Administración del acceso para una migración desde Azure DevOps

Acerca del acceso necesario para GitHub Enterprise Importer

Para proteger los datos, GitHub aplica requisitos de acceso específicos para usar GitHub Enterprise Importer. Estos requisitos varían en función de la tarea que intentas realizar. Para evitar errores, debes revisar este artículo cuidadosamente y comprobar que cumples todos los requisitos de la tarea que quieres completar.

Para migrar un repositorio de Azure DevOps a GitHub, necesitas acceso suficiente tanto al origen (una organización en Azure DevOps) como al destino (una organización en GitHub). Para tener acceso suficiente, necesitarás todo lo siguiente.

• Un rol necesario en la organización de destino en GitHub
• Un personal access token que pueda acceder a la organización de destino en GitHub
  • La instancia de personal access token debe tener todos los ámbitos necesarios, que dependen de tu rol y de la tarea que quieras completar.
  • Si la organización de destino usa el inicio de sesión único de SAML para GitHub.com, debes autorizar personal access token para el inicio de sesión único.
• Un personal access token que pueda acceder a la organización de origen en Azure DevOps.

Además, si usas listas de direcciones IP permitidas con el origen o destino, es posible que tengas que configurar las listas de permitidos para permitir el acceso por GitHub Enterprise Importer.

Acerca del rol de migración

Para quitar la necesidad de que los propietarios de la organización completen las migraciones, en GitHub.com se incluye un rol único para usar GitHub Enterprise Importer. La concesión del rol de migración te permite designar otros equipos o individuos para controlar las migraciones. Solo puedes conceder el rol de migración para una organización en GitHub.com.

Puedes conceder el rol de migración a un usuario individual o a un equipo. Se recomienda encarecidamente asignar el rol de migración a un equipo. Después, puedes personalizar aún más quién puede ejecutar una migración si ajustas la pertenencia al equipo. Para más información sobre cómo cambiar la pertenencia al equipo, consulta "Agregar miembros de la organización a un equipo" o "Eliminar de un equipo a miembros de la organización".

Para conceder el rol de migración, consulta "Conceder el rol de migración".

Después de conceder el rol de migración, asegúrate de que el responsable de la migración usa una instancia de personal access token que cumpla todos los requisitos para ejecutar migraciones.

Roles obligatorios para GitHub

Para la organización de destino en GitHub, se requieren distintos roles para diferentes tareas.

En la tabla siguiente se enumeran qué tareas pueden realizar qué roles.

Tarea	Propietario de la organización	Responsable de la migración
Asignación del rol de migración para las migraciones de repositorio
Ejecución de una migración de repositorio
Descarga de un registro de migración
Reclamación de maniquíes

Ámbitos obligatorios para instancias de personal access token

Para ejecutar una migración, necesita un personal access token que pueda acceder a la organización de destino en GitHub, y otro personal access token que pueda acceder a la organización de origen en Azure DevOps.

Para otras tareas, como descargar un registro de migración, solo necesitas un personal access token que pueda acceder a la organización de destino en GitHub.

Personal access tokens para GitHub

Los ámbitos necesarios para GitHub personal access token (classic) dependen de tu rol y de la tarea que quieras completar.

Tarea	Propietario de la organización	Responsable de la migración
Asignación del rol de migración para las migraciones de repositorio	admin:org
Ejecución de una migración de repositorios (organización de destino)	repo, admin:org, workflow	repo, read:org, workflow
Descarga de un registro de migración	repo, admin:org, workflow	repo, read:org, workflow
Reclamación de maniquíes	admin:org

Personal access token para Azure DevOps

El personal access token de Azure DevOps debe tener los ámbitos work item (read), code (read) y identity (read).

Si deseas usar las marcas --integrate-boards o --rewire-pipelines al generar un script de migración, también necesitarás el ámbito Build (Read).

Si quieres realizar la migración desde varias organizaciones, permite que personal access token acceda a todas las organizaciones accesibles. Para más información, consulta Uso de personal access token en Microsoft Docs.

Concesión del rol de migración

Para permitir que alguien que no sea propietario de la organización ejecute una migración o descargue registros de migración, puedes conceder el rol de migración a un usuario o equipo. Para obtener más información, consulta "Acerca del rol de migración".

Puedes conceder el rol de migración mediante ADO2GH extension of the GitHub CLI o GraphQL API.

• "Concesión del rol de migración con ADO2GH extension"
• "Concesión del rol de migración con GraphQL API"

Concesión del rol de migración con ADO2GH extension

Para conceder el rol de migración mediante la CLI, debes haber instalado ADO2GH extension of the GitHub CLI. Para obtener más información, vea «Migración de repositorios desde Azure DevOps a GitHub Enterprise Cloud».

1. En GitHub.com, crea y registra una instancia de personal access token que cumpla todos los requisitos para conceder el rol de migración. Para obtener más información, consulta "Creación de un personal access token para GitHub."

2. Establece personal access token como una variable de entorno, y reemplaza TOKEN en los comandos siguientes por el valor personal access token que has registrado antes.

   • Si usas Terminal, utiliza el comando export.

     Shell

     export GH_PAT="TOKEN"
     

   • Si usas PowerShell, utiliza el comando $env.

     Shell

     $env:GH_PAT="TOKEN"
     

3. Usa el comando gh ado2gh grant-migrator-role, y reemplaza ORGANIZATION por la organización a la que quieras conceder el rol de migración, ACTOR por el nombre de usuario o equipo, y TYPE por USER o TEAM.

   Shell

   gh ado2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE
   

Concesión del rol de migración con GraphQL API

Puedes usar la mutación grantMigratorRole de GraphQL para asignar el rol de migración y la mutación revokeMigratorRole para revocarlo.

Debes usar una instancia de personal access token (PAT) que cumpla todos los requisitos de acceso. Para obtener más información, consulta "Ámbitos obligatorios para instancias de personal access token".

Mutación grantMigratorRole

Esta mutación de GraphQL establece el rol de migración.

mutation grantMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  grantMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}

Variable de consulta	Descripción
organizationId	Valor ownerId (o id. de organización) de la organización, de la consulta GetOrgInfo.
actor	Equipo o nombre de usuario al que quieres asignar el rol de migración.
actor_type	Especifica si el responsable de la migración es USER o TEAM.

Mutación revokeMigratorRole

Esta mutación elimina el rol de migración.

mutation revokeMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  revokeMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}

Creación de un personal access token para GitHub

1. Comprueba que tienes un rol suficiente para la tarea que quieres completar. Para más información, consulta "Roles obligatorios".
2. Crea una instancia de personal access token (classic) y asegúrate de conceder todos los ámbitos necesarios para la tarea que quieres completar. Solo puedes usar un personal access token (classic), no un fine-grained personal access token. Para más información, consulta "Administración de tokens de acceso personal" y "Ámbitos obligatorios para personal access token".
3. Si se aplica el inicio de sesión único de SAML para las organizaciones a las que necesitas acceder, autoriza la instancia de personal access token para el inicio de sesión único. Para obtener más información, vea «Autorizar un token de acceso personal para usar con un inicio de sesión único de SAML».

Configuración de listas de direcciones IP permitidas para migraciones

Si el origen o el destino de la migración usa una lista de direcciones IP permitidas, ya sea la característica de lista de direcciones IP permitidas de GitHub, o bien las restricciones de lista de direcciones IP permitidas del proveedor de identidades (IdP), como Azure CAP, debes configurar las listas de direcciones IP permitidas en GitHub.com.

• Si usas la característica de lista de direcciones IP permitidas de GitHub, tendrás que agregar los intervalos IP de GitHub siguientes a la lista de permitidos para las organizaciones de origen o destino.
• Si usas la lista de direcciones IP permitidas del IdP para restringir el acceso a la empresa en GitHub.com, debes deshabilitar estas restricciones en la configuración de la cuenta empresarial hasta que se complete la migración.

Para obtener más información, vea «Administrar las direcciones IP permitidas en tu organización» y «Restricción del tráfico de red a la empresa con una lista de direcciones IP permitidas».

Identificación de los intervalos IP de GitHub

Deberás agregar los siguientes intervalos IP a las listas de direcciones IP permitidas:

• 192.30.252.0/22
• 185.199.108.0/22
• 140.82.112.0/20
• 143.55.64.0/20
• 40.71.233.224/28
• 2a0a:a440::/29
• 2606:50c0::/32
• 20.125.12.8/29 (activo de 00:00 UTC el 8 de noviembre de 2023)

Puedes obtener una lista actualizada de los intervalos IP usados por GitHub Enterprise Importer en cualquier momento con el punto de conexión "Obtener información meta de GitHub" de la API de REST.

La clave github_enterprise_importer de la respuesta contiene una lista de los intervalos IP usados para las migraciones.

Para obtener más información, vea «Puntos de conexión de la API de REST para metadatos».

Información adicional

• "Roles en una organización"