Migración de la empresa a un nuevo proveedor de identidades o inquilino

Si tu empresa usa un nuevo proveedor de identidades (IdP) o inquilino para la autenticación y el aprovisionamiento después de configurar inicialmente el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) o el OpenID Connect (OIDC) y SCIM, puedes migrar a una nueva configuración.

¿Quién puede utilizar esta característica?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulta Acerca de Enterprise Managed Users.

En este artículo

Acerca de las migraciones entre IdP e inquilinos

Al usar Enterprise Managed Users, es posible que tengas que migrar la empresa a un nuevo inquilino del IdP o a un sistema de administración de identidades diferente. Por ejemplo, es posible que vayas a migrar de un entorno de prueba al entorno de producción o que tu compañía decida usar un nuevo sistema de identidades.

Antes de migrar a una nueva configuración de autenticación y aprovisionamiento, revisa los requisitos previos y las directrices para la preparación. Cuando estés listo para migrar, deshabilitarás la autenticación y el aprovisionamiento de la empresa y, a continuación, volverás a configurar ambos. No se puede editar la configuración existente para la autenticación y el aprovisionamiento.

GitHub eliminará las identidades SCIM existentes asociadas a las instancias de cuentas de usuario administradas de la empresa cuando la autenticación esté deshabilitada para la empresa. Para más información sobre el impacto de deshabilitar la autenticación para una empresa con usuarios administrados por la empresa, consulta Deshabilitación de la autenticación para usuarios administrados por Enterprise.

Después de volver a configurar la autenticación y el aprovisionamiento al final de la migración, los usuarios y los grupos se deben volver a aprovisionar desde el nuevo IdP o inquilino. Cuando se vuelven a aprovisionar los usuarios, GitHub comparará los valores de atributo userName normalizados de SCIM con los nombres de usuario de GitHub (la parte anterior a _[shortcode]) de la empresa para vincular las identidades SCIM desde el nuevo IdP o inquilino a las cuentas de usuario administradas de empresa existentes. Para más información, consulta Consideraciones sobre el nombre de usuario para la autenticación externa.

Requisitos previos

  • Cuando comenzaste a usar GitHub Enterprise Cloud, debes haber elegido crear un empresa con usuarios administrados. Para más información, consulta Elección de un tipo de empresa para GitHub Enterprise Cloud.
  • Revisa y reconoce los requisitos para la integración con Enterprise Managed Users desde un sistema de administración de identidades externo. Para simplificar la configuración y el soporte técnico puedes usar un IdP de asociado único para una integración de "ruta de acceso guiada". Como alternativa, puedes configurar la autenticación mediante un sistema que cumpla los estándares del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) 2.0 y el System for Cross-domain Identity Management (SCIM) 2.0. Para más información, consulta Acerca de Enterprise Managed Users.
  • Debes haber configurado la autenticación y el aprovisionamiento de SCIM para tu empresa.

Preparación de la migración

Para migrar a una nueva configuración para la autenticación y el aprovisionamiento, primero debes deshabilitar la autenticación y el aprovisionamiento de la empresa. Antes de deshabilitar la configuración existente, revisa las consideraciones siguientes:

  • Antes de migrar, determina si los valores del atributo userName de SCIM normalizado seguirán siendo los mismos para los cuentas de usuario administradas del nuevo entorno. Estos valores de atributo userName de SCIM normalizados deben ser iguales para los usuarios de modo que las identidades de SCIM aprovisionadas desde el nuevo IdP o inquilino se vinculen correctamente a las cuentas de usuario administradas de empresa existentes. Para más información, consulta Consideraciones sobre el nombre de usuario para la autenticación externa.

    • Si los valores userName de SCIM normalizados seguirán siendo los mismos después de la migración, puedes completarla manualmente.
    • Si los valores userName de SCIM normalizados van a cambiar después de la migración, necesitarás la ayuda de GitHub para realizar la migración. Para obtener más información, consulta Migración cuando los valores userName de SCIM normalizados cambiarán.

  • No quites ningún usuario o grupo de la aplicación para los Enterprise Managed Users en tu sistema de administración de identidades hasta que finalice la migración.

  • GitHub eliminará cualquier personal access tokens o las claves SSH asociadas a los cuentas de usuario administradas de tu empresa. Planea una ventana de migración después de la reconfiguración durante la cual puedes crear y proporcionar nuevas credenciales a cualquier integración externa.

  • Como parte de los pasos de migración siguientes, GitHub eliminará todos los grupos aprovisionados por SCIM de la empresa cuando la autenticación esté deshabilitada para la empresa. Para más información, consulta Deshabilitación de la autenticación para usuarios administrados por Enterprise.

Si alguno de estos grupos de IdP aprovisionados por SCIM está vinculado a equipos de la empresa, se quitará el vínculo entre estos equipos en GitHub y grupos de IdP, y estos vínculos no se restablecerán automáticamente después de la migración. GitHub también quitará todos los miembros de los equipos vinculados anteriormente. Puedes experimentar interrupciones si usas grupos en el sistema de administración de identidades para administrar el acceso a organizaciones o licencias. GitHub recomienda usar la API de REST para enumerar las conexiones de equipo y la pertenencia a grupos antes de migrar y restablecer las conexiones después. Para más información, consulta Puntos de conexión de la API de REST para grupos externos en la documentación de la API de REST.

Migración a un nuevo IdP o inquilino

Para migrar a un nuevo IdP o inquilino, debes completar las siguientes tareas.

  1. Valida los atributos SCIM userName coincidentes.
  2. Descarga códigos de recuperación de inicio de sesión único.
  3. Deshabilita el aprovisionamiento en el IdP actual.
  4. Deshabilitación de la autenticación para la empresa.
  5. Valida la suspensión de los miembros de la empresa.
  6. Reconfigura la autenticación y el aprovisionamiento.

1. Valida los atributos SCIM userName coincidentes.

Para una migración sin problemas, asegúrate de que el atributo SCIM userName del nuevo proveedor SCIM coincida con el atributo en el proveedor de SCIM anterior. Si estos atributos no coinciden, consulta Migración cuando cambian los valores de SCIM userName normalizados.

2. Descarga códigos de recuperación de inicio de sesión único.

Si aún no tienes códigos de recuperación de inicio de sesión único para la empresa, descárgalos ahora. Para más información, consulta Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa.

3. Deshabilita el aprovisionamiento en el IdP actual.

  1. En el IdP actual, desactiva el aprovisionamiento en la aplicación para los Enterprise Managed Users.
    • Si usas Entra ID, ve a la pestaña "Aprovisionamiento" de la aplicación y haz clic en Detener aprovisionamiento.
    • Si usas Okta, ve a la pestaña "Aprovisionamiento" de la aplicación, haz clic en la pestaña Integración y, luego, haz clic en Editar. Anula la selección de Habilitar la integración con la API.
    • Si usas PingFederate, ve a la configuración del canal en la aplicación. En la pestaña Activación y resumen, haz clic en Activo o Inactivo para alternar el estado de aprovisionamiento y, a continuación, haz clic en Guardar. Para obtener más información sobre la administración del aprovisionamiento, consulte Revisión de la configuración del canal y Administración de canales en la documentación de PingFederate.
    • Si usas otro sistema de administración de identidades, consulta la documentación del sistema, el equipo de soporte técnico u otros recursos.

4. Deshabilitación de la autenticación para la empresa

  1. Use un código de recuperación para iniciar sesión en GitHub como usuario de configuración, cuyo nombre de usuario es el código corto de la empresa con el sufijo _admin. Para obtener más información sobre el usuario de instalación, consulta Introducción a Enterprise Managed Users.
  2. Deshabilita la autenticación para la empresa. Para más información, consulta Deshabilitación de la autenticación para usuarios administrados por Enterprise.
  3. Espera hasta una hora para que GitHub suspenda los miembros de la empresa, elimine las identidades de SCIM vinculadas y elimine los grupos de IdP aprovisionados por SCIM.

5. Valida la suspensión de los miembros de la empresa.

Después de deshabilitar la autenticación en la configuración empresarial de GitHub, GitHub suspenderá la totalidad de cuentas de usuario administradas (a excepción de la cuenta de usuario de configuración) en la empresa. Puedes validar la suspensión de los miembros de la empresa en GitHub.

  1. Consulta los miembros suspendidos en tu empresa. Para más información, consulta Visualizar a las personas en tu empresa.
  2. Si todas las cuentas de usuario administradas de la empresa aún no están suspendidas, continúa esperando y supervisando GitHub antes de continuar con el paso siguiente.

6. Reconfigura la autenticación y el aprovisionamiento.

Después de validar la suspensión de los miembros de la empresa, vuelve a configurar la autenticación y el aprovisionamiento.

  1. Configura la autenticación mediante SAML u OIDC SSO. Para más información, consulta Configuración de la autenticación para usuarios administrados por Enterprise.
  2. Configura el aprovisionamiento de SCIM. Para más información, consulta Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales.

7. Asegúrate de que los usuarios y grupos se vuelvan a aprovisionar desde el nuevo IdP o inquilino

  1. Para anular la suspensión de cuentas de usuario administradas y permitirles iniciar sesión en GitHub, el nuevo IdP o inquilino debe volver a aprovisionar a los usuarios. Esto vincula las identidades de SCIM desde el nuevo IdP o inquilino a las cuentas de usuario administradas de empresa existentes. Un usuario administrado por la empresa debe tener una identidad de SCIM vinculada para iniciar sesión.
    • Al volver a aprovisionar las cuentas de usuario de IdP, si un usuario se ha vinculado correctamente a su identidad de SCIM desde el nuevo IdP o inquilino, verás un vínculoSSO identity linked en su página en la configuración de la empresa, en la que se mostrará una sección SCIM identity con atributos de SCIM. Para más información, consulta Visualizar a las personas en tu empresa.
    • También puedes revisar los eventos external_identity.* y user.unsuspend relacionados en el registro de auditoría de la empresa. Para obtener más información, consulta Eventos de registro de auditoría de la empresa.
  2. Los grupos también se deben volver a aprovisionar desde el nuevo IdP o inquilino.
  3. Una vez que los grupos de IdP se han vuelto a aprovisionar en la empresa, los administradores pueden vincularlos a los equipos de la empresa según sea necesario.

Migración cuando los valores userName de SCIM normalizados cambiarán

Si los valores userName de SCIM normalizados cambiarán, GitHub debe aprovisionar una nueva cuenta empresarial para la migración. Ponte en contacto con nuestro equipo de ventas para obtener ayuda.