새 ID 공급자 또는 테넌트로 엔터프라이즈 마이그레이션

처음에 SAML(Security Assertion Markup Language) 또는 OIDC(OpenID Connect) 및 SCIM을 구성한 후, 엔터프라이즈에서 인증 및 프로비전에 새 ID 공급자(IdP) 또는 테넌트를 사용하는 경우 새 구성으로 마이그레이션할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Enterprise Managed Users은(는) GitHub Enterprise Cloud에서 새 엔터프라이즈 계정에서 사용할 수 있습니다. Enterprise Managed Users 정보을(를) 참조하세요.

이 문서의 내용

IdP와 테넌트 간 마이그레이션 정보

Enterprise Managed Users을(를) 사용하는 동안 IdP의 새 테넌트 또는 다른 ID 관리 시스템으로 엔터프라이즈를 마이그레이션해야 할 수 있습니다. 예를 들어 테스트 환경에서 프로덕션 환경으로 마이그레이션할 준비를 마친 경우 또는 회사에서 새 ID 시스템을 사용하기로 결정한 경우입니다.

새 인증 및 프로비전 구성으로 마이그레이션하기 전에 준비를 위한 전제 조건 및 지침을 검토합니다. 마이그레이션할 준비가 되면 엔터프라이즈에 대해 인증 및 프로비전을 사용하지 않도록 설정한 다음 둘 다 다시 구성합니다. 인증 및 프로비전에 대한 기존 구성을 편집할 수 없습니다.

GitHub는 엔터프라이즈의 인증이 비활성화된 경우 엔터프라이즈의 관리형 사용자 계정와 연결된 기존 SCIM ID를 삭제합니다. 엔터프라이즈 관리 사용자가 있는 엔터프라이즈에서 인증을 비활성화하는 영향에 대한 자세한 내용은 엔터프라이즈 관리 사용자의 인증 사용 중지을(를) 참조하세요.

마이그레이션이 끝날 때 인증 및 프로비전을 다시 구성한 후에는 새 IdP/테넌트에서 사용자 및 그룹을 다시 프로비전해야 합니다. 사용자가 다시 프로비전되면 GitHub는 정규화된 SCIM userName 속성 값을 엔터프라이즈의 GitHub 사용자 이름(_[shortcode] 앞 부분)과 비교하여 새 IdP/테넌트의 SCIM ID를 기존 엔터프라이즈 관리 사용자 계정에 연결합니다. 자세한 내용은 외부 인증에 대한 사용자 이름 고려 사항을(를) 참조하세요.

필수 조건

  • GitHub Enterprise Cloud를 사용하기 시작했을 때 관리형 사용자가 있는 엔터프라이즈를 만들도록 선택했어야 합니다. 자세한 내용은 GitHub Enterprise Cloud에 대해 엔터프라이즈 유형 선택을(를) 참조하세요.
  • 외부 ID 관리 시스템에서 Enterprise Managed Users과(와) 통합하기 위한 요구 사항을 검토하고 숙지합니다. 구성 및 지원을 간소화하기 위해 단일 파트너 IdP를 사용하여 "paved-path" 통합을 수행할 수 있습니다. 또는 SAML(Security Assertion Markup Language) 2.0 및 SCIM(Security Assertion Markup Language) 2.0 표준을 준수하는 시스템을 사용하여 인증을 구성할 수 있습니다. 자세한 내용은 Enterprise Managed Users 정보을(를) 참조하세요.
  • 엔터프라이즈에 대한 인증 및 SCIM 프로비전을 이미 구성한 상태여야 합니다.

마이그레이션 준비

인증 및 프로비전을 위한 새 구성으로 마이그레이션하려면 먼저 엔터프라이즈에 대해 인증 및 프로비전을 사용하지 않도록 설정해야 합니다. 기존 구성을 사용하지 않도록 설정하기 전에 다음 고려 사항을 검토합니다.

  • 마이그레이션하기 전에 새로운 환경의 관리형 사용자 계정에 정규화된 SCIM userName 특성 값이 같은지 여부를 결정합니다. 이러한 정규화된 SCIM userName 속성 값은 새 IdP/테넌트에서 프로비전된 SCIM ID가 기존 엔터프라이즈 관리 사용자 계정에 제대로 연결되려면 사용자에게 동일하게 유지되어야 합니다. 자세한 내용은 외부 인증에 대한 사용자 이름 고려 사항을(를) 참조하세요.

    • 정규화된 SCIM userName 값이 마이그레이션 후에도 동일할 경우 직접 마이그레이션을 완료할 수 있습니다.
    • 마이그레이션 후 정규화된 SCIM userName 값이 바뀔 경우 마이그레이션하는 데 GitHub 의 도움이 필요합니다. 자세한 내용은 정규화된 SCIM userName 값이 바뀔 때의 마이그레이션을 참조하세요.

  • 마이그레이션이 완료될 때까지 ID 관리 시스템 또는 테넌트에서 Enterprise Managed Users의 애플리케이션 사용자나 그룹을 제거하지 마세요.

  • GitHub는 모든 personal access tokens 또는 엔터프라이즈의 관리형 사용자 계정에 연결된 SSH 키를 삭제합니다. 새 자격 증명을 만들고 외부 통합에 제공할 수 있는 재구성 후 마이그레이션 기간을 계획합니다.

  • 아래 마이그레이션 단계의 일환으로, 엔터프라이즈에서 인증이 비활성화되면 GitHub가 엔터프라이즈의 모든 SCIM으로 프로비전된 그룹을 삭제합니다. 자세한 내용은 엔터프라이즈 관리 사용자의 인증 사용 중지을(를) 참조하세요.

이러한 SCIM으로 프로비전된 IdP 그룹이 회사의 팀에 연결되어 있는 경우, 이러한 GitHub 팀과 IdP 그룹 간의 연결이 제거되며 이러한 연결은 마이그레이션이 진행된 후에는 자동으로 복구되지 않습니다. GitHub는 이전에 연결한 팀의 모든 구성원을 제거합니다. ID 관리 시스템에서 그룹을 사용하여 조직 또는 라이선스에 대한 액세스를 관리하는 경우 중단 문제가 발생할 수 있습니다. GitHub는 마이그레이션하기 전에 REST API를 사용하여 팀 연결 및 그룹 구성원을 나열하고 나중에 연결을 복원할 것을 권장합니다. 자세한 내용은 REST API 설명서에서 외부 그룹에 대한 REST API 엔드포인트을(를) 참조하세요.

새 IdP 또는 테넌트로 마이그레이션

새 IdP 또는 테넌트로 마이그레이션하려면 다음 작업을 완료해야 합니다.

  1. 일치하는 SCIM userName 특성의 유효성을 검사합니다.
  2. Single Sign-On 복구 코드를 다운로드합니다.
  3. 현재 IdP에서 프로비전을 사용하지 않도록 설정합니다.
  4. 엔터프라이즈 인증을 비활성화하세요.
  5. 엔터프라이즈 구성원의 일시 중단 유효성을 검사합니다.
  6. 인증 및 프로비전을 구성합니다.

1. 일치하는 SCIM userName 특성의 유효성 검사

원활한 마이그레이션을 위해 새 SCIM 공급자의 SCIM userName 특성이 이전 SCIM 공급자의 특성과 일치하는지 확인합니다. 이 특성이 일치하지 않는 경우 정규화된 SCIM userName 값이 변경될 때 마이그레이션을 참조하세요.

2. Single Sign-On 복구 코드 다운로드

엔터프라이즈에 Single Sign-On 복구 코드가 아직 없다면 지금 코드를 다운로드하세요. 자세한 내용은 엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드을(를) 참조하세요.

3. 현재 IdP에서 프로비전을 사용하지 않도록 설정

  1. 현재 IdP에서 Enterprise Managed Users에 대한 애플리케이션의 프로비전을 사용하지 않도록 설정합니다.
    • Entra ID를 사용하는 경우 애플리케이션의 "프로비전" 탭으로 이동한 다음 프로비전 중지를 클릭합니다.
    • Okta를 사용하는 경우 애플리케이션의 "프로비전" 탭으로 이동하여 통합 탭을 클릭한 다음 편집을 클릭합니다. API 통합 사용을 선택 해제합니다.
    • PingFederate를 사용하는 경우 애플리케이션의 채널 설정으로 이동합니다. 활성화 및 요약 탭에서 활성 또는 비활성 을 클릭하여 프로비전 상태를 전환한 다음 저장을 클릭합니다. 프로비전 관리에 대한 자세한 내용은 PingFederate 설명서에서 채널 설정 검토채널 관리를 참조하세요.
    • 다른 ID 관리 시스템을 사용하는 경우 시스템의 설명서, 지원 팀 또는 기타 리소스를 참조하세요.

4. 엔터프라이즈 인증 비활성화

  1. 복구 코드를 사용하여, 사용자 이름이 _admin 접미사를 붙인 엔터프라이즈의 짧은 코드인 설정 사용자로 GitHub에 로그인합니다. 설정 사용자에 대한 자세한 내용은 Enterprise Managed Users 시작을(를) 참조하세요.
  2. 엔터프라이즈 인증을 비활성화하세요. 자세한 내용은 엔터프라이즈 관리 사용자의 인증 사용 중지을(를) 참조하세요.
  3. GitHub에서 사용자 엔터프라이즈의 구성원을 일시 중단시키고, 연결된 SCIM ID를 삭제하고, SCIM으로 프로비전된 IdP 그룹을 삭제할 때까지 최대 1시간 정도 기다립니다.

5. 엔터프라이즈 구성원의 일시 중단 유효성 검사

GitHub 엔터프라이즈 설정에서 인증을 비활성화한 후, GitHub가 엔터프라이즈의 모든 관리형 사용자 계정(설정 사용자 계정 제외)를 일시 중단합니다. GitHub에서 엔터프라이즈 구성원의 정지 상태의 유효성을 검사할 수 있습니다.

  1. 엔터프라이즈에서 일시 중단된 구성원을 봅니다. 자세한 내용은 Enterprise에서 사용자 보기을(를) 참조하세요.
  2. 사용자 엔터프라이즈의 모든 관리 사용자 계정이 아직 일시 중단되지 않았다면, 다음 단계를 진행하기 전에 GitHub에서 계속 대기하고 모니터링합니다.

6. 인증 및 프로비전 구성

엔터프라이즈 구성원의 일시 중단 유효성을 검사한 후, 인증 및 프로비저닝을 재구성합니다.

  1. SAML 또는 OIDC SSO를 사용하여 인증을 구성합니다. 자세한 내용은 Enterprise Managed User에 대한 인증 구성을(를) 참조하세요.
  2. SCIM 프로비전 구성 자세한 내용은 엔터프라이즈 관리 사용자용을(를) 참조하세요.

7. 사용자 및 그룹이 새 IdP/테넌트에서 다시 프로비전되었는지 확인합니다.

  1. 관리형 사용자 계정의 일시 중단을 해제하고 해당 사용자가 GitHub에 로그인할 수 있도록 하려면 사용자를 새 IdP/테넌트에서 다시 프로비전해야 합니다. 이는 새 IdP/테넌트의 SCIM ID를 기존 엔터프라이즈 관리 사용자 계정에 연결합니다. 엔터프라이즈 관리 사용자는 로그인하려면 연결된 SCIM ID가 있어야 합니다.
    • IdP 사용자 계정을 다시 프로비전할 때 사용자가 새 IdP/테넌트에서 SCIM ID에 성공적으로 연결되면, 엔터프라이즈 설정의 해당 사용자 페이지에 SSO identity linked 링크가 표시되고, 여기에는 SCIM 특성이 포함된 SCIM identity 섹션이 표시됩니다. 자세한 내용은 Enterprise에서 사용자 보기을(를) 참조하세요.
    • 엔터프라이즈 감사 로그에서 관련 external_identity.*user.unsuspend 이벤트를 검토할 수도 있습니다. 자세한 내용은 엔터프라이즈에 대한 감사 로그 이벤트을(를) 참조하세요.
  2. 그룹은 새 IdP/테넌트에서도 다시 프로비전되어야 합니다.
  3. IdP 그룹이 엔터프라이즈에 다시 프로비전되면 관리자는 필요에 따라 그룹을 엔터프라이즈의 팀에 연결할 수 있습니다.

정규화된 SCIM userName 값이 바뀔 때의 마이그레이션

정규화된 SCIM userName 값이 바뀔 경우 GitHub은(는) 마이그레이션 목적의 새 엔터프라이즈 계정을 프로비전해야 합니다. 도움을 받으려면 영업 팀에 문의하세요.