Migration de SAML vers OIDC

Si vous utilisez SAML afin d’authentifier les membres de votre entreprise avec utilisateurs managés, vous pouvez migrer vers OIDC (OpenID Connect) et bénéficier de la prise en charge de la stratégie d’accès conditionnel pour votre IdP.

Qui peut utiliser cette fonctionnalité ?

Pour gérer les utilisateurs de votre entreprise avec votre fournisseur d’identité, votre entreprise doit être activée pour Enterprise Managed Users, qui est disponible avec GitHub Enterprise Cloud. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Dans cet article

Remarque : La prise en charge d’OpenID Connect (OIDC) et de la stratégie d’accès conditionnel pour Enterprise Managed Users est disponible seulement pour Microsoft Entra ID (précédemment appelé Azure AD).

À propos de la migration d’une entreprise avec utilisateurs managés de SAML vers OIDC

Si votre entreprise avec utilisateurs managés utilise l’authentification SSO SAML pour s’authentifier auprès d’Entra ID, vous pouvez migrer vers OIDC. Lorsque votre entreprise utilise le SSO OIDC, GitHub utilisera automatiquement les conditions IP de la politique d'accès conditionnel (CAP) de votre IdP pour valider les interactions avec GitHub lorsque les membres changent d'adresse IP, et pour chaque authentification avec une personal access token ou une clé SSH associée à un compte d'utilisateur.

Quand vous migrez de SAML vers OIDC, les comptes d’utilisateur managés et les groupes qui ont été provisionnés pour SAML mais qui ne sont pas provisionnés par l’application GitHub Enterprise Managed User (OIDC) voient « (SAML) » ajouté à leur nom d’affichage.

Si vous débutez sur Enterprise Managed Users et si vous n’avez pas encore configuré l’authentification pour votre entreprise, vous n’avez pas besoin d’effectuer de migration. Vous pouvez configurer immédiatement l’authentification unique OIDC. Pour plus d’informations, consultez « Configuration d’OIDC pour les utilisateurs managés par l’entreprise ».

Avertissement : Lorsque vous migrez vers un nouveau fournisseur d’identité ou un nouveau locataire, les connexions entre les équipes GitHub et les groupes IdP sont supprimées et ne sont pas rétablies après la migration. Cela supprime tous les membres de l’équipe et laisse l’équipe non connectée à votre fournisseur d’identité, ce qui peut entraîner une interruption si vous utilisez la synchronisation d’équipe pour gérer l’accès aux organisations ou aux licences de votre fournisseur d’identité. Nous vous recommandons d’utiliser les points de terminaison « Groupes externes » de l’API REST pour collecter des informations sur la configuration de vos équipes avant de migrer et de rétablir les connexions par la suite. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les groupes externes ».

Prérequis

  • Votre entreprise sur GitHub.com doit actuellement être configurée pour utiliser SAML comme authentification avec Entra ID comme fournisseur d’identité. Pour plus d’informations, consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».

  • Vous devez accéder à la fois à votre entreprise sur GitHub.com et à votre locataire sur Entra ID.

  • Planifiez la migration lorsque les utilisateurs n’emploient pas activement les ressources de votre entreprise. Pendant la migration, les utilisateurs ne peuvent pas accéder à votre entreprise tant que vous n’avez pas configuré la nouvelle application et que les utilisateurs n’ont pas été reprovisionnés.

Migration de votre entreprise

Pour migrer votre entreprise de SAML vers OIDC, vous allez désactiver votre application GitHub Enterprise Managed User existante sur Entra ID, préparer et commencer la migration en tant qu’utilisateur de configuration de votre entreprise sur GitHub.com, puis installer et configurer la nouvelle application pour OIDC sur Entra ID. Une fois que la migration est terminée et qu’Entra ID a provisionné vos utilisateurs, ces derniers peuvent s’authentifier pour accéder aux ressources de votre entreprise sur GitHub.com en se servant d’OIDC.

Avertissement : La migration de votre entreprise de SAML vers OIDC peut prendre jusqu’à une heure. Pendant la migration, les utilisateurs ne peuvent pas accéder à votre entreprise sur GitHub.com.

  1. Avant de commencer la migration, connectez-vous à Azure et désactivez le provisionnement dans l’application GitHub Enterprise Managed User existante.

  2. Si vous utilisez des stratégies d’emplacement réseau d’accès conditionnel (CA) dans Entra ID et que vous utilisez actuellement une liste d’adresses IP autorisées avec votre compte d’entreprise ou l’une des organisations détenues par le compte d’entreprise sur GitHub.com, désactivez les listes d’adresses IP autorisées. Pour plus d’informations, consultez « Application de stratégies pour les paramètres de sécurité dans votre entreprise » et « Gestion des adresses IP autorisées pour votre organisation ».

  3. Connectez-vous à GitHub.com en tant qu’utilisateur de configuration de votre entreprise avec le nom d’utilisateur @SHORT-CODE_admin , en remplaçant SHORT-CODE par le code court de votre entreprise.

  4. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  5. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  6. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  7. Quand vous êtes invité à accéder à votre fournisseur d’identité, cliquez sur Utiliser un code de récupération, puis connectez-vous à l’aide de l’un des codes de récupération de votre entreprise.

    Remarque : Vous devez utiliser un code de récupération pour votre entreprise, et non votre compte d’utilisateur. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

  8. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  9. Au bas de la page, à côté de « Migrer vers l’authentification unique OpenID Connect », cliquez sur Configurer avec Azure.

  10. Lisez l’avertissement, puis cliquez sur Je comprends, commencer la migration vers OpenID Connect.

  11. Une fois que GitHub Enterprise Cloud vous redirige vers votre IdP, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Entra ID demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.

    Avertissement : Vous devez vous connecter à Entra ID en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).

  12. Une fois que vous avez accordé votre consentement, une nouvelle fenêtre de navigateur s’ouvre sur GitHub.com et affiche un nouvel ensemble de codes de récupération pour votre entreprise avec utilisateurs managés. Téléchargez les codes, puis cliquez sur Activer l’authentification OIDC.

  13. Attendez la fin de la migration, ce qui peut prendre jusqu’à une heure. Pour vérifier l’état de la migration, accédez à la page des paramètres de sécurité de l’authentification de votre entreprise. Si « Exiger l’authentification SAML » est sélectionné, la migration est toujours en cours.

    Avertissement : Ne provisionnez pas de nouveaux utilisateurs à partir de l’application sur Entra ID pendant la migration.

  14. Dans un nouvel onglet ou une nouvelle fenêtre, pendant que vous êtes connecté en tant qu’utilisateur de configuration sur GitHub.com, créez un personal access token (classic) avec l’étendue admin:enterprise et l’option Aucune expiration, puis copiez-le dans le Presse-papiers. Pour plus d’informations sur la création d’un jeton, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

  15. Dans le centre d’administration Microsoft Entra, dans les paramètres de provisionnement de l’application GitHub Enterprise Managed User (OIDC), sous « URL de locataire », tapez https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, en remplaçant YOUR_ENTERPRISE par le nom de votre compte d’entreprise.

    Par exemple, si l’URL de votre compte d’entreprise est https://github.com/enterprises/octo-corp, le nom du compte d’entreprise est octo-corp.

  16. Sous « Jeton secret », collez le personal access token (classic) que vous avez créé avec l’étendue admin:enterprise.

  17. Pour tester la configuration, cliquez sur Tester la connexion.

  18. Pour enregistrer vos changements, en haut du formulaire, cliquez sur Enregistrer.

  19. Dans le centre d’administration Microsoft Entra, copiez les utilisateurs et les groupes de l’ancienne application GitHub Enterprise Managed User vers la nouvelle application GitHub Enterprise Managed User (OIDC).

  20. Testez votre configuration en provisionnant un seul nouvel utilisateur.

  21. Si votre test réussit, démarrez le provisionnement pour tous les utilisateurs en cliquant sur Démarrer le provisionnement.