Skip to main content

Migrando do SAML para o OIDC

Se você estiver usando o SAML para autenticar os integrantes no seu enterprise with managed users, você pode migrar para o OpenID Connect (OIDC) e beneficiar-se do suporte para a Política de Acesso Condicional do seu IdP.

To manage users in your enterprise with your identity provider, your enterprise must be enabled for Enterprise Managed Users, which are available with GitHub Enterprise Cloud. Para obter mais informações, consulte "Sobre Enterprise Managed Users."

Note: OpenID Connect (OIDC) and Conditional Access Policy (CAP) support for Enterprise Managed Users is in public beta and only available for Azure AD.

Sobre a migração de seu enterprise with managed users do SAML para o OIDC

Se seu enterprise with managed users usa o SSO SAML para efetuar a autenticação com o Azure Active Directory (Azure AD), você pode migrar para o OIDC. When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used.

Ao migrar do SAML para OIDC, managed user accounts e os grupos que foram provisionados anteriormente para o SAML mas não são provisionados pelo aplicativo de GitHub Enterprise Managed User (OIDC) terão "(SAML)" anexados aos seus nomes de exibição.

Se você for novo em Enterprise Managed Users e ainda não configurou a autenticação para a sua empresa, você não precisa migrar e pode configurar o logon único do OIDC imediatamente. Para obter mais informações, consulte "Configurando o OIDC para Usuários Gerenciados pela Empresa."

Realizando a migração da sua empresa

Observação: Para efetuar o login como usuário de configuração, você precisará de um código de recuperação. Se você ainda não possui seus códigos de recuperação, você pode acessar os códigos enquanto estiver conectado como um proprietário corporativo. Para obter mais informações, consulte "Fazendo o download dos códigos de recuperação do logon único único da sua conta corporativa."

  1. Antes de iniciar a migração, inicie sessão no Azure e desabilite o provisionamento no aplicativo de GitHub Enterprise Managed User existente.

  2. Efetue o login em GitHub.com como usuário de configuração da sua empresa com o nome de usuário @SHORT-CODE_admin.

  3. Quando solicitado para continuar com o provedor de identidade, clique em Usar um código de recuperação e efetue o login usando um dos códigos de recuperação da empresa.

  4. No canto superior direito de GitHub.com, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub Enterprise Cloud

  5. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  6. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  7. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  8. Na parte inferior da página, ao lado de "Migrar para o logon único do OpenID Connect", clique em Configurar com Azure.

    Aviso: A migração pode levar até uma hora, e é importante que nenhum usuário seja provisionado durante a migração. Você pode confirmar se a migração ainda está em andamento retornando à página de configurações de segurança da sua empresa; se "Exigir autenticação SAML" estiver verificada, a migração ainda está em andamento.

    Captura de tela que mostra o botão "Configurar com o Azure"

  9. Leia as duas advertências e clique para continuar.

  10. When redirected, sign in to your identity provider, then follow the instructions to give consent and install the GitHub Enterprise Managed User (OIDC) application.

    Warning: You must sign in to Azure AD as a user with global admin rights in order to consent to the installation of the GitHub Enterprise Managed User (OIDC) application.

  11. Em uma nova aba ou janela, enquanto estiver conectado como o usuário de configuração em GitHub.com, cria um token de acesso pessoal com o escopo admin:enterprise e sem expiração e copie-o para a área de transferência. Para obter mais informações sobre como criar um novo token, consulte "Criando um token de acesso pessoal."

  12. Nas configurações para o aplicativo de GitHub Enterprise Managed User (OIDC) no Azure Portal, sob "Tenant URL", digite https://api.github. om/scim/v2/enterprises/YOUR_ENTERPRISEsubstituindo YOUR_ENTERPRISE pelo nome da sua conta corporativa.

    Por exemplo, se o URL da sua conta corporativa é https://github.com/enterprises/octo-corp, o nome da conta corporativa é octo-corp.

  13. Em "Token do segredo", cole o token de acesso pessoal com o escopo admin:enterprise que você criou anteriormente.

  14. Para testar a configuração, clique em Testar Conexão.

  15. Para salvar suas alterações, na parte superior do formulário, clique em Salvar.

  16. No portal do Azure, copie os usuários e grupos do aplicativo antigo de GitHub Enterprise Managed User para o novo aplicativo de GitHub Enterprise Managed User (OIDC).

  17. Teste sua configuração provisionando um único novo usuário.

  18. Se o teste for bem-sucedido, comece a provisionar para todos os usuários clicando em Comece a provisionar.