Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para o Microsoft Entra ID (o antigo Azure AD).
Sobre a migração de umempresa com usuários gerenciados do SAML para o OIDC
Se o seu empresa com usuários gerenciados usa o SSO do SAML para autenticação no Entra ID, você pode migrar para o OIDC. Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é associada a uam conta de usuário.
Quando você migra do SAML para o OIDC, os contas de usuário gerenciadas e os grupos que foram provisionados anteriormente para o SAML, mas que não foram provisionados pelo aplicativo GitHub Enterprise Managed User (OIDC), ficam com "(SAML)" acrescentado aos nomes de exibição deles.
Se você não estiver familiarizado com Enterprise Managed Users e ainda não configurou a autenticação para sua empresa, não será necessário migrar, pois você poderá configurar o logon único do OIDC imediatamente. Para obter mais informações, confira "Como configurar o OIDC para usuários empresariais gerenciados".
Aviso: Quando você migra para um novo IdP ou locatário, as conexões entre equipes do GitHub e grupos de IdP são removidas e não são restabelecidas após a migração. Isso removerá todos os membros da equipe e a deixará desconectada do seu IdP, o que pode causar interrupção se você usar a sincronização de equipes para gerenciar o acesso a organizações ou licenças do seu IdP. Recomendamos o uso dos pontos de extremidade de "Grupos externos" da API REST para coletar informações sobre a configuração das suas equipes antes de migrar e restabelecer conexões depois. Para obter mais informações, confira "Pontos de extremidade de API REST para grupos externos".
Pré-requisitos
-
Sua empresa no GitHub precisa estar configurada no momento para usar o SAML para autenticação com o Entra ID como seu provedor de identidade. Para obter mais informações, confira "Configurar o logon único SAML para usuários gerenciados pela empresa".
-
Você precisará acessar sua empresa no GitHub e seu locatário no Entra ID.
- Para configurar o aplicativo GitHub Enterprise Managed User (OIDC) no Entra ID, você precisa entrar no locatário do Entra ID como um usuário com a função Administrador global.
- Para entrar como o usuário de configuração da sua empresa no GitHub, você deve usar um código de recuperação da empresa. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".
-
Agende um horário para migração quando as pessoas não estiverem usando ativamente os recursos da sua empresa. Durante a migração, os usuários não poderão acessar sua empresa até que você configure o novo aplicativo e os usuários como provisionados novamente.
Como migrar a empresa
Para migrar sua empresa do SAML para o OIDC, você vai desabilitar seu aplicativo GitHub Enterprise Managed User existente no Entra ID, preparar e iniciar a migração como o usuário de instalação da sua empresa no GitHub e, depois, instalar e configurar o novo aplicativo para o OIDC no Entra ID. Depois que a migração for concluída e o Entra ID provisionar os usuários, os usuários poderão se autenticar para acessar os recursos da sua empresa no GitHub usando o OIDC.
Aviso: a migração da sua empresa do SAML para o OIDC pode levar até uma hora. Durante a migração, os usuários não poderão acessar sua empresa no GitHub.
-
Antes de iniciar a migração, entre no Azure e desabilite o provisionamento no aplicativo GitHub Enterprise Managed User existente.
-
Se você usar políticas de local de rede de AC (Acesso Condicional) no Entra ID e estiver usando uma lista de permissões de IP com sua conta corporativa ou qualquer uma das organizações pertencentes à conta corporativa, desabilite as listas de permissões de IP. Para obter mais informações, confira "Aplicando políticas para configurações de segurança na sua empresa" e "Gerenciar endereços IP permitidos para sua organização."
-
Entre no GitHub.com como o usuário de configuração da nova empresa com o nome de usuário SHORT-CODE_admin, substituindo SHORT-CODE pelo código curto da empresa.
-
No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Quando for solicitado que você continue para o provedor de identidade, clique em Usar um código de recuperação e entre usando um dos códigos de recuperação da empresa.
Observação: você deve usar um código de recuperação para sua empresa, não sua conta de usuário. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".
-
Em Configurações, clique em Segurança da autenticação.
-
Na parte inferior da página, ao lado de "Migrar para o logon único do OpenID Connect", clique em Configurar com o Azure.
-
Leia o aviso e clique em Entendi. Começar a migrar para o OpenID Connect.
-
Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
Aviso: você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
-
Depois de fornecer o consentimento, uma nova janela do navegador será aberta no GitHub e exibirá um novo conjunto de códigos de recuperação para o empresa com usuários gerenciados. Baixe os códigos e clique em Habilitar autenticação OIDC.
-
Aguarde a conclusão da migração, o que pode levar até uma hora. Para verificar o status da migração, navegue até a página de configurações de segurança de autenticação da sua empresa. Se a opção "Exigir autenticação SAML" estiver marcada, a migração ainda estará em andamento.
Aviso: não provisione novos usuários por meio do aplicativo no Entra ID durante a migração.
-
Em uma nova guia ou janela, conectado como o usuário de configuração, crie um personal access token (classic) com o escopo scim:enterprise e sem expiração e copie-o para a área de transferência. Para obter mais informações de como criar um token, confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".
-
Nas configurações de provisionamento do aplicativo GitHub Enterprise Managed User (OIDC) no centro de administração do Microsoft Entra, em "URL do Locatário", digite
https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE
, substituindo YOUR_ENTERPRISE pelo nome da conta da sua empresa.Por exemplo, se a URL da conta empresarial for
https://github.com/enterprises/octo-corp
, o nome da conta empresarial seráocto-corp
. -
Em "Token secreto", cole o personal access token (classic) com o escopo admin:enterprise criado anteriormente.
-
Para testar a configuração, clique em Testar conectividade.
-
Para salvar as alterações, na parte superior do formulário, clique em Salvar.
-
No centro de administração do Microsoft Entra, copie os usuários e os grupos do aplicativo GitHub Enterprise Managed User antigo para o novo aplicativo GitHub Enterprise Managed User (OIDC).
-
Teste a configuração provisionando um só novo usuário.
-
Se o teste for bem-sucedido, inicie o provisionamento de todos os usuários clicando em Iniciar provisionamento.