Acerca de las migraciones entre IdP e inquilinos
Al usar Enterprise Managed Users, es posible que tengas que migrar la empresa a un nuevo inquilino del IdP o a un sistema de administración de identidades diferente. Por ejemplo, es posible que vayas a migrar de un entorno de prueba al entorno de producción o que tu compañía decida usar un nuevo sistema de identidades.
Antes de migrar a una nueva configuración de autenticación y aprovisionamiento, revisa los requisitos previos y las directrices para la preparación. Cuando estés listo para migrar, deshabilitarás la autenticación y el aprovisionamiento de la empresa y, a continuación, volverás a configurar ambos. No se puede editar la configuración existente para la autenticación y el aprovisionamiento.
Requisitos previos
- Cuando comenzaste a usar GitHub Enterprise Cloud, debes haber elegido crear un empresa con usuarios administrados. Para obtener más información, vea «Elección de un tipo de empresa para GitHub Enterprise Cloud».
- Revisa y reconoce los requisitos para la integración con Enterprise Managed Users desde un sistema de administración de identidades externo. Para simplificar la configuración y el soporte técnico puedes usar un IdP de asociado único para una integración de "ruta de acceso guiada". Como alternativa, puedes configurar la autenticación mediante un sistema que cumpla los estándares del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) 2.0 y el System for Cross-domain Identity Management (SCIM) 2.0. Para más información, consulta Acerca de Enterprise Managed Users.
- Debes haber configurado la autenticación y el aprovisionamiento de SCIM para tu empresa.
Preparación de la migración
Para migrar a una nueva configuración para la autenticación y el aprovisionamiento, primero debes deshabilitar la autenticación y el aprovisionamiento de la empresa. Antes de deshabilitar la configuración existente, revisa las consideraciones siguientes:
-
GitHub restablecerá los registros SCIM asociados con los cuentas de usuario administradas de tu empresa. Antes de migrar, determina si los valores del atributo
userName
de SCIM normalizado seguirán siendo los mismos para los cuentas de usuario administradas del nuevo entorno. Para más información, consulta Consideraciones sobre el nombre de usuario para la autenticación externa.- Si los valores
userName
de SCIM normalizados seguirán siendo los mismos después de la migración, puedes completarla manualmente. - Si los valores
userName
de SCIM normalizados van a cambiar después de la migración, necesitarás la ayuda de GitHub para realizar la migración. Para obtener más información, consulta Migración cuando los valoresuserName
de SCIM normalizados cambiarán.
- Si los valores
-
No quites ningún usuario o grupo de la aplicación para los Enterprise Managed Users en tu sistema de administración de identidades hasta que finalice la migración.
-
personal access tokens eliminará cualquier personal access tokens o las claves SSH asociadas a los cuentas de usuario administradas de tu empresa. Planea una ventana de migración después de la reconfiguración durante la cual puedes crear y proporcionar nuevas credenciales a cualquier integración externa.
-
GitHub Enterprise Cloud eliminará las conexiones entre equipos de GitHub y grupos de IdP, y no restablecerá las conexiones después de la migración. GitHub también eliminará todos los miembros del equipo y dejará el equipo sin estar conectado al IdP. Puedes experimentar interrupciones si usas grupos en el sistema de administración de identidades para administrar el acceso a organizaciones o licencias. GitHub recomienda usar la API de REST para enumerar las conexiones de equipo y la pertenencia a grupos antes de migrar y restablecer las conexiones después. Para más información, consulta Puntos de conexión de la API de REST para grupos externos en la documentación de la API de REST.
Migración a un nuevo IdP o inquilino
Para migrar a un nuevo IdP o inquilino, debes completar las siguientes tareas.
- Valida los atributos SCIM
userName
coincidentes. - Descarga códigos de recuperación de inicio de sesión único.
- Deshabilita el aprovisionamiento en el IdP actual.
- Deshabilita la autenticación y el aprovisionamiento de la empresa.
- Valida la suspensión de los miembros de la empresa.
- Reconfigura la autenticación y el aprovisionamiento.
1. Valida los atributos SCIM userName
coincidentes.
Para una migración sin problemas, asegúrate de que el atributo SCIM userName
del nuevo proveedor SCIM coincida con el atributo en el proveedor de SCIM anterior. Si estos atributos no coinciden, consulta Migración cuando cambian los valores de SCIM userName
normalizados.
2. Descarga códigos de recuperación de inicio de sesión único.
Si aún no tienes códigos de recuperación de inicio de sesión único para la empresa, descárgalos ahora. Para más información, consulta Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa.
3. Deshabilita el aprovisionamiento en el IdP actual.
- En el IdP actual, desactiva el aprovisionamiento en la aplicación para los Enterprise Managed Users.
- Si usas Entra ID, ve a la pestaña "Aprovisionamiento" de la aplicación y haz clic en Detener aprovisionamiento.
- Si usas Okta, ve a la pestaña "Aprovisionamiento" de la aplicación, haz clic en la pestaña Integración y, luego, haz clic en Editar. Anula la selección de Habilitar la integración con la API.
- Si usas PingFederate, ve a la configuración del canal en la aplicación. En la pestaña Activación y resumen, haz clic en Activo o Inactivo para alternar el estado de aprovisionamiento y, a continuación, haz clic en Guardar. Para obtener más información sobre la administración del aprovisionamiento, consulte Revisión de la configuración del canal y Administración de canales en la documentación de PingFederate.
- Si usas otro sistema de administración de identidades, consulta la documentación del sistema, el equipo de soporte técnico u otros recursos.
4. Deshabilita la autenticación y el aprovisionamiento de la empresa.
- Use un código de recuperación para iniciar sesión en GitHub como usuario de configuración, cuyo nombre de usuario es el código corto de la empresa con el sufijo
_admin
. Para obtener más información sobre el usuario de instalación, consulta Introducción a Enterprise Managed Users. - Deshabilita la autenticación y el aprovisionamiento de la empresa. Para más información, consulta Deshabilitación de la autenticación y aprovisionamiento para usuarios administrados por Enterprise.
- Espera una hora para que los GitHub Enterprise Cloud restablezcan los registros SCIM de la empresa y suspendan los miembros de la empresa.
5. Valida la suspensión de los miembros de la empresa.
Después de deshabilitar la autenticación y el aprovisionamiento, GitHub Enterprise Cloud suspenderá todos los cuentas de usuario administradas para tu empresa. Puedes validar la suspensión de los miembros de la empresa mediante la interfaz de usuario web.
-
Consulta los miembros suspendidos en tu empresa. Para más información, consulta Visualizar a las personas en tu empresa.
-
Si aún no están suspendidos todos los miembros de la empresa, continúa esperando y revisa los registros en el proveedor de SCIM.
- Si usas Entra ID, la suspensión de los miembros puede tardar hasta 40 minutos. Para acelerar el proceso de un usuario individual, haz clic en el botón Aprovisionar a petición en la pestaña "Aprovisionamiento" de la aplicación para Enterprise Managed Users.
6. Reconfigura la autenticación y el aprovisionamiento.
Después de validar la suspensión de los miembros de la empresa, vuelve a configurar la autenticación y el aprovisionamiento.
- Configura la autenticación mediante SAML u OIDC SSO. Para más información, consulta Configuración de la autenticación para usuarios administrados por Enterprise.
- Configura el aprovisionamiento de SCIM. Para más información, consulta Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales.
Para anular la suspensión de cuentas de usuario administradas y permitirles iniciar sesión en GitHub Enterprise Cloud, el proveedor de SCIM debe volver a aprovisionar sus cuentas.
Migración cuando los valores userName
de SCIM normalizados cambiarán
Si los valores userName
de SCIM normalizados cambiarán, GitHub debe aprovisionar una nueva cuenta empresarial para la migración. Ponte en contacto con nuestro equipo de ventas para obtener ayuda.