Como migrar a empresa para um novo provedor de identidade ou locatário

Se a empresa usar um novo provedor de identidade (IdP) ou locatário para autenticação e provisionamento depois de configurar inicialmente SAML (Security Assertion Markup Language) ou OIDC (OpenID Connect) e SCIM, você poderá fazer a migração para uma nova configuração.

Quem pode usar esse recurso?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira Sobre os Enterprise Managed Users.

Neste artigo

Sobre migrações entre IdPs e locatários

Ao usar Enterprise Managed Users, talvez seja necessário migrar sua empresa para um novo locatário no seu IdP ou para um sistema de gerenciamento de identidades diferente. Por exemplo, pode estar tudo pronto para fazer a migração de um ambiente de teste para o ambiente de produção ou sua empresa pode decidir usar um novo sistema de identidades.

Antes de migrar para uma nova configuração de autenticação e provisionamento, revise os pré-requisitos e as diretrizes de preparação. Quando estiver tudo pronto para migrar, desabilite a autenticação e o provisionamento para sua empresa e, em seguida, reconfigure ambos. Não é possível editar a configuração existente para autenticação e provisionamento.

O GitHub excluirá as identidades SCIM associadas aos contas de usuário gerenciadas de sua empresa quando a autenticação estiver desabilitada para a empresa. Para obter mais detalhes sobre o impacto da desabilitação da autenticação para uma empresa com usuários gerenciados empresariais, consulte Desabilitando a autenticação no Enterprise Managed Users.

Após a autenticação e o provisionamento serem reconfigurados no final da migração, os usuários e grupos deverão ser provisionados novamente no novo IdP/locatário. Quando os usuários forem provisionados novamente, o GitHub comparará os valores do atributo userName do SCIM normalizados com os nomes de usuário do GitHub (a parte antes do _[shortcode]) na empresa para vincular as identidades SCIM do novo IdP/locatário às contas de usuário gerenciadas da empresa existentes. Para saber mais, confira Considerações de nome de usuário para autenticação externa.

Pré-requisitos

  • Quando você começou a usar GitHub Enterprise Cloud, você deve ter optado por criar um empresa com usuários gerenciados. Para saber mais, confira Escolher um tipo de empresa para o GitHub Enterprise Cloud.
  • Revise e reconheça os requisitos de integração com Enterprise Managed Users a partir de um sistema de gerenciamento de identidades externo. Para simplificar a configuração e o suporte, use um único IdP parceiro para uma integração descomplicada. Como alternativa, você pode configurar a autenticação usando um sistema que adere aos padrões SAML (Security Assertion Markup Language) 2.0 e SCIM (Sistema de Gerenciamento de Usuários entre Domínios) 2.0. Para saber mais, confira Sobre os Enterprise Managed Users.
  • Você já deve ter configurado a autenticação e o provisionamento do SCIM para a empresa.

Preparar a migração

Para migrar para uma nova configuração para autenticação e provisionamento, você deve primeiro desabilitar a autenticação e o provisionamento da empresa. Antes de desabilitar a configuração existente, leve em conta as seguintes considerações:

  • Antes da migração, determine se os valores do atributo userName SCIM normalizado permanecerão os mesmos para seus dados das contas de usuário gerenciadas no novo ambiente. Esses valores de atributo userName SCIM normalizados deverão permanecer os mesmos para os usuários para que as identidades SCIM provisionadas do novo IdP/locatário sejam vinculadas corretamente às contas de usuário gerenciadas da empresa existentes. Para saber mais, confira Considerações de nome de usuário para autenticação externa.

  • Não remova nenhum usuário ou grupo do aplicativo para Enterprise Managed Users no sistema de gerenciamento de identidades até que a migração seja concluída.

  • O GitHub excluirá qualquer personal access tokens ou chaves SSH associadas às contas de usuário gerenciadas da empresa. Planeje uma janela de migração após a reconfiguração, durante a qual você poderá criar e fornecer novas credenciais para quaisquer integrações externas.

  • Como parte das etapas de migração abaixo, o GitHub excluirá todos os grupos provisionados por SCIM em sua empresa quando a autenticação for desabilitada para a empresa. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.

Se qualquer um desses grupos de IdP provisionados por SCIM estiver vinculado a equipes em sua empresa, isso removerá o vínculo entre essas equipes no GitHub e nos grupos de IdP, e esses links não serão reintegrados automaticamente após a migração. O GitHub também removerá todos os membros das equipes vinculadas anteriormente. Você pode sofrer interrupções se usar os grupos no sistema de gerenciamento de identidades para gerenciar o acesso a organizações ou licenças. O GitHub recomenda usar a API REST para listar as conexões de equipe e associações de grupo antes de migrar e restabelecer as conexões posteriormente. Para saber mais, confira Pontos de extremidade de API REST para grupos externos na documentação da API REST.

Migrar para um novo IdP ou locatário

Conclua as tarefas a seguir para migrar para um novo IdP ou locatário.

  1. Valide os atributos SCIM userName correspondentes.
  2. Faça download de códigos de recuperação de logon único.
  3. Desabilite o provisionamento no IdP atual.
  4. Desabilitar a autenticação para sua empresa.
  5. Valide a suspensão dos membros da empresa.
  6. Reconfigure a autenticação e o provisionamento.

1. Valide os atributos SCIM userName correspondentes

Para uma migração íntegra, verifique se o atributo SCIM userName no novo provedor SCIM corresponde ao atributo no provedor SCIM antigo. Se esses atributos não corresponderem, confira Como migrar quando os valores SCIM userName normalizados serão alterados.

2. Faça download de códigos de recuperação de logon único

Se você ainda não tiver códigos de recuperação de logon único para sua empresa, baixe os códigos agora. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.

3. Desabilite o provisionamento no IdP atual

  1. No IdP atual, desabilite o provisionamento no aplicativo para Enterprise Managed Users.
    • Se você usa o Entra ID, navegue até a guia "Provisionamento" do aplicativo e clique em Parar provisionamento.
    • Se você usar o Okta, navegue até a guia "Provisionamento" do aplicativo, clique na guia Integração e clique em Editar. Desmarque Habilitar integração de API.
    • Se você usa o PingFederate, navegue até as configurações de canal no aplicativo. Na guia Ativação e Resumo, clique em Ativo ou Inativo para alternar o status de provisionamento e clique em Salvar. Para obter mais informações sobre como gerenciar o provisionamento, confira Como revisar configurações de canal e Gerenciar canais na documentação do PingFederate.
    • Se você usar outro sistema de gerenciamento de identidades, consulte a documentação, a equipe de suporte ou outros recursos do sistema.

4. Desabilitar a autenticação para sua empresa

  1. Use um código de recuperação para entrar em GitHub como o usuário de instalação, cujo nome de usuário é o código abreviado da sua empresa com o sufixo _admin. Para saber mais sobre o usuário de configuração, confira Introdução aos Enterprise Managed Users.
  2. Desabilitar a autenticação para sua empresa. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.
  3. Aguarde até uma hora para que o GitHub suspenda os membros da sua empresa, exclua as identidades SCIM vinculadas e exclua os grupos de IdP provisionados por SCIM.

5. Valide a suspensão dos membros da empresa

Após você desabilitar a autenticação em suas configurações empresariais do GitHub, o GitHub suspenderá todos os contas de usuário gerenciadas (com exceção da conta de usuário da instalação) em sua empresa. Você pode validar a suspensão dos membros da empresa no GitHub.

  1. Exiba os membros suspensos da empresa. Para saber mais, confira Visualizar pessoas na sua empresa.
  2. Se todas as contas de usuário gerenciadas em sua empresa ainda não estiverem suspensas, continue aguardando e monitorando no GitHub antes de prosseguir com a próxima etapa.

6. Reconfigure a autenticação e o provisionamento

Depois de validar a suspensão dos membros, reconfigure a autenticação e o provisionamento.

  1. Configure a autenticação usando SAML ou SSO do OIDC. Para saber mais, confira Configurar a autenticação para usuários empresariais gerenciados.
  2. Configure o provisionamento do SCIM. Para saber mais, confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.

7. Verifique se os usuários e os grupos são reprovisionados no novo IdP/locatário

  1. Para cancelar suspensão dos contas de usuário gerenciadas e permitir que eles entrem no GitHub, os usuários precisam ser reprovisionados no novo IdP/locatário. Isso vincula as identidades SCIM do novo IdP/locatário às contas de usuário gerenciadas da empresa existentes. Um usuário gerenciado empresarial deve ter uma identidade SCIM vinculada para entrar.
    • Ao reprovisionar as contas de usuário do IdP, se um usuário tiver sido vinculado com êxito à identidade SCIM do novo IdP/locatário, você verá um link SSO identity linked na página dele nas configurações da empresa, que mostrará uma seção SCIM identity com atributos SCIM. Para saber mais, confira Visualizar pessoas na sua empresa.
    • Você também pode examinar eventos external_identity.* e user.unsuspend relacionados no log de auditoria empresarial. Para saber mais, confira Auditar eventos de log para sua empresa
  2. Os grupos também devem ser reprovisionados no novo IdP/locatário.
  3. Depois que os grupos de IdP tiverem sido reprovisionados para a empresa, os administradores poderão vinculá-los às equipes da empresa, conforme necessário.

Como migrar quando os valores do userName SCIM normalizado forem ser alterados

Se os valores de userName SCIM normalizado forem ser alterados, GitHub precisará provisionar uma nova conta corporativa para sua migração. Entre em contato com nossa equipe de vendas para obter ajuda.