dostępu do organizacji usługi GitHub. Po podjęciu decyzji możesz przypisać tych użytkowników, wykonując poniższe instrukcje:

Aby uzyskać więcej informacji, zobacz Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw.

Ważne porady dotyczące przypisywania użytkowników do usługi GitHub

• Zalecamy przypisanie pojedynczego użytkownika microsoft Entra do usługi GitHub w celu przetestowania konfiguracji aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

• Podczas przypisywania użytkownika do usługi GitHub należy wybrać rolę Użytkownika lub inną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Rola Dostęp domyślny nie działa na potrzeby aprowizacji, a ci użytkownicy są pomijani.

Konfigurowanie aprowizacji użytkowników w usłudze GitHub

Ta sekcja przeprowadzi Cię przez proces łączenia identyfikatora entra firmy Microsoft z interfejsem API aprowizacji SCIM w usłudze GitHub w celu zautomatyzowania aprowizacji członkostwa w organizacji w usłudze GitHub. Ta integracja, która korzysta z aplikacji OAuth, automatycznie dodaje, zarządza i usuwa dostęp członków do organizacji usługi GitHub Enterprise Cloud na podstawie przypisania użytkowników i grup w identyfikatorze Entra firmy Microsoft. Gdy użytkownicy są aprowizowani w organizacji usługi GitHub za pośrednictwem protokołu SCIM, zaproszenie e-mail jest wysyłane na adres e-mail użytkownika.

Konfigurowanie automatycznej aprowizacji kont użytkowników w usłudze GitHub w usłudze Microsoft Entra ID

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Jeśli skonfigurowano już usługę GitHub na potrzeby logowania jednokrotnego, wyszukaj swoje wystąpienie usługi GitHub przy użyciu pola wyszukiwania.

4. Wybierz swoje wystąpienie usługi GitHub, a następnie wybierz kartę Aprowizacja .

5. Ustaw Tryb aprowizacji na Automatyczny.

6. W witrynie Azure Portal wprowadź adres URL dzierżawy i kliknij pozycję Testuj Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z organizacją usługi GitHub. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi GitHub ma uprawnienia Administracja, a adres URL dzierżawy został wprowadzony poprawnie, a następnie spróbuj ponownie wykonać krok "Autoryzuj" (możesz utworzyć adres URL dzierżawy według reguły: https://api.github.com/scim/v2/organizations/<Organization_name>, możesz znaleźć swoje organizacje na koncie usługi GitHub: Ustawienia> Organizations).

   

7. W sekcji Poświadczenia administratora kliknij pozycję Autoryzuj. Ta operacja otwiera okno dialogowe autoryzacji usługi GitHub w nowym oknie przeglądarki. Należy pamiętać, że musisz upewnić się, że masz zgodę na autoryzowanie dostępu. Postępuj zgodnie z instrukcjami opisanymi tutaj.

   

8. W nowym oknie zaloguj się do usługi GitHub przy użyciu konta Administracja. W wyświetlonym oknie dialogowym autoryzacji wybierz organizację usługi GitHub, dla której chcesz włączyć aprowizację, a następnie wybierz pozycję Autoryzuj. Po wykonaniu tych czynności wróć do witryny Azure Portal, aby dokończyć konfigurowanie aprowizacji.

   

9. Wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji w polu Wiadomość e-mail z powiadomieniem, i zaznacz pole wyboru "Wyślij powiadomienie e-mail w przypadku wystąpienia błędu".

10. Kliknij przycisk Zapisz.

11. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą GitHub.

12. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi GitHub. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze GitHub na potrzeby operacji aktualizacji. Nie włączaj ustawienia Dopasowywanie pierwszeństwa dla innych atrybutów domyślnych w sekcji Aprowizacja , ponieważ mogą wystąpić błędy. Wybierz pozycję Zapisz , aby zatwierdzić wszelkie zmiany.

13. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi GitHub, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

14. Kliknij przycisk Zapisz.

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników i/lub grup przypisanych do usługi GitHub w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji