Skip to main content

OIDC から SAML への移行

OpenID Connect (OIDC) を使用して マネージド ユーザーを含む Enterprise のメンバーを認証すると、SAML SSO に移行できます。

この機能を使用できるユーザーについて

GitHub Enterprise Cloud で Enterprise Managed Users を使用するエンタープライズ アカウントで使用できます。 「Enterprise Managed Users について」をご覧ください。

注: Enterprise Managed Users に対する OpenID Connect (OIDC) と条件付きアクセス ポリシー (CAP) のサポートは、Microsoft Entra ID (旧称 Azure AD) でのみ使用できます。

OIDC から SAML への マネージド ユーザーを含む Enterprise の移行について

OIDC から SAML に移行するには、まず OIDC を無効にします。これにより、すべての マネージド ユーザー アカウント が中断され、SCIM によってプロビジョニングされたすべての外部グループが削除され、リンクされている ID が削除されます。

次に、SAML と SCIM を構成します。 この時点で、ユーザー、グループ、ID が再プロビジョニングされます。

Enterprise Managed Users を使用するのが初めてで、Enterprise の認証をまだ構成していない場合は、移行する必要はなく、SAML シングル サインオン (SSO) をすぐに設定できます。 詳しくは、「Enterprise マネージド ユーザーの SAML シングル サインオンの構成」を参照してください。

警告: 新しい IdP またはテナントに移行すると、GitHub チームと IdP グループの間の接続は削除されて、移行後には復元されなくなります。 これにより、チームからすべてのメンバーが削除され、チームは IdP に接続されなくなります。これにより、Team Sync を使用して IdP から組織またはライセンスへのアクセスを管理すると混乱が発生する可能性があります。 REST API の "外部グループ" エンドポイントを使用して、移行前にチームのセットアップに関する情報を収集し、移行後に接続を復帰させることをお勧めします。 詳しくは、「外部グループの REST API エンドポイント」を参照してください。

前提条件

  • GitHub 上の Enterprise は、現在、認証に OIDC を使うように構成されている必要があります。 詳しくは、「エンタープライズ マネージド ユーザーの OIDC の構成」を参照してください。

  • GitHub.com 上の Enterprise と Entra ID のテナントの両方にアクセスする必要があります。

  • ユーザーが Enterprise のリソースをあまり使っていない時間帯に、移行をスケジュールします。 移行中は、新しいアプリケーションとユーザーを再プロビジョニングとして構成するまで、ユーザーは Enterprise にアクセスできません。

Enterprise を移行する

  1. ユーザー名 SHORT-CODE_admin を使用して、Enterprise のセットアップ ユーザーとして GitHub.com にサインインします。SHORT-CODE は、Enterprise の短いコードに置き換えます。

  2. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  4. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  5. ID プロバイダーに進むように続行を求められたら、 [回復用コードを使用する] をクリックし、Enterprise のいずれかの回復用コードを使用してサインインします。

    注: ユーザー アカウントではなく、エンタープライズ用の回復コードを使う必要があります。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

  6. [設定] で、 [認証セキュリティ] をクリックします。

  7. [OIDC シングル サインオンを必須にする] を選びます。

  8. [保存] をクリックします。

  9. SAML 認証と SCIM プロビジョニングを構成します。 詳細については、Microsoft Learn の「チュートリアル: Microsoft Entra シングル サインオン (SSO) と GitHub Enterprise Managed User の統合」を参照してください。