SAML에서 OIDC로 마이그레이션

관리되는 사용자가 있는 엔터프라이즈을(를) SAML에서 OIDC로 마이그레이션하는 정보

관리되는 사용자가 있는 엔터프라이즈이(가) SAML SSO를 사용하여 Azure Active Directory(Azure AD)로 인증하는 경우 OIDC로 마이그레이션할 수 있습니다. 엔터프라이즈에서 OIDC SSO를 사용하는 경우 GitHub은 IdP의 CAP(조건부 액세스 정책) IP 조건을 자동으로 사용하여 GitHub과의 사용자 상호 작용, 구성원이 IP 주소를 변경할 때 및 personal access token 또는 SSH 키가 사용될 때마다 사용자 상호 작용의 유효성을 검사합니다.

SAML에서 OIDC로 마이그레이션하는 경우 관리되는 사용자 계정 및 이전에 SAML에 대해 프로비전되었지만 GitHub Enterprise Managed User (OIDC) 애플리케이션에서 프로비전되지 않은 그룹은 표시 이름에 "(SAML)"이 추가됩니다.

Enterprise Managed Users를 새로 사용하고 엔터프라이즈에 대한 인증을 아직 구성하지 않은 경우 마이그레이션할 필요가 없으며 OIDC Single Sign-On을 즉시 설정할 수 있습니다. 자세한 내용은 "Enterprise Managed Users용 OIDC 구성"을 참조하세요.

사전 요구 사항

• GitHub.com의 엔터프라이즈는 현재 인증에 SAML을 사용하도록 구성되어야 합니다. 자세한 내용은 "Enterprise Managed Users에 대한 SAML Single Sign-On 구성"을 참조하세요.

• SAML에서 OIDC로 마이그레이션하려면 GitHub.com의 엔터프라이즈와 Azure AD 테넌트 모두에 액세스해야 합니다.

  • Azure AD GitHub Enterprise Managed User (OIDC) 애플리케이션을 구성하려면 전역 관리자 역할이 있는 사용자로 Azure AD 테넌트에서 로그인해야 합니다.
  • GitHub.com에서 엔터프라이즈의 설정 사용자로 로그인하려면 엔터프라이즈에 대한 복구 코드 사용해야 합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드"을 참조하세요.

• 사람들이 엔터프라이즈의 리소스를 적극적으로 사용하지 않는 경우 마이그레이션 시간을 예약합니다. 마이그레이션하는 동안 사용자는 GitHub Enterprise Managed User (OIDC) 애플리케이션을 구성하고 애플리케이션이 사용자를 다시 프로비전할 때까지 엔터프라이즈에 액세스할 수 없습니다.

엔터프라이즈 마이그레이션

SAML에서 OIDC로 엔터프라이즈를 마이그레이션하려면 Azure AD 기존 GitHub Enterprise Managed User 애플리케이션을 사용하지 않도록 설정하고 GitHub.com에서 엔터프라이즈의 설치 사용자로 마이그레이션을 준비하고 시작한 다음, Azure AD OIDC용 새 애플리케이션을 설치하고 구성합니다. 마이그레이션이 완료되고 사용자를 프로비전하는 Azure AD 사용자는 OIDC를 사용하여 GitHub.com에서 엔터프라이즈 리소스에 액세스하도록 인증할 수 있습니다.

1. 마이그레이션을 시작하기 전에 Azure에 로그인하고 기존 GitHub Enterprise Managed User 애플리케이션에서 프로비전을 사용하지 않도록 설정합니다.

2. Azure AD에서 CA(조건부 액세스) 네트워크 위치 정책을 사용하고 엔터프라이즈 계정에서 또는 GitHub.com에서 엔터프라이즈 계정이 소유한 조직에서 IP 허용 목록을 현재 사용 중인 경우 IP 허용 목록 기능을 사용하지 마세요. 자세한 내용은 "엔터프라이즈에서 보안 설정에 대한 정책 적용" 및 "조직에 허용되는 IP 주소 관리.

3. GitHub.com에 사용자 이름으로 @SHORT-CODE_admin엔터프라이즈의 설치 사용자로 로그인하고 SHORT-CODE를 엔터프라이즈의 짧은 코드로 바꿉니다.

4. GitHub.com의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 Your enterprises(내 엔터프라이즈)를 클릭합니다.

5. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다.

6. 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.

7. ID 공급자로 진행하라는 메시지가 표시되면 복구 코드 사용을 클릭하고 엔터프라이즈의 복구 코드 중 하나를 사용하여 로그인합니다.

   참고: 사용자 계정이 아닌 엔터프라이즈에 복구 코드 사용해야 합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드"을 참조하세요.

8. 설정에서 인증 보안을 클릭합니다.

9. 페이지 아래쪽의 "OpenID Connect Single Sign-On으로 마이그레이션"옆에 있는 Azure를 사용하여 구성을 클릭합니다.

10. 경고를 읽은 다음 "이해합니다, OpenID Connect로 마이그레이션 시작"을 클릭합니다.

11. GitHub Enterprise Cloud이(가) IdP로 리디렉션한 후 로그인한 다음 지침에 따라 동의를 제공하고 GitHub Enterprise Managed User (OIDC) 애플리케이션을 설치합니다. Azure AD OIDC를 사용하여 GitHub Enterprise Managed Users에 대한 권한을 요청한 후 조직을 대신하여 동의를 사용하도록 설정한 다음 동의를 클릭합니다.

    경고: GitHub Enterprise Managed User (OIDC) 애플리케이션 설치에 동의하려면 전역 관리자 권한이 있는 사용자로 Azure AD 로그인해야 합니다.

12. 동의를 부여하면 GitHub.com에 대한 새 브라우저 창이 열리고 관리되는 사용자가 있는 엔터프라이즈에 대한 새 복구 코드 집합이 표시됩니다. 코드를 다운로드한 다음 "OIDC 인증 사용"을 클릭합니다.

13. 마이그레이션이 완료되기까지 최대 1시간이 걸릴 수 있습니다. 마이그레이션의 상태 검사 엔터프라이즈의 인증 보안 설정 페이지로 이동합니다. "SAML 인증 필요"를 선택하면 마이그레이션이 계속 진행 중입니다.

    경고: 마이그레이션하는 동안 Azure AD 애플리케이션에서 새 사용자를 프로비전하지 마세요.

14. 새 탭 또는 창에서 GitHub.com에서 설치 사용자로 로그인하는 동안 admin:enterprise scope 만료 없이 personal access token (classic)를 만들고 클립보드에 복사합니다. 새 토큰을 만드는 방법에 대한 자세한 내용은 "Enterprise Managed Users에 대한 SCIM 프로비저닝 구성"을 참조하세요.

15. Azure Portal의 GitHub Enterprise Managed User (OIDC) 애플리케이션에 대한 프로비저닝 설정의 "테넌트 URL"에서 를 입력https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE하고 YOUR_ENTERPRISE 엔터프라이즈 계정 이름으로 바꿉니다.

    예를 들어 엔터프라이즈 계정의 URL이 https://github.com/enterprises/octo-corp이면 엔터프라이즈 계정의 이름은 octo-corp입니다.

16. "비밀 토큰"에서 personal access token (classic)를 이전에 만든 admin:enterprise scope 붙여넣습니다.

17. 구성을 테스트하려면 연결 테스트를 클릭합니다.

18. 변경 내용을 저장하려면 양식 맨 위에서 저장을 클릭합니다.

19. Azure Portal에서 이전 GitHub Enterprise Managed User 애플리케이션의 사용자 및 그룹을 새 GitHub Enterprise Managed User (OIDC) 애플리케이션으로 복사합니다.

20. 새 사용자를 하나 프로비전하여 구성을 테스트합니다.

21. 테스트에 성공하면 프로비전 시작을 클릭하여 모든 사용자에 대한 프로비전을 시작합니다.