What are Enterprise Managed Users in GitHub?
With Enterprise Managed Users, you manage the lifecycle and authentication of your users on GitHub.com or GHE.com from an external identity management system, or IdP:
- Your IdP provisions new user accounts on GitHub, with access to your enterprise.
- Users must authenticate on your IdP to access your enterprise's resources on GitHub.
- You control usernames, profile data, organization membership, and repository access from your IdP.
- If your enterprise uses OIDC SSO, GitHub will validate access to your enterprise and its resources using your IdP's Conditional Access Policy (CAP). See À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité.
- Comptes d’utilisateur managés cannot create public content or collaborate outside your enterprise. See Capacités et restrictions des comptes d’utilisateur managés.
Remarque
Enterprise Managed Users is not the best solution for every customer. To determine whether it's right for your enterprise, see Enterprise types for GitHub Enterprise Cloud.
How does EMUs integrate with identity management systems?
GitHub s'associe à certains développeurs de systèmes de gestion d'identité pour fournir une intégration «prête à l’emploi » avec Enterprise Managed Users. Pour simplifier votre configuration et garantir une prise en charge complète, utilisez un seul partenaire IdP pour l'authentification et l'approvisionnement.
What are partner identity providers?
Partner IdPs provide authentication using SAML or OIDC, and provide provisioning with System for Cross-domain Identity Management (SCIM).
| Partner IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
When you use a single partner IdP for both authentication and provisioning, GitHub provides support for the application on the partner IdP and the IdP's integration with GitHub.
Can I use identity management systems other than the supported partners?
If you cannot use a single partner IdP for both authentication and provisioning, you can use another identity management system or combination of systems. The system must:
- Adhere to GitHub's integration guidelines
- Provide authentication using SAML, adhering to SAML 2.0 specification
- Provide user lifecycle management using SCIM, adhering to the SCIM 2.0 specification and communicating with GitHub's REST API (see Approvisionnement des utilisateurs et des groupes avec SCIM à l'aide de l'API REST)
GitHub ne prend pas expressément en charge le mélange de fournisseurs d’identité partenaires pour l’authentification et l’approvisionnement et ne teste pas tous les systèmes de gestion des identités. L’équipe de support technique de GitHub pourrait ne pas être en mesure de vous aider à résoudre les problèmes liés aux systèmes mixtes ou non testés. Si vous avez besoin d’aide, vous devez vérifier la documentation du système, contacter l’équipe de support technique ou consulter d’autres ressources.
Important
La combinaison de Okta et Entra ID pour l’authentification unique et SCIM (dans n’importe quel ordre) n’est explicitement pas prise en charge. L’API SCIM de GitHub renverra une erreur au fournisseur d’identité lors des tentatives d’approvisionnement si cette combinaison est configurée.
How are usernames and profile information managed for EMUs?
GitHub automatically creates a username for each developer by normalizing an identifier provided by your IdP. If the unique parts of the identifier are removed during normalization, a conflict may occur. See Considérations relatives au nom d'utilisateur pour une authentification externe.
The profile name and email address of a compte d’utilisateur managé is provided by the IdP:
- Comptes d’utilisateur managés cannot change their profile name or email address on GitHub.
- The IdP can only provide one email address.
- Changing a user's email address in your IdP will unlink the user from the contribution history associated with the old email address.
How are roles and access managed for EMUs?
In your IdP, you can give each compte d’utilisateur managé a role in your enterprise, such as member, owner, or guest collaborator. See Abilities of roles in an enterprise.
Organization memberships (and repository access) can be managed manually, or you can update memberships automatically using IdP groups. See Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité.
How do comptes d’utilisateur managés authenticate to GitHub?
The locations where comptes d’utilisateur managés can authenticate to GitHub depends on how you configure authentication (SAML or OIDC). See Authentification avec Enterprise Managed Users.
By default, when an unauthenticated user attempts to access your enterprise, GitHub displays a 404 error. You can optionally enable automatic redirects to single sign-on (SSO) instead. See Application de stratégies pour les paramètres de sécurité dans votre entreprise.