À propos de l’authentification à l’aide de l’authentification unique SSO
L'authentification unique (SSO) permet aux propriétaires d'organisations et d'entreprises de contrôler et de sécuriser l'accès aux ressources de l'organisation telles que les référentiels, les problèmes et les demandes d'extraction. Les propriétaires d’organisation peuvent inviter votre compte personnel sur GitHub à rejoindre leur organisation qui utilise l’authentification unique SSO. Vous pourrez alors contribuer à l’organisation et conserver votre identité et vos contributions existantes sur GitHub.
L’accès à l’authentification unique SSO protégée internal ressources dans une entreprise, telles que les dépôts, les projets et les packages, nécessite une session d’authentification unique pour toute organisation de l’entreprise. Cela permet de partager le code et le travail entre les différentes organisations d'une entreprise sans obligation pour les utilisateurs de rejoindre chaque organisation.
Si vous êtes membre d’une entreprise avec utilisateurs managés, vous allez plutôt utiliser un nouveau compte provisionné pour vous et contrôlé par votre entreprise. Pour plus d’informations, consultez « Types de comptes GitHub ».
Quand vous tentez d’accéder à la plupart des ressources privées d’une organisation qui utilise l’authentification unique SSO, GitHub vous redirige vers le fournisseur d’identité SSO de l’organisation pour vous authentifier. Après votre être authentifié avec votre compte sur le fournisseur d’identité, vous êtes redirigé par celui-ci vers GitHub, où vous pouvez accéder aux ressources de l’organisation.
L’authentification du fournisseur d’identité n’est pas requise pour accéder aux référentiels publics de certaines manières :
- Affichage de la page de vue d’ensemble du référentiel et du contenu du fichier sur GitHub
- Duplication du référentiel
- Exécution d’opérations de lecture via Git, comme le clonage du référentiel
L’authentification est requise pour d’autres accès aux référentiels publics, comme l’affichage des problèmes, les demandes de tirage, les projets et les versions.
Remarque
L’authentification SSO n’est pas requise pour les collaborateurs externes. Pour plus d’informations sur les collaborateurs externes, consultez Rôles dans une organisation.
Si vous vous êtes récemment authentifié auprès du fournisseur d’identité SAML de votre organisation dans votre navigateur, vous êtes automatiquement autorisé quand vous accédez à une organisation GitHub qui utilise l’authentification unique SAML. Si vous ne vous êtes pas récemment authentifié auprès du fournisseur d’identité SAML de votre organisation dans votre navigateur, vous devez vous authentifier auprès du fournisseur d’identité SAML pour pouvoir accéder à l’organisation.
Vous devez régulièrement vous authentifier auprès de votre fournisseur d’identité pour accéder aux ressources de l’organisation sur GitHub. La durée de cette période de connexion est de 24 heures, sauf indication contraire de votre fournisseur d'identité. Cette exigence de connexion périodique limite la durée d’accès et vous oblige à vous identifier à nouveau pour continuer. Vous pouvez visualiser et gérer vos sessions SSO actives dans vos paramètres de sécurité. Pour plus d’informations, consultez « Visualisation et gestion de vos sessions SSO actives ».
Identités externes liées
Lorsque vous vous authentifiez auprès de votre compte IdP et que vous revenez sur GitHub, GitHub enregistre un lien dans l’organisation ou l’entreprise entre votre compte personnel GitHub et l’identité externe à laquelle vous vous êtes connecté. Cette identité liée est utilisée pour valider votre appartenance à cette organisation, et en fonction de la configuration de votre organisation ou entreprise, elle est également utilisée pour déterminer les organisations et les équipes dont vous êtes membre. Chaque compte GitHub peut être lié à exactement une identité externe par organisation. De même, chaque identité externe peut être liée à exactement un compte GitHub dans une organisation.
Si vous vous connectez avec une identité externe déjà liée à un autre compte GitHub, vous recevez un message d’erreur indiquant que vous ne pouvez pas vous connecter avec cette identité. Ce cas peut se produire si vous tentez d’utiliser un nouveau compte GitHub pour travailler au sein de votre organisation. Si vous n’aviez pas l’intention d’utiliser cette identité externe avec ce compte GitHub, vous devez vous déconnecter de cette identité externe, puis répéter la connexion SSO. Si vous souhaitez utiliser cette identité externe avec votre compte GitHub, vous devez demander à votre administrateur de dissocier votre identité externe de votre ancien compte afin de pouvoir l’associer à votre nouveau compte. Selon la configuration de votre organisation ou de votre entreprise, votre administrateur peut également avoir besoin de réaffecter votre identité dans votre fournisseur d’identité. Pour plus d’informations, consultez « Affichage et gestion de l’accès SAML d’un membre à votre organisation ».
Si l’identité externe avec laquelle vous vous connectez ne correspond pas à l’identité externe actuellement liée à votre compte GitHub, vous recevez un avertissement indiquant que vous êtes sur le point de lier une nouvelle fois votre compte. Car votre identité externe est utilisée pour régir l’accès et l’appartenance aux équipes, le fait de continuer avec la nouvelle identité externe peut entraîner la perte de votre accès aux équipes et aux organisations dans GitHub. Continuez seulement si vous savez que vous êtes censé utiliser cette nouvelle identité externe pour vos futures authentifications.
Autorisation des personal access tokens et des clés SSH avec l’authentification unique SSO
Pour utiliser l’API ou Git sur la ligne de commande afin d’accéder au contenu protégé d’une organisation qui utilise l’authentification unique SSO, vous devez utiliser un personal access token autorisé sur HTTPS ou une clé SSH autorisée.
Si vous n'avez pas de personal access token ou de clé SSH, vous pouvez créer un personal access token pour la ligne de commande ou générer une nouvelle clé SSH. Pour plus d’informations, consultez Gestion de vos jetons d'accès personnels ou Génération d’une nouvelle clé SSH et ajout de celle-ci à ssh-agent.
Pour utiliser une clé SSH ou un personal access token nouveau ou existant avec une organisation qui utilise ou applique l’authentification unique SSO, vous devez autoriser le jeton ou la clé SSH en vue d’une utilisation avec l’organisation. Pour plus d’informations, consultez Autorisation d’un jeton d’accès personnel à utiliser avec l’authentification unique ou Autorisation d’une clé SSH pour l’utiliser avec l’authentification unique.
À propos des OAuth apps, des GitHub Apps et de l’authentification unique SSO
Vous devez avoir une session SSO active chaque fois que vous autorisez une OAuth app ou une GitHub App afin d’accéder à une organisation qui utilise ou applique l’authentification unique SSO. Si vous n’avez pas de session active pour une organisation qui nécessite l’authentification unique SSO lors de votre connexion, l’application ne pourra pas accéder à cette organisation. Vous pouvez créer une session SSO active en accédant à http://github.com/orgs/ORGANIZATION-NAME/sso ou http://github.com/enterprises/ENTERPRISE-NAME/sso dans votre navigateur.
Une fois qu’un propriétaire d’entreprise ou d’organisation active ou applique l’authentification unique pour une organisation, et après vous être authentifié via SSO pour la première fois, vous devez ré-autoriser toutes les OAuth apps ou GitHub Apps que vous avez précédemment autorisées à accéder à l’organisation.
Pour afficher les OAuth apps que vous avez autorisées, visitez votre page des OAuth apps. Pour afficher les GitHub Apps que vous avez autorisées, visitez votre page des GitHub Apps.
Pour plus d’informations, consultez « Applications SAML et GitHub ».