Skip to main content

Como migrar o SAML para o OIDC

Se você estiver usando o SAML para autenticar membros no seu enterprise with managed users, migre para o OIDC (OpenID Connect) e aproveite o suporte à Política de Acesso Condicional do seu IdP.

Para gerenciar os usuários na sua empresa com seu provedor de identidade, a empresa precisa estar habilitada para os Enterprise Managed Users, que estão disponíveis no GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para Azure AD.

Sobre a migração do seu enterprise with managed users do SAML para o OIDC

Se o seu enterprise with managed users usa o SSO do SAML para autenticação no Azure AD (Azure Active Directory), você pode migrar para o OIDC. When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used.

Quando você migra do SAML para o OIDC, os managed user accounts e os grupos que foram provisionados anteriormente para o SAML, mas que não foram provisionados pelo aplicativo GitHub Enterprise Managed User (OIDC), ficam com "(SAML)" acrescentado aos nomes de exibição deles.

Se você não estiver familiarizado com Enterprise Managed Users e ainda não configurou a autenticação para sua empresa, não será necessário migrar, pois você poderá configurar o logon único do OIDC imediatamente. Para obter mais informações, confira "Como configurar o OIDC para os usuários empresariais gerenciados".

Como migrar a empresa

Observação: para entrar como o usuário de configuração, você precisará de um código de recuperação. Se você ainda não tem os códigos de recuperação, acesse-os enquanto estiver conectado como proprietário da empresa. Para obter mais informações, confira "Como baixar os códigos de recuperação de logon único da conta empresarial".

  1. Antes de iniciar a migração, entre no Azure e desabilite o provisionamento no aplicativo GitHub Enterprise Managed User existente.

  2. Se você usar políticas de local de rede de AC (Acesso Condicional) no Azure AD e estiver usando uma lista de permissões de IP com sua conta corporativa ou qualquer uma das organizações pertencentes à conta corporativa em GitHub.com, desabilite as listas de permissões de IP. Para obter mais informações, confira "Como impor configurações de segurança em sua empresa" e "Como gerenciar endereços IP permitidos para sua organização".

  3. Entre no GitHub.com como o usuário de configuração da nova empresa com o nome de usuário @SHORT-CODE_admin.

  4. Quando for solicitado que você continue para o provedor de identidade, clique em Usar um código de recuperação e entre usando um dos códigos de recuperação da empresa.

  5. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas. "Suas empresas" no menu suspenso na foto de perfil no GitHub Enterprise Cloud

  6. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  7. Na barra lateral da conta corporativa, clique em Configurações. Guia Configurações na barra lateral das contas corporativas

  8. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  9. Na parte inferior da página, ao lado de "Migrar para o logon único do OpenID Connect", clique em Configurar com o Azure.

    Aviso: a migração pode levar até uma hora e é importante que nenhum usuário seja provisionado durante a migração. Você pode confirmar se a migração ainda está em andamento retornando à página de configurações de segurança da empresa. Se a opção "Exigir autenticação do SAML" ainda estiver marcada, a migração ainda estará em andamento.

    Captura de tela mostrando o botão "Configurar com o Azure"

  10. Leia os dois avisos e clique para continuar.

  11. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Azure AD solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso: você precisa entrar no Azure AD como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  12. Em uma nova guia ou janela, conectado como o usuário de configuração no GitHub.com, crie um personal access token (classic) com o escopo admin:enterprise e sem expiração e copie-o para a área de transferência. Para obter mais informações sobre como criar um token, confira "Como criar um personal access token".

  13. Nas configurações do aplicativo GitHub Enterprise Managed User (OIDC) no portal do Azure, em "URL do Locatário", digite https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, substituindo YOUR_ENTERPRISE pelo nome da sua conta empresarial.

    Por exemplo, se a URL da conta empresarial for https://github.com/enterprises/octo-corp, o nome da conta empresarial será octo-corp.

  14. Em "Token secreto", cole o personal access token (classic) com o escopo admin:enterprise criado anteriormente.

  15. Para testar a configuração, clique em Testar conectividade.

  16. Para salvar as alterações, na parte superior do formulário, clique em Salvar.

  17. No portal do Azure, copie os usuários e os grupos do aplicativo GitHub Enterprise Managed User antigo para o novo aplicativo GitHub Enterprise Managed User (OIDC).

  18. Teste a configuração provisionando um só novo usuário.

  19. Se o teste for bem-sucedido, inicie o provisionamento de todos os usuários clicando em Iniciar provisionamento.