Migrieren deines Unternehmens zu einem neuen Identitätsanbieter oder Mandanten

Informationen zu Migrationen zwischen IdPs und Mandanten

Bei der Verwendung von Enterprise Managed Users müssen Sie Ihr Unternehmen möglicherweise zu einem neuen Tenant in Ihrem IdP oder einem anderen Identitätsverwaltungssystem migrieren. Möglicherweise sind Sie schon bereit, beispielsweise eine Migration von einer Testumgebung in die Produktionsumgebung durchzuführen, oder Ihr Unternehmen entscheidet möglicherweise, ein neues Identitätssystem zu verwenden.

Bevor Sie zu einer neuen Authentifizierungs- und Bereitstellungskonfiguration migrieren, überprüfen Sie die Voraussetzungen und Richtlinien für die Vorbereitung. Wenn Sie zum Migrieren bereit sind, deaktivieren Sie die Authentifizierung und Bereitstellung für Ihr Unternehmen, und konfigurieren beide neu. Sie können Ihre vorhandene Konfiguration für Authentifizierung und Bereitstellung nicht bearbeiten.

GitHub löscht vorhandene SCIM-Identitäten, die den verwaltete Benutzerkonten des Unternehmens zugeordnet sind, wenn die Authentifizierung für das Unternehmen deaktiviert ist. Weitere Informationen zu den Auswirkungen der Deaktivierung der Authentifizierung für ein Unternehmen mit unternehmensseitig verwalteten Benutzern findest du unter Deaktivieren der Authentifizierung für Enterprise Managed Users.

Nachdem die Authentifizierung und Bereitstellung am Ende der Migration neu konfiguriert wurde, müssen Benutzer und Gruppen vom neuen Identitätsanbieter bzw. Mandanten erneut bereitgestellt werden. Wenn die Benutzer erneut bereitgestellt werden, vergleicht GitHub die normalisierten SCIM-userName-Attributwerte mit den GitHub-Benutzernamen (Teil vor _[shortcode]) im Unternehmen, um die SCIM-Identitäten vom neuen Identitätsanbieter bzw. Mandanten mit vorhandenen unternehmensseitig verwalteten Benutzerkonten zu verknüpfen. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Voraussetzungen

• Als du mit der Verwendung von GitHub Enterprise Cloud begonnen hast, musst du ein Unternehmen mit verwalteten Benutzer*innen erstellt haben. Weitere Informationen finden Sie unter Auswählen eines Unternehmenstyps für GitHub Enterprise Cloud.
• Lesen und verstehen Sie die Anforderungen für die Integration mit Enterprise Managed Users aus einem externen Identitätsverwaltungssystem. Zur Vereinfachung der Konfiguration und Unterstützung können Sie einen einzelnen Partner-IdP für eine „paved-path“-Integration verwenden. Alternativ können Sie die Authentifizierung mithilfe eines Systems konfigurieren, das den Standards Security Assertion Markup Language (SAML) 2.0 und System for Cross-Domain Identity Management (SCIM) 2.0 entspricht. Weitere Informationen finden Sie unter Informationen zu Enterprise Managed Users.
• Sie müssen bereits die Authentifizierung und SCIM-Bereitstellung für Ihr Unternehmen konfiguriert haben.

Vorbereitung auf die Migration

Um zu einer neuen Konfiguration für Authentifizierung und Bereitstellung zu migrieren, müssen Sie zuerst die Authentifizierung und Bereitstellung für Ihr Unternehmen deaktivieren. Bevor Sie Ihre vorhandene Konfiguration deaktivieren, lesen Sie die folgenden Überlegungen:

• Bevor Sie migrieren, bestimmen Sie, ob die Werte des normalisierten SCIM-Attributs userName für Ihre verwaltete Benutzerkonten in der neuen Umgebung gleich bleiben. Diese normalisierten SCIM-userName-Attributwerte müssen für Benutzer identisch bleiben, damit die durch den neuen Identitätsanbieter bzw. Mandanten bereitgestellten SCIM-Identitäten ordnungsgemäß mit den vorhandenen unternehmensseitig verwalteten Benutzerkonten verknüpft werden. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

  • Wenn die normalisierten userName-Werte für SCIM nach der Migration gleich bleiben, können Sie die Migration selbst abschließen.
  • Wenn sich die normalisierten SCIM-Werte userName nach der Migration ändern, muss GitHub bei der Migration helfen. Weitere Informationen findest du unter Migrieren, wenn sich die normalisierten SCIM-Werte für userName ändern.

• Entfernen Sie keine Benutzer*innen oder Gruppen aus der Anwendung für Enterprise Managed Users in Ihrem Identitätsverwaltungssystem, bis die Migration abgeschlossen ist.

• GitHub löscht alle personal access tokens oder SSH-Schlüssel, die verwaltete Benutzerkonten deines Unternehmens zugeordnet sind. Planen Sie ein Migrationsfenster nach der Neukonfiguration, in dem Sie neue Anmeldeinformationen für alle externen Integrationen erstellen und bereitstellen können.

• Im Rahmen der folgenden Migrationsschritte löscht GitHub alle durch SCIM bereitgestellten Gruppen in deinem Unternehmen, wenn die Authentifizierung für das Unternehmen deaktiviert ist. Weitere Informationen finden Sie unter Deaktivieren der Authentifizierung für Enterprise Managed Users.

Wenn eine dieser durch SCIM bereitgestellten Identitätsanbietergruppen mit Teams in deinem Unternehmen verknüpft ist, wird die Verknüpfung zwischen diesen Teams in GitHub und Identitätsanbietergruppen dadurch entfernt, und diese Verknüpfungen werden nach der Migration nicht automatisch neu erstellt. GitHub entfernt außerdem alle Mitglieder aus den zuvor verknüpften Teams. Es kann zu Unterbrechungen führen, wenn Sie Gruppen auf Ihrem Identitätsverwaltungssystem verwenden, um den Zugriff auf Organisationen oder Lizenzen zu verwalten. GitHub empfiehlt, vor der Migration die REST-API zum Auflisten von Teamverknüpfungen und Gruppenmitgliedschaften zu verwenden und anschließend Verknüpfungen zu reaktivieren. Weitere Informationen findest du in der Dokumentation zur REST-API unter REST-API-Endpunkte für externe Gruppen.

Migrieren zu einem neuen IdP oder Mandanten

Um zu einem neuen IdP oder Mandanten zu migrieren, müssen Sie die folgenden Aufgaben ausführen.

1. Überprüfen von übereinstimmenden SCIM userName-Attributen.
2. Herunterladen von Single Sign-On-Wiederherstellungscodes.
3. Deaktivieren der Bereitstellung auf Ihrem aktuellen IdP.
4. Deaktiviere die Authentifizierung für dein Unternehmen.
5. Überprüfen der Aussetzung Ihrer Unternehmensmitglieder.
6. Konfigurieren der Authentifizierung und Bereitstellung.

1. Überprüfen übereinstimmender SCIM-Attribute userName

Stellen Sie für eine nahtlose Migration sicher, dass das SCIM-Attribut userName Ihres neuen SCIM-Anbieters mit dem Attribut ihres alten SCIM-Anbieters übereinstimmt. Wenn diese Attribute nicht übereinstimmen, lies Migrieren, wenn sich die normalisierten SCIM-Werte für userName ändern.

2. Herunterladen von Single Sign-On-Wiederherstellungscodes

Wenn du noch nicht über Wiederherstellungscodes für einmaliges Anmelden für dein Unternehmen verfügst, lade die Codes jetzt herunter. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

3. Deaktivieren der Bereitstellung auf Ihrem aktuellen IdP

1. Deaktivieren Sie in Ihrem aktuellen IdP die Bereitstellung in der Anwendung für Enterprise Managed Users.
   • Wenn Sie Entra ID verwenden, navigieren Sie zur Registerkarte „Bereitstellung“ der Anwendung, und klicken Sie dann auf Bereitstellung beenden.
   • Wenn du Okta verwendest, navigiere zur Registerkarte „Bereitstellung“ der Anwendung, klicke auf die Registerkarte Integration, und klicke dann auf Bearbeiten. Hebe die Auswahl von API-Integration aktivieren auf.
   • Wenn du PingFederate verwendest, navigiere zu den Kanaleinstellungen in der Anwendung. Klicke auf der Registerkarte Aktivierung & Zusammenfassung auf Aktiv oder Inaktiv, um den Bereitstellungsstatus umzuschalten, und klicke dann auf Speichern. Weitere Informationen zum Verwalten der Bereitstellung finden Sie unter Überprüfen von Kanaleinstellungen und Verwalten von Kanälen in der PingFederate-Dokumentation.
   • Wenn Sie ein anderes Identitätsverwaltungssystem verwenden, wenden Sie sich an die Dokumentation, das Supportteam oder andere Ressourcen des Systems.

4. Deaktivieren der Authentifizierung für dein Unternehmen

1. Verwenden Sie einen Wiederherstellungscode, um sich bei GitHub als Setup-Benutzer*in anzumelden, dessen bzw. deren Nutzername dem Kurzcode Ihres Unternehmens mit dem Suffix _admin entspricht. Weitere Informationen zum Setupbenutzer findest du unter Erste Schritte mit Enterprise Managed Users.
2. Deaktiviere die Authentifizierung für dein Unternehmen. Weitere Informationen finden Sie unter Deaktivieren der Authentifizierung für Enterprise Managed Users.
3. Warte bis zu einer Stunde, bis GitHub die Mitglieder deines Unternehmens gesperrt, die verknüpften SCIM-Identitäten gelöscht und die durch SCIM bereitgestellten Identitätsanbietergruppen gelöscht hat.

5. Validieren der Sperrung von Mitgliedern Ihres Unternehmens

Nachdem du die Authentifizierung in einen GitHub-Unternehmenseinstellungen deaktiviert hast, sperrt GitHub alle verwaltete Benutzerkonten in deinem Unternehmen (mit Ausnahme des Setupbenutzerkontos). Auf GitHub kannst du die Sperrung der Mitglieder deines Unternehmens überprüfen.

1. Die gesperrten Mitglieder in Ihrem Unternehmen anzeigen. Weitere Informationen finden Sie unter Anzeigen von Personen in deinem Unternehmen.
2. Wenn noch nicht alle verwalteten Benutzerkonten in deinem Unternehmen gesperrt sind, warte und überwache GitHub weiter, bevor du mit dem nächsten Schritt fortfährst.

6. Authentifizierung und Bereitstellung neu konfigurieren

Nachdem Sie die Sperrung der Mitglieder Ihres Unternehmens validiert haben, konfigurieren Sie die Authentifizierung und Bereitstellung neu.

1. Konfigurieren Sie die Authentifizierung mithilfe von SAML oder OIDC SSO. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für durch Enterprise verwaltete Benutzer.
2. Konfigurieren der SCIM-Bereitstellung. Weitere Informationen finden Sie unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.

7. Stelle sicher, dass Benutzer und Gruppen vom neuen Identitätsanbieter bzw. Mandanten neu bereitgestellt werden.

1. Um deine verwaltete Benutzerkonten zu entsperren und ihnen die Anmeldung bei GitHub zu ermöglichen, müssen die Benutzer durch den neuen Identitätsanbieter bzw. Mandanten neu bereitgestellt werden. Dadurch werden die SCIM-Identitäten vom neuen Identitätsanbieter bzw. Mandanten mit den vorhandenen unternehmensseitig verwalteten Benutzerkonten verknüpft. Ein unternehmensseitig verwalteter Benutzer muss für die Anmeldung über eine verknüpfte SCIM-Identität verfügen.
   • Wenn ein Benutzer erfolgreich mit seiner SCIM-Identität vom neuen Identitätsanbieter bzw. Mandanten verknüpft wurde, wird in den Unternehmenseinstellungen beim erneuten Bereitstellen der Identitätsanbieterbenutzerkonten auf seiner Seite ein SSO identity linked-Link angezeigt, auf dem ein SCIM identity-Abschnitt mit SCIM-Attributen angezeigt wird. Weitere Informationen finden Sie unter Anzeigen von Personen in deinem Unternehmen.
   • Du kannst im Unternehmensüberwachungsprotokoll ebenfalls verwandte external_identity.*- und user.unsuspend-Ereignisse überprüfen. Weitere Informationen findest du unter Überwachungsprotokollereignisse für Ihre Enterprise.
2. Gruppen müssen außerdem durch den neuen Identitätsanbieter bzw. Mandanten neu bereitgestellt werden.
   • Überwache beim erneuten Bereitstellen der Identitätsanbietergruppen den Fortschritt in GitHub, und überprüfe im Unternehmensüberwachungsprotokoll die zugehörigen Ereignisse external_group.provision, external_group.scim_api_failure und external_group.scim_api_success. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen und Überwachungsprotokollereignisse für Ihre Enterprise.
3. Sobald Identitätsanbietergruppen für das Unternehmen neu bereitgestellt wurden, können die Gruppen durch die Administration nach Bedarf mit Teams im Unternehmen verknüpft werden.

Migrieren, wenn sich die normalisierten SCIM-Werte userName ändern

Wenn sich die normalisierten SCIM-Werte userName ändern, muss GitHub ein neues Unternehmenskonto für deine Migration bereitstellen. Wende dich an unser Vertriebsteam, wenn du Hilfe benötigst.