Migración de SAML a OIDC

En este artículo

Si usas SAML para autenticar miembros en tu empresa con usuarios administrados, puedes migrar a OpenID Connect (OIDC) y beneficiarte de la compatibilidad con la Directiva de acceso condicional de tu proveedor de identidades.

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Nota: La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Azure AD.

Acerca de la migración de empresa con usuarios administrados de SAML a OIDC

Si tu empresa con usuarios administrados usa el SSO de SAML para autenticarse con Azure Active Directory (Azure AD), puedes migrar a OIDC. Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones del usuario con GitHub, cuando los miembros cambian las direcciones IP y cada vez que se usa personal access token o una clave SSH.

Al migrar de SAML a OIDC, cuentas de usuario administradas y los grupos que estaban aprovisionados para SAML, pero que no están aprovisionados por la aplicación GitHub Enterprise Managed User (OIDC), tendrán el sufijo "(SAML)" adjunto al nombre para mostrar.

Si no estás familiarizado con Enterprise Managed Users y todavía no configuraste la autenticación para tu empresa, no es necesario que migres y puedes configurar el inicio de sesión único de OIDC de inmediato. Para obtener más información, vea «Configuración de OIDC para usuarios administrados de Enterprise».

Prerrequisitos

  • Tu empresa en GitHub.com debe estar configurada actualmente para utilizar SAML para la autenticación. Para obtener más información, vea «Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise».

  • Tendrás que acceder a tu empresa en GitHub.com y al inquilino en Azure Active Directory (AD).

  • Programa una hora para migrar en la que los usuarios no estén usando activamente los recursos de la empresa. Durante la migración, los usuarios no pueden acceder a la empresa hasta que hayas configurado la nueva aplicación y se hayan reaprovisionado los usuarios.

Migración de tu empresa

Para migrar la empresa de SAML a OIDC, deshabilitarás la aplicación GitHub Enterprise Managed User existente en Azure AD, prepararás e iniciarás la migración como el usuario de configuración de la empresa en GitHub.com y, luego, instalarás y configurarás la nueva aplicación para OIDC en Azure AD. Una vez que se haya completado la migración y Azure AD haya aprovisionado a los usuarios, estos podrán autenticarse para acceder a los recursos de la empresa en GitHub.com mediante OIDC.

Advertencia: La migración de su empresa de SAML a OIDC puede tardar hasta una hora. Durante la migración, los usuarios no pueden acceder a la empresa en GitHub.com.

  1. Antes de empezar la migración, inicia sesión en Azure y deshabilita el aprovisionamiento en la aplicación GitHub Enterprise Managed User existente.

  2. Si usas directivas de ubicación de red de acceso condicional (CA) en Azure AD y actualmente usas una lista de direcciones IP permitidas con tu cuenta empresarial o con cualquiera de las organizaciones que pertenecen a la cuenta empresarial en GitHub.com, deshabilita las listas de direcciones IP permitidas. Para obtener más información, vea «Requerir las políticas para los ajustes de seguridad en tu empresa» y «Administrar las direcciones IP permitidas en tu organización».

  3. Inicia sesión en GitHub.com como el usuario de configuración de la empresa con el nombre de usuario @SHORT-CODE_admin , reemplazando SHORT-CODE por el código corto de tu empresa.

  4. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  5. En la lista de empresas, da clic en aquella que quieras ver.

  6. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  7. Cuando se te pida continuar a tu proveedor de identidades, haz clic en Usar un código de recuperación e inicia sesión con uno de los códigos de recuperación de la empresa.

    Nota: Debes usar un código de recuperación para la empresa, no para la cuenta de usuario. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

  8. En Configuración, haz clic en Seguridad de autenticación.

  9. En la parte inferior de la página, junto a "Migrar al inicio de sesión único de OpenID Connect", haz clic en Configurar con Azure.

  10. Lee la advertencia y, a continuación, haz clic en "Entiendo, comenzar la migración a OpenID Connect".

  11. Cuando GitHub Enterprise Cloud te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Cuando Azure AD solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, a continuación, haz clic en Aceptar.

    Advertencia: Debes iniciar sesión en Azure AD como usuario con derechos de administrador global para dar tu consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).

  12. Después de conceder consentimiento, se abrirá una nueva ventana del explorador en GitHub.com con un nuevo conjunto de códigos de recuperación para empresa con usuarios administrados. Descarga los códigos y haz clic en "Habilitar autenticación OIDC".

  13. Espera a que se complete la migración, que puede tardar hasta una hora. Para comprobar el estado de la migración, ve a la página de configuración de seguridad de autenticación de la empresa. Si se selecciona "Requerir autenticación SAML", la migración sigue en curso.

    Advertencia: No aprovisiones nuevos usuarios de la aplicación en Azure AD durante la migración.

  14. En una pestaña o ventana nueva, mientras sigues en la sesión que iniciaste como usuario de configuración en GitHub.com, crea un personal access token (classic) con el ámbito admin:enterprise y sin expiración y cópialo en el Portapapeles. Para más información sobre cómo crear un token, consulta "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".

  15. En la configuración de aprovisionamiento de la aplicación GitHub Enterprise Managed User (OIDC) en Azure Portal, en "URL de inquilino", escribe https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE y reemplaza YOUR_ENTERPRISE por el nombre de tu cuenta empresarial.

    Por ejemplo, si la dirección URL de tu cuenta empresarial es https://github.com/enterprises/octo-corp, el nombre de la cuenta empresarial es octo-corp.

  16. En "Token secreto", pega personal access token (classic) con el ámbito admin:enterprise que creaste anteriormente.

  17. Para probar la configuración, haz clic en Probar conexión.

  18. Para guardar los cambios, haz clic en Guardar en la parte superior del formulario.

  19. En Azure Portal, copia los usuarios y los grupos de la aplicación GitHub Enterprise Managed User anterior a la aplicación GitHub Enterprise Managed User (OIDC) nueva.

  20. Para probar la configuración, aprovisiona un usuario nuevo único.

  21. Si la prueba se completa correctamente, empieza a aprovisionar para todos los usuarios con un clic en Iniciar aprovisionamiento.