Como migrar o SAML para o OIDC

Se você estiver usando o SAML para autenticar membros no seu empresa com usuários gerenciados, migre para o OIDC (OpenID Connect) e aproveite o suporte à Política de Acesso Condicional do seu IdP.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira "Sobre os Enterprise Managed Users".

Neste artigo

Note

O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).

Sobre a migração de umempresa com usuários gerenciados do SAML para o OIDC

Se o seu empresa com usuários gerenciados usa o SSO do SAML para autenticação no Entra ID, você pode migrar para o OIDC. Quando a sua empresa usar o SSO do OIDC, o GitHub usará automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros usarem a IU da Web ou alterarem os endereços IP e para cada autenticação com um personal access token ou uma chave SSH associada a uma conta de usuário.

Note

A proteção de CAP para sessões da Web atualmente está em versão prévia pública e poderá ser alterada.

Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Para habilitar esse recurso, sua empresa deve ter 1.000 membros ou menos, ativos ou suspensos.

Quando você migra do SAML para o OIDC, os contas de usuário gerenciadas e os grupos que foram provisionados anteriormente para o SAML, mas que não foram provisionados pelo aplicativo GitHub Enterprise Managed User (OIDC), ficam com "(SAML)" acrescentado aos nomes de exibição deles.

Se você não estiver familiarizado com Enterprise Managed Users e ainda não configurou a autenticação para sua empresa, não será necessário migrar, pois você poderá configurar o logon único do OIDC imediatamente. Para saber mais, confira Como configurar o OIDC para usuários empresariais gerenciados.

Warning

Quando você migra para um novo IdP ou locatário, as conexões entre equipes do GitHub e grupos de IdP são removidas e não são restabelecidas após a migração. Isso removerá todos os membros da equipe e a deixará desconectada do seu IdP, o que pode causar interrupção se você usar a sincronização de equipes para gerenciar o acesso a organizações ou licenças do seu IdP. Recomendamos o uso dos pontos de extremidade de "Grupos externos" da API REST para coletar informações sobre a configuração das suas equipes antes de migrar e restabelecer conexões depois. Para obter mais informações, confira "Pontos de extremidade de API REST para grupos externos".

Pré-requisitos

  • Sua empresa no GitHub precisa estar configurada no momento para usar o SAML para autenticação com o Entra ID como seu provedor de identidade. Para saber mais, confira Configurar o logon único SAML para usuários gerenciados pela empresa.

  • Você precisará acessar sua empresa no GitHub e seu locatário no Entra ID.

    • Para configurar o aplicativo GitHub Enterprise Managed User (OIDC) no Entra ID, você precisa entrar no locatário do Entra ID como um usuário com a função Administrador global.
    • Para entrar como o usuário de configuração da sua empresa no GitHub, você deve usar um código de recuperação da empresa. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  • Agende um horário para migração quando as pessoas não estiverem usando ativamente os recursos da sua empresa. Durante a migração, os usuários não poderão acessar sua empresa até que você configure o novo aplicativo e os usuários como provisionados novamente.

Como migrar a empresa

Para migrar sua empresa do SAML para o OIDC, você vai desabilitar seu aplicativo GitHub Enterprise Managed User existente no Entra ID, preparar e iniciar a migração como o usuário de instalação da sua empresa no GitHub e, depois, instalar e configurar o novo aplicativo para o OIDC no Entra ID. Depois que a migração for concluída e o Entra ID provisionar os usuários, os usuários poderão se autenticar para acessar os recursos da sua empresa no GitHub usando o OIDC.

Warning

A migração da sua empresa do SAML para o OIDC pode levar até uma hora. Durante a migração, os usuários não poderão acessar sua empresa no GitHub.

  1. Antes de iniciar a migração, entre no Azure e desabilite o provisionamento no aplicativo GitHub Enterprise Managed User existente.

  2. Se você usar políticas de local de rede de AC (Acesso Condicional) no Entra ID e estiver usando uma lista de permissões de IP com sua conta corporativa ou qualquer uma das organizações pertencentes à conta corporativa, desabilite as listas de permissões de IP. Confira Aplicando políticas para configurações de segurança na sua empresa e Gerenciar endereços IP permitidos para sua organização.

  3. Entre como o usuário de instalação da sua empresa com o nome de usuário SHORT-CODE_admin, substituindo SHORT-CODE pelo código curto da sua empresa.

  4. No canto superior direito do GitHub, selecione sua foto de perfil e depois Sua empresa.

  5. Quando for solicitado que você continue para o provedor de identidade, clique em Usar um código de recuperação e entre usando um dos códigos de recuperação da empresa.

    Note

    Você deve usar um código de recuperação para sua empresa, não sua conta de usuário. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  6. No lado esquerdo da página, na barra lateral da conta corporativa, clique em Identity provider.

  7. Em Identity Provider, clique em Single sign-on configuration.

  8. Na parte inferior da página, clique em Migrate to OpenID Connect single sign-on.

  9. Leia o aviso e clique em Migrate to OIDC.

  10. Clique em Begin OIDC migration.

  11. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Warning

    Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  12. Depois de fornecer o consentimento, uma nova janela do navegador será aberta no GitHub e exibirá um novo conjunto de códigos de recuperação para o empresa com usuários gerenciados. Baixe os códigos e clique em Habilitar autenticação OIDC.

  13. Aguarde a conclusão da migração, o que pode levar até uma hora. Para verificar o status da migração, navegue até a página de configurações de segurança de autenticação da sua empresa. Se a opção "Exigir autenticação SAML" estiver marcada, a migração ainda estará em andamento.

    Warning

    Não provisione novos usuários por meio do aplicativo no Entra ID durante a migração.

  14. Em uma nova guia ou janela, conectado como o usuário de configuração, crie um personal access token (classic) com o escopo scim:enterprise e sem expiração e copie-o para a área de transferência. Para saber mais sobre como criar um token, confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.

  15. Nas configurações de provisionamento do aplicativo GitHub Enterprise Managed User (OIDC) no centro de administração do Microsoft Entra, em “URL do Locatário”, a URL do locatário da sua empresa:

    • No GitHub.com: https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, substituindo YOUR_ENTERPRISE pelo nome da sua conta empresarial. Por exemplo, se a URL da conta empresarial for https://github.com/enterprises/octo-corp, o nome da conta empresarial será octo-corp.
    • No GHE.com: https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN, em que SUBDOMAIN é o subdomínio da sua empresa no GHE.com.

  16. Em “Token secreto”, cole o personal access token (classic) com o escopo scim:enterprise criado anteriormente.

  17. Para testar a configuração, clique em Testar conectividade.

  18. Para salvar as alterações, na parte superior do formulário, clique em Salvar.

  19. No centro de administração do Microsoft Entra, copie os usuários e os grupos do aplicativo GitHub Enterprise Managed User antigo para o novo aplicativo GitHub Enterprise Managed User (OIDC).

  20. Teste a configuração provisionando um só novo usuário.

  21. Se o teste for bem-sucedido, inicie o provisionamento de todos os usuários clicando em Iniciar provisionamento.