Como migrar o SAML para o OIDC

Se você estiver usando o SAML para autenticar membros no seu empresa com usuários gerenciados, migre para o OIDC (OpenID Connect) e aproveite o suporte à Política de Acesso Condicional do seu IdP.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira "Sobre os Enterprise Managed Users".

Neste artigo

Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para o Microsoft Entra ID (o antigo Azure AD).

Sobre a migração de umempresa com usuários gerenciados do SAML para o OIDC

Se o seu empresa com usuários gerenciados usa o SSO do SAML para autenticação no Entra ID, você pode migrar para o OIDC. Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é associada a uam conta de usuário.

Quando você migra do SAML para o OIDC, os contas de usuário gerenciadas e os grupos que foram provisionados anteriormente para o SAML, mas que não foram provisionados pelo aplicativo GitHub Enterprise Managed User (OIDC), ficam com "(SAML)" acrescentado aos nomes de exibição deles.

Se você não estiver familiarizado com Enterprise Managed Users e ainda não configurou a autenticação para sua empresa, não será necessário migrar, pois você poderá configurar o logon único do OIDC imediatamente. Para obter mais informações, confira "Como configurar o OIDC para usuários empresariais gerenciados".

Aviso: Quando você migra para um novo IdP ou locatário, as conexões entre equipes do GitHub e grupos de IdP são removidas e não são restabelecidas após a migração. Isso removerá todos os membros da equipe e a deixará desconectada do seu IdP, o que pode causar interrupção se você usar a sincronização de equipes para gerenciar o acesso a organizações ou licenças do seu IdP. Recomendamos o uso dos pontos de extremidade de "Grupos externos" da API REST para coletar informações sobre a configuração das suas equipes antes de migrar e restabelecer conexões depois. Para obter mais informações, confira "Pontos de extremidade de API REST para grupos externos".

Pré-requisitos

  • Sua empresa no GitHub precisa estar configurada no momento para usar o SAML para autenticação com o Entra ID como seu provedor de identidade. Para obter mais informações, confira "Configurar o logon único SAML para usuários gerenciados pela empresa".

  • Você precisará acessar sua empresa no GitHub e seu locatário no Entra ID.

    • Para configurar o aplicativo GitHub Enterprise Managed User (OIDC) no Entra ID, você precisa entrar no locatário do Entra ID como um usuário com a função Administrador global.
    • Para entrar como o usuário de configuração da sua empresa no GitHub, você deve usar um código de recuperação da empresa. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  • Agende um horário para migração quando as pessoas não estiverem usando ativamente os recursos da sua empresa. Durante a migração, os usuários não poderão acessar sua empresa até que você configure o novo aplicativo e os usuários como provisionados novamente.

Como migrar a empresa

Para migrar sua empresa do SAML para o OIDC, você vai desabilitar seu aplicativo GitHub Enterprise Managed User existente no Entra ID, preparar e iniciar a migração como o usuário de instalação da sua empresa no GitHub e, depois, instalar e configurar o novo aplicativo para o OIDC no Entra ID. Depois que a migração for concluída e o Entra ID provisionar os usuários, os usuários poderão se autenticar para acessar os recursos da sua empresa no GitHub usando o OIDC.

Aviso: a migração da sua empresa do SAML para o OIDC pode levar até uma hora. Durante a migração, os usuários não poderão acessar sua empresa no GitHub.

  1. Antes de iniciar a migração, entre no Azure e desabilite o provisionamento no aplicativo GitHub Enterprise Managed User existente.

  2. Se você usar políticas de local de rede de AC (Acesso Condicional) no Entra ID e estiver usando uma lista de permissões de IP com sua conta corporativa ou qualquer uma das organizações pertencentes à conta corporativa, desabilite as listas de permissões de IP. Para obter mais informações, confira "Aplicando políticas para configurações de segurança na sua empresa" e "Gerenciar endereços IP permitidos para sua organização."

  3. Entre no GitHub.com como o usuário de configuração da nova empresa com o nome de usuário SHORT-CODE_admin, substituindo SHORT-CODE pelo código curto da empresa.

  4. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  5. Na lista de empresas, clique na empresa que você deseja visualizar.

  6. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  7. Quando for solicitado que você continue para o provedor de identidade, clique em Usar um código de recuperação e entre usando um dos códigos de recuperação da empresa.

    Observação: você deve usar um código de recuperação para sua empresa, não sua conta de usuário. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  8. Em Configurações, clique em Segurança da autenticação.

  9. Na parte inferior da página, ao lado de "Migrar para o logon único do OpenID Connect", clique em Configurar com o Azure.

  10. Leia o aviso e clique em Entendi. Começar a migrar para o OpenID Connect.

  11. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso: você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  12. Depois de fornecer o consentimento, uma nova janela do navegador será aberta no GitHub e exibirá um novo conjunto de códigos de recuperação para o empresa com usuários gerenciados. Baixe os códigos e clique em Habilitar autenticação OIDC.

  13. Aguarde a conclusão da migração, o que pode levar até uma hora. Para verificar o status da migração, navegue até a página de configurações de segurança de autenticação da sua empresa. Se a opção "Exigir autenticação SAML" estiver marcada, a migração ainda estará em andamento.

    Aviso: não provisione novos usuários por meio do aplicativo no Entra ID durante a migração.

  14. Em uma nova guia ou janela, conectado como o usuário de configuração, crie um personal access token (classic) com o escopo scim:enterprise e sem expiração e copie-o para a área de transferência. Para obter mais informações de como criar um token, confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

  15. Nas configurações de provisionamento do aplicativo GitHub Enterprise Managed User (OIDC) no centro de administração do Microsoft Entra, em "URL do Locatário", digite https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, substituindo YOUR_ENTERPRISE pelo nome da conta da sua empresa.

    Por exemplo, se a URL da conta empresarial for https://github.com/enterprises/octo-corp, o nome da conta empresarial será octo-corp.

  16. Em "Token secreto", cole o personal access token (classic) com o escopo admin:enterprise criado anteriormente.

  17. Para testar a configuração, clique em Testar conectividade.

  18. Para salvar as alterações, na parte superior do formulário, clique em Salvar.

  19. No centro de administração do Microsoft Entra, copie os usuários e os grupos do aplicativo GitHub Enterprise Managed User antigo para o novo aplicativo GitHub Enterprise Managed User (OIDC).

  20. Teste a configuração provisionando um só novo usuário.

  21. Se o teste for bem-sucedido, inicie o provisionamento de todos os usuários clicando em Iniciar provisionamento.