Informationen zu Migrationen zwischen IdPs und Mandanten
Bei der Verwendung von Enterprise Managed Users müssen Sie Ihr Unternehmen möglicherweise zu einem neuen Tenant in Ihrem IdP oder einem anderen Identitätsverwaltungssystem migrieren. Möglicherweise sind Sie schon bereit, beispielsweise eine Migration von einer Testumgebung in die Produktionsumgebung durchzuführen, oder Ihr Unternehmen entscheidet möglicherweise, ein neues Identitätssystem zu verwenden.
Bevor Sie zu einer neuen Authentifizierungs- und Bereitstellungskonfiguration migrieren, überprüfen Sie die Voraussetzungen und Richtlinien für die Vorbereitung. Wenn Sie zum Migrieren bereit sind, deaktivieren Sie die Authentifizierung und Bereitstellung für Ihr Unternehmen, und konfigurieren beide neu. Sie können Ihre vorhandene Konfiguration für Authentifizierung und Bereitstellung nicht bearbeiten.
Voraussetzungen
- Als Sie mit der Verwendung von GitHub Enterprise Cloud begonnen haben, mussten Sie eine Unternehmen mit verwalteten Benutzer*innen erstellt haben. Weitere Informationen findest du unter Auswählen eines Unternehmenstyps für GitHub Enterprise Cloud.
- Lesen und verstehen Sie die Anforderungen für die Integration mit Enterprise Managed Users aus einem externen Identitätsverwaltungssystem. Zur Vereinfachung der Konfiguration und Unterstützung können Sie einen einzelnen Partner-IdP für eine „paved-path“-Integration verwenden. Alternativ können Sie die Authentifizierung mithilfe eines Systems konfigurieren, das den Standards Security Assertion Markup Language (SAML) 2.0 und System for Cross-Domain Identity Management (SCIM) 2.0 entspricht. Weitere Informationen finden Sie unter Informationen zu Enterprise Managed Users.
- Sie müssen bereits die Authentifizierung und SCIM-Bereitstellung für Ihr Unternehmen konfiguriert haben.
Vorbereitung auf die Migration
Um zu einer neuen Konfiguration für Authentifizierung und Bereitstellung zu migrieren, müssen Sie zuerst die Authentifizierung und Bereitstellung für Ihr Unternehmen deaktivieren. Bevor Sie Ihre vorhandene Konfiguration deaktivieren, lesen Sie die folgenden Überlegungen:
-
GitHub setzen die SCIM-Datensätze zurück, die den verwaltete Benutzerkonten Ihres Unternehmens zugeordnet sind. Bevor Sie migrieren, bestimmen Sie, ob die Werte des normalisierten SCIM-Attributs
userName
für Ihre verwaltete Benutzerkonten in der neuen Umgebung gleich bleiben. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.- Wenn die normalisierten
userName
-Werte für SCIM nach der Migration gleich bleiben, können Sie die Migration selbst abschließen. - Wenn sich die normalisierten SCIM-Werte
userName
nach der Migration ändern, muss GitHub bei der Migration helfen. Weitere Informationen findest du unter Migrieren, wenn sich die normalisierten SCIM-Werte füruserName
ändern.
- Wenn die normalisierten
-
Entfernen Sie keine Benutzer*innen oder Gruppen aus der Anwendung für Enterprise Managed Users in Ihrem Identitätsverwaltungssystem, bis die Migration abgeschlossen ist.
-
GitHub Enterprise Cloud löscht alle personal access tokens oder SSH-Schlüssel, die verwaltete Benutzerkonten Ihres Unternehmens zugeordnet sind. Planen Sie ein Migrationsfenster nach der Neukonfiguration, in dem Sie neue Anmeldeinformationen für alle externen Integrationen erstellen und bereitstellen können.
-
GitHub Enterprise Cloud entfernen Verbindungen zwischen Teams in GitHub und IdP-Gruppen, und die Verbindungen werden nach der Migration nicht mehr wiederhergestellt. GitHub entfernen auch alle Mitglieder aus dem Team und lassen das Team mit Ihrem IdP unverbunden. Es kann zu Unterbrechungen führen, wenn Sie Gruppen auf Ihrem Identitätsverwaltungssystem verwenden, um den Zugriff auf Organisationen oder Lizenzen zu verwalten. GitHub empfiehlt, die REST-API zum Auflisten von Teamverbindungen und Gruppenmitgliedschaften vor der Migration zu verwenden und anschließend Verbindungen erneut einzuhalten. Weitere Informationen findest du in der Dokumentation zur REST-API unter REST-API-Endpunkte für externe Gruppen.
Migrieren zu einem neuen IdP oder Mandanten
Um zu einem neuen IdP oder Mandanten zu migrieren, müssen Sie die folgenden Aufgaben ausführen.
- Überprüfen von übereinstimmenden SCIM
userName
-Attributen. - Herunterladen von Single Sign-On-Wiederherstellungscodes.
- Deaktivieren der Bereitstellung auf Ihrem aktuellen IdP.
- Deaktivierung der Authentifizierung und Bereitstellung für Ihr Unternehmen.
- Überprüfen der Aussetzung Ihrer Unternehmensmitglieder.
- Konfigurieren der Authentifizierung und Bereitstellung.
1. Überprüfen übereinstimmender SCIM-Attribute userName
Stellen Sie für eine nahtlose Migration sicher, dass das SCIM-Attribut userName
Ihres neuen SCIM-Anbieters mit dem Attribut ihres alten SCIM-Anbieters übereinstimmt. Wenn diese Attribute nicht übereinstimmen, lies Migrieren, wenn sich die normalisierten SCIM-Werte für userName
ändern.
2. Herunterladen von Single Sign-On-Wiederherstellungscodes
Wenn du noch nicht über Wiederherstellungscodes für einmaliges Anmelden für dein Unternehmen verfügst, lade die Codes jetzt herunter. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
3. Deaktivieren der Bereitstellung auf Ihrem aktuellen IdP
- Deaktivieren Sie in Ihrem aktuellen IdP die Bereitstellung in der Anwendung für Enterprise Managed Users.
- Wenn Sie Entra ID verwenden, navigieren Sie zur Registerkarte „Bereitstellung“ der Anwendung, und klicken Sie dann auf Bereitstellung beenden.
- Wenn du Okta verwendest, navigiere zur Registerkarte „Bereitstellung“ der Anwendung, klicke auf die Registerkarte Integration, und klicke dann auf Bearbeiten. Hebe die Auswahl von API-Integration aktivieren auf.
- Wenn du PingFederate verwendest, navigiere zu den Kanaleinstellungen in der Anwendung. Klicke auf der Registerkarte Aktivierung & Zusammenfassung auf Aktiv oder Inaktiv, um den Bereitstellungsstatus umzuschalten, und klicke dann auf Speichern. Weitere Informationen zum Verwalten der Bereitstellung finden Sie unter Überprüfen von Kanaleinstellungen und Verwalten von Kanälen in der PingFederate-Dokumentation.
- Wenn Sie ein anderes Identitätsverwaltungssystem verwenden, wenden Sie sich an die Dokumentation, das Supportteam oder andere Ressourcen des Systems.
4. Deaktivierung der Authentifizierung und Bereitstellung für Ihr Unternehmen
- Verwenden Sie einen Wiederherstellungscode, um sich bei GitHub als Setup-Benutzer*in anzumelden, dessen bzw. deren Nutzername dem Kurzcode Ihres Unternehmens mit dem Suffix
_admin
entspricht. Weitere Informationen zum Setupbenutzer findest du unter Erste Schritte mit Enterprise Managed Users. - Deaktivierung der Authentifizierung und Bereitstellung für Ihr Unternehmen. Weitere Informationen finden Sie unter Deaktivieren der Authentifizierung und Bereitstellung für Enterprise Managed Users.
- Warten Sie bis zu einer Stunde, bis GitHub Enterprise Cloud zurückgesetzt werden, um die SCIM-Datensätze Ihres Unternehmens zurückzusetzen und die Mitglieder Ihres Unternehmens zu sperren.
5. Validieren der Sperrung von Mitgliedern Ihres Unternehmens
Nachdem Sie die Authentifizierung und Bereitstellung deaktiviert haben, werden GitHub Enterprise Cloud alle verwaltete Benutzerkonten für Ihr Unternehmen sperren. Sie können das Sperren der Mitglieder Ihres Unternehmens mithilfe der Webbenutzeroberfläche validieren.
-
Die gesperrten Mitglieder in Ihrem Unternehmen anzeigen. Weitere Informationen finden Sie unter Anzeigen von Personen in deinem Unternehmen.
-
Wenn noch keine Mitglieder Ihres Unternehmens gesperrt sind, warten Sie und überprüfen Sie die Protokolle ihres SCIM-Anbieters.
- Wenn Sie Entra ID verwenden, kann das Sperren Ihrer Mitglieder bis zu 40 Minuten dauern. Um den Prozess für einen einzelnen Benutzer*in zu beschleunigen, klicke auf der Registerkarte „Bereitstellung“ der Anwendung für Enterprise Managed Users auf die Schaltfläche Bereitstellung bei Bedarf.
6. Authentifizierung und Bereitstellung neu konfigurieren
Nachdem Sie die Sperrung der Mitglieder Ihres Unternehmens validiert haben, konfigurieren Sie die Authentifizierung und Bereitstellung neu.
- Konfigurieren Sie die Authentifizierung mithilfe von SAML oder OIDC SSO. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für durch Enterprise verwaltete Benutzer.
- Konfigurieren der SCIM-Bereitstellung. Weitere Informationen finden Sie unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Um Ihre verwaltete Benutzerkonten zu entsperren und ihnen die Anmeldung bei GitHub Enterprise Cloud zu ermöglichen, muss Ihr SCIM-Anbieter ihre Konten erneut bereitstellen.
Migrieren, wenn sich die normalisierten SCIM-Werte userName
ändern
Wenn sich die normalisierten SCIM-Werte userName
ändern, muss GitHub ein neues Unternehmenskonto für deine Migration bereitstellen. Wende dich an unser Vertriebsteam, wenn du Hilfe benötigst.