Informationen zum erforderlichen Zugriff für GitHub Enterprise Importer
Zum Schutz deiner Daten erzwingt GitHub bestimmte Zugriffsanforderungen für die Verwendung von GitHub Enterprise Importer. Um Fehler zu vermeiden, solltest du diesen Artikel sorgfältig lesen und überprüfen, ob alle Anforderungen für die geplante Aufgabe erfüllt sind.
Zum Ausführen einer Migration benötigst du ausreichenden Zugriff auf die Quelle und das Ziel deiner Migration. Bei Repositorymigrationsvorgängen ist das Ziel eine Organisation. Bei Organisationsmigrationsvorgängen ist das Ziel ein Unternehmenskonto.
Bevor du zum ersten Mal von GitHub Enterprise Server 3.8 oder höher migrieren kannst, benötigst du auch jemanden mit Zugriff auf die Verwaltungskonsole, um den Blobspeicher für deine GitHub Enterprise Server-Instanz einzurichten.
Für andere Aufgaben benötigst du nur Zugriff auf das Ziel des Vorgangs. Um beispielsweise einer Organisation die Migrationsrolle zuzuweisen, benötigst du nur Zugriff auf diese Organisation.
Um ausreichenden Zugriff auf die Quelle oder das Ziel zu haben, benötigst du Folgendes:
- Eine erforderliche Rolle im GitHub-Organisations- oder Unternehmenskonto
- Für Bitbucket Server erforderliche Berechtigungen und SFTP- oder SMB-Zugriff
- Für GitHub-Produkte und Azure DevOps ein personal access token mit Zugriff auf das Organisations- oder Unternehmenskonto
- Das personal access token muss alle erforderlichen Bereiche umfassen, die von deiner Rolle und der Aufgabe abhängen, die du ausführen möchtest.
- Wenn die Quelle oder das Ziel einmaliges Anmelden mit SAML für GitHub.com verwendet, musst du das personal access token für einmaliges Anmelden autorisieren.
Wenn du darüber hinaus Listen zugelassener IP-Adressen an der Quelle oder am Ziel verwendest, musst du möglicherweise die Positivlisten konfigurieren, um den Zugriff von GitHub Enterprise Importer zuzulassen.
Erforderliche Rollen für GitHub
Bei der Migration zu oder von GitHub-Produkten sind verschiedene Rollen für unterschiedliche Aufgaben erforderlich.
| Aufgabe | Enterprise-Inhaber | Organisationsbesitzer | Migrator |
|---|---|---|---|
| Ausführen einer Migration (Quellorganisation) | X | X | |
| Ausführen einer Organisationsmigration (Zielunternehmen) | X | ||
| Zuweisen der Migrationsrolle für Repositorymigrationsvorgänge | X | ||
| Ausführen einer Repositorymigration (Zielorganisation) | X | X | |
| Herunterladen eines Migrationsprotokolls | X | X | |
| Freigeben von Mannequins | X |
Erforderliche Berechtigungen für Bitbucket Server
Für die Migration von Bitbucket Server benötigst du Folgendes:
- Benutzername und Kennwort eines Bitbucket Server-Kontos mit Administrator- oder Superadministratorberechtigungen
- Wenn deine Bitbucket Server-Instanzen unter Linux ausgeführt werden, greifst du per SFTP auf die Bitbucket Server-Instanz zu (siehe SSH-Schlüssel). Allgemein gilt: Wenn du über SSH auf den Server zugreifen kannst, kannst du auch SFTP verwenden.
- Wenn deine Bitbucket Server-Instanz unter Windows ausgeführt wird, kannst du per Dateifreigabe (SMB) auf die Bitbucket Server-Instanz zugreifen.
SSH-Schlüssel
Wenn deine Bitbucket Server-Instanz unter Linux ausgeführt wird, musst du einen SSH-Schlüssel verwenden, der die folgenden Anforderungen erfüllt:
- Verfügt nicht über eine Passphrase
- Verwendet eines der folgenden Verschlüsselungsverfahren
aes256-ctr3des-cbcaes128-cbcaes192-cbcaes256-cbcblowfish-cbctwofish-cbctwofish192-cbctwofish128-cbctwofish256-cbcarcfourarcfour128arcfour256cast128-cbcaes128-ctraes192-ctr
Wenn du beim Ausführen einer Migration eine Fehlermeldung wie cipher name aes256-ctr for openssh key file is not supported erhältst, verwendet dein privater SSH-Schlüssel ein nicht unterstütztes Verschlüsselungsverfahren. Weitere Informationen zum Generieren eines kompatiblen privaten Schlüssels findest du unter Behandeln von Problemen bei der Migration mit GitHub Enterprise Importer.
Erforderliche Bereiche für personal access token
Zum Ausführen einer Migration benötigst du ein personal access token, das auf die Zielorganisation (für Repositorymigrationsvorgänge) oder das Unternehmenskonto (für Organisationsmigrationsvorgänge) Zugriff hat. Wenn deine Quelle ein GitHub-Produkt oder Azure DevOps ist, benötigst du auch ein weiteres personal access token, das auf die Quellorganisation Zugriff hat.
Für andere Aufgaben, z. B. das Herunterladen eines Migrationsprotokolls, benötigst du nur ein personal access token, das auf das Ziel des Vorgangs Zugriff hat.
Personal access token für GitHub-Produkte
Welche Bereiche für dein GitHub-personal access token erforderlich sind, hängt von deiner Rolle und der Aufgabe ab, die du ausführen möchtest.
Hinweis: Du kannst nur ein personal access token verwenden, kein fine-grained personal access token.
| Aufgabe | Enterprise-Inhaber | Organisationsbesitzer | Migrator |
|---|---|---|---|
| Ausführen einer Migration (Quellorganisation) | - | read:org, repo | read:org, repo |
| Ausführen einer Organisationsmigration (Zielunternehmen) | read:enterprise, admin:org, repo, workflow | - | - |
| Zuweisen der Migrationsrolle für Repositorymigrationsvorgänge | - | admin:org | - |
| Ausführen einer Repositorymigration (Zielorganisation) | - | repo, admin:org, workflow | repo, read:org, workflow |
| Herunterladen eines Migrationsprotokolls | - | repo, admin:org, workflow | repo, read:org, workflow |
| Freigeben von Mannequins | - | admin:org | - |
Personal access token für Azure DevOps
Um eine Migration von Azure DevOps (ADO) auszuführen, muss das ADO-personal access token für die Bereiche work item (read), code (read) und identity (read) gelten.
Wenn du von mehreren Organisationen migrieren möchtest, benötigt das personal access token Zugriff auf alle zugänglichen Organisationen. Weitere Informationen findest du unter Verwenden von personal access token in der Microsoft-Dokumentation.
Erstellen eines personal access token für GitHub Enterprise Importer
- Vergewissere dich, dass du über eine ausreichende Rolle für die Aufgabe verfügen, die du ausführen möchtest. Weitere Informationen findest du unter Erforderliche Rollen.
- Erstelle ein personal access token, und stelle sicher, dass du alle Bereiche zuweist, die für die auszuführende Aufgabe erforderlich sind. Du kannst nur ein personal access token verwenden, kein fine-grained personal access token. Weitere Informationen findest du unter Erstellen eines persönlichen Zugriffstokens und Erforderliche Bereiche für personal access token.
- Wenn einmaliges Anmelden mit SAML für die Organisationen erzwungen wird, auf die du zugreifen musst, autorisierst du das personal access token für einmaliges Anmelden. Weitere Informationen findest du unter Ein persönliches Zugriffstoken für die Verwendung mit SAML Single Sign-On autorisieren.
Konfigurieren von Listen zugelassener IP-Adressen für Migrationsvorgänge
Wenn du Listen zugelassener IP-Adressen an der Migrationsquelle oder am Ziel verwendest, musst du möglicherweise die Listen konfigurieren, um den Zugriff von GitHub Enterprise Importer zuzulassen.
Damit du die Listen zugelassener IP-Adressen ordnungsgemäß konfigurierst, sollten du die folgenden Abschnitte sorgfältig durchlesen. Abhängig von deiner Migration sind möglicherweise mehrere Abschnitte relevant.
Die Quelle oder das Ziel deiner Migration ist GitHub.com.
Du musst Listen zugelassener IP-Adressen in GitHub.com konfigurieren, wenn für dein Migration die beiden folgenden Aussagen zutreffen:
- Die Quelle oder das Ziel deiner Migration ist GitHub.com.
- Die Quelle oder das Ziel verwendet eine Liste zugelassener IP-Adressen, entweder das Feature für Listen zugelassener IP-Adressen von GitHub oder die Einschränkungen für Listen zugelassener IP-Adressen deines Identitätsanbieters (IdP) (z. B. Azure CAP).
Wenn du das Feature für Listen zugelassener IP-Adressen von GitHub verwendest, musst du der Positivliste die unten angegebenen GitHub-IP-Bereiche für die Quell- und/oder Zielorganisationen hinzufügen.
Wenn du die Liste zugelassener IP-Adressen deines Identitätsanbieters verwendest, um den Zugriff auf dein Unternehmen in GitHub.com einzuschränken, solltest du diese Einschränkungen in den Einstellungen deines Unternehmenskontos deaktivieren, bis die Migration abgeschlossen ist.
Weitere Informationen findest du unter Verwaltung erlaubter IP-Adressen für deine Organisation und unter Einschränken des Netzwerkdatenverkehrs in deinem Unternehmen mit einer Liste zugelassener IP-Adressen.
Die Quelle deiner Migration ist GitHub Enterprise Server.
Wenn die Quelle deiner Migration GitHub Enterprise Server ist, musst du deiner Firewallkonfiguration oder der Liste zugelassener IP-Adressen für deine GitHub Enterprise Server-Instanz keine GitHub-IP-Bereiche hinzufügen.
Je nach Setup deines Blobspeicheranbieters musst du jedoch möglicherweise die Konfiguration deines Blobspeicheranbieters anpassen, um den Zugriff auf die unten angegebenen GitHub-IP-Bereiche zu ermöglichen.
Identifizieren der IP-Bereiche von GitHub
Du kannst über den Endpunkt „Get GitHub“ der REST-API eine aktuelle Liste der IP-Bereiche abrufen, die von GitHub Enterprise Importer für ausgehende Verbindungen verwendet werden. Weitere Informationen findest du in der REST-API-Dokumentation unter Meta.
Der hooks-Schlüssel in der Antwort enthält eine Liste der IP-Bereiche, die für Migrationsvorgänge verwendet werden.