Migración de la empresa a un nuevo proveedor de identidades o inquilino

Si tu empresa usa un nuevo proveedor de identidades (IdP) o inquilino para la autenticación y el aprovisionamiento después de configurar inicialmente el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) o el OpenID Connect (OIDC) y SCIM, puedes migrar a una nueva configuración.

¿Quién puede utilizar esta característica?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

En este artículo

Acerca de las migraciones entre IdP e inquilinos

Al usar Enterprise Managed Users, es posible que tengas que migrar la empresa a un nuevo inquilino del IdP o a un sistema de administración de identidades diferente. Por ejemplo, es posible que vayas a migrar de un entorno de prueba al entorno de producción o que tu compañía decida usar un nuevo sistema de identidades.

Antes de migrar a una nueva configuración de autenticación y aprovisionamiento, revisa los requisitos previos y las directrices para la preparación. Cuando estés listo para migrar, deshabilitarás la autenticación y el aprovisionamiento de la empresa y, a continuación, volverás a configurar ambos. No se puede editar la configuración existente para la autenticación y el aprovisionamiento.

Requisitos previos

  • Cuando comenzaste a usar GitHub Enterprise Cloud, debes haber elegido crear un empresa con usuarios administrados. Para obtener más información, consulta “Elección de un tipo de empresa para GitHub Enterprise Cloud”.
  • Revisa y reconoce los requisitos para la integración con Enterprise Managed Users desde un sistema de administración de identidades externo. Para simplificar la configuración y el soporte técnico puedes usar un IdP de asociado único para una integración de "ruta de acceso guiada". Como alternativa, puedes configurar la autenticación mediante un sistema que cumpla los estándares del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) 2.0 y el System for Cross-domain Identity Management (SCIM) 2.0. Para obtener más información, consulta “Acerca de Enterprise Managed Users”.
  • Debes haber configurado la autenticación y el aprovisionamiento de SCIM para tu empresa.

Preparación para la migración

Para migrar a una nueva configuración para la autenticación y el aprovisionamiento, primero debes deshabilitar la autenticación y el aprovisionamiento de la empresa. Antes de deshabilitar la configuración existente, revisa las consideraciones siguientes:

  • GitHub restablecerá los registros SCIM asociados con los cuentas de usuario administradas de tu empresa. Antes de migrar, determina si los valores del atributo userName de SCIM normalizado seguirán siendo los mismos para los cuentas de usuario administradas del nuevo entorno. Para obtener más información, consulta “Consideraciones sobre el nombre de usuario para la autenticación externa”.

    • Si los valores userName de SCIM normalizados seguirán siendo los mismos después de la migración, puedes completarla manualmente.
    • Si los valores userName de SCIM normalizados van a cambiar después de la migración, necesitarás la ayuda de GitHub para realizar la migración. Para obtener más información, consulta "Migración cuando los valores userName de SCIM normalizados cambiarán".

  • No quites ningún usuario o grupo de la aplicación para los Enterprise Managed Users en tu sistema de administración de identidades hasta que finalice la migración.

  • personal access tokens eliminará cualquier personal access tokens o las claves SSH asociadas a los cuentas de usuario administradas de tu empresa. Planea una ventana de migración después de la reconfiguración durante la cual puedes crear y proporcionar nuevas credenciales a cualquier integración externa.

  • GitHub Enterprise Cloud eliminará las conexiones entre equipos de GitHub y grupos de IdP, y no restablecerá las conexiones después de la migración. GitHub también eliminará todos los miembros del equipo y dejará el equipo sin estar conectado al IdP. Puedes experimentar interrupciones si usas grupos en el sistema de administración de identidades para administrar el acceso a organizaciones o licencias. GitHub recomienda usar la API de REST para enumerar las conexiones de equipo y la pertenencia a grupos antes de migrar y restablecer las conexiones después. Para obtener más información, consulte "Puntos de conexión de la API de REST para grupos externos" en la documentación de la API de REST.

Migración a un nuevo IdP o inquilino

Para migrar a un nuevo IdP o inquilino, debes completar las siguientes tareas.

  1. Valida los atributos SCIM userName coincidentes.
  2. Descarga códigos de recuperación de inicio de sesión único.
  3. Deshabilita el aprovisionamiento en el IdP actual.
  4. Deshabilita la autenticación y el aprovisionamiento de la empresa.
  5. Valida la suspensión de los miembros de la empresa.
  6. Reconfigura la autenticación y el aprovisionamiento.

1. Valida los atributos SCIM userName coincidentes.

Para una migración sin problemas, asegúrate de que el atributo SCIM userName del nuevo proveedor SCIM coincida con el atributo en el proveedor de SCIM anterior. Si estos atributos no coinciden, consulta "Migración cuando cambian los valores de SCIM userName normalizados".

2. Descarga códigos de recuperación de inicio de sesión único.

Si aún no tienes códigos de recuperación de inicio de sesión único para la empresa, descárgalos ahora. Para obtener más información, consulta “Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa”.

3. Deshabilita el aprovisionamiento en el IdP actual.

  1. En el IdP actual, desactiva el aprovisionamiento en la aplicación para los Enterprise Managed Users.
    • Si usas Entra ID, ve a la pestaña "Aprovisionamiento" de la aplicación y haz clic en Detener aprovisionamiento.
    • Si usas Okta, ve a la pestaña "Aprovisionamiento" de la aplicación, haz clic en la pestaña Integración y, luego, haz clic en Editar. Anula la selección de Habilitar la integración con la API.
    • Si usas PingFederate, ve a la configuración del canal en la aplicación. En la pestaña Activación y resumen, haz clic en Activo o Inactivo para alternar el estado de aprovisionamiento y, a continuación, haz clic en Guardar. Para obtener más información sobre cómo administrar el aprovisionamiento, consulta "Revisión de la configuración del canal" y "Administración de canales" en la documentación de PingFederate.
    • Si usas otro sistema de administración de identidades, consulta la documentación del sistema, el equipo de soporte técnico u otros recursos.

4. Deshabilita la autenticación y el aprovisionamiento de la empresa.

  1. Usa un código de recuperación para iniciar sesión en GitHub.com como usuario de configuración, cuyo nombre de usuario es el código corto de la empresa con el sufijo _admin. Para obtener más información sobre el usuario de instalación, consulta "Acerca de Enterprise Managed Users".
  2. Deshabilita la autenticación y el aprovisionamiento de la empresa. Para obtener más información, consulta “Deshabilitación de la autenticación y aprovisionamiento para usuarios administrados por Enterprise”.
  3. Espera una hora para que los GitHub Enterprise Cloud restablezcan los registros SCIM de la empresa y suspendan los miembros de la empresa.

5. Valida la suspensión de los miembros de la empresa.

Después de deshabilitar la autenticación y el aprovisionamiento, GitHub Enterprise Cloud suspenderá todos los cuentas de usuario administradas para tu empresa. Puedes validar la suspensión de los miembros de la empresa mediante la interfaz de usuario web.

  1. Consulta los miembros suspendidos en tu empresa. Para obtener más información, consulta “Visualizar a las personas en tu empresa”.

  2. Si aún no están suspendidos todos los miembros de la empresa, continúa esperando y revisa los registros en el proveedor de SCIM.

    • Si usas Entra ID, la suspensión de los miembros puede tardar hasta 40 minutos. Para acelerar el proceso de un usuario individual, haz clic en el botón Aprovisionar a petición en la pestaña "Aprovisionamiento" de la aplicación para Enterprise Managed Users.

6. Reconfigura la autenticación y el aprovisionamiento.

Después de validar la suspensión de los miembros de la empresa, vuelve a configurar la autenticación y el aprovisionamiento.

  1. Configura la autenticación mediante SAML u OIDC SSO. Para obtener más información, consulta “Configuración de la autenticación para usuarios administrados por Enterprise”.
  2. Configura el aprovisionamiento de SCIM. Para obtener más información, consulta “Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales”.

Para anular la suspensión de cuentas de usuario administradas y permitirles iniciar sesión en GitHub Enterprise Cloud, el proveedor de SCIM debe volver a aprovisionar sus cuentas.

Migración cuando los valores userName de SCIM normalizados cambiarán

Si los valores userName de SCIM normalizados cambiarán, GitHub debe aprovisionar una nueva cuenta empresarial para la migración. Ponte en contacto con nuestro equipo de ventas para obtener ayuda.