Миграция с SAML на OIDC

Если вы используете SAML для проверки подлинности членов в корпоративный с управляемыми пользователями, вы можете перейти на OpenID Подключение (OIDC) и воспользоваться поддержкой политики условного доступа поставщика удостоверений.

Кто эту функцию можно использовать?

Чтобы управлять пользователями в организации с помощью поставщика удостоверений, ваше предприятие должно быть включено для Enterprise Managed Users, доступной с GitHub Enterprise Cloud. Дополнительные сведения см. в разделе "Сведения о Enterprise Managed Users".

В этой статье

Примечание. Поддержка openID Подключение (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

О миграции данных корпоративный с управляемыми пользователями из SAML в OIDC

Если ваш корпоративный с управляемыми пользователями использует единый вход SAML для проверки подлинности с помощью идентификатора Записи, вы можете перейти в OIDC. Когда ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействий с GitHub при изменении IP-адресов и для каждой проверки подлинности с помощью personal access token или ключа SSH, связанного с учетной записью пользователя.

При миграции из SAML в OIDC управляемые учетные записи пользователей и групп, которые ранее были подготовлены для SAML, но не подготовлены приложением GitHub Enterprise Managed User (OIDC) будет добавлено "(SAML)" к их отображаемым именам.

Если вы не знакомы с Enterprise Managed Users и еще не настроили проверку подлинности для вашего предприятия, вам не нужно немедленно выполнять миграцию и настраивать единый вход OIDC. Дополнительные сведения см. в разделе Настройка OIDC для Управляемых пользователей Enterprise.

Предупреждение: При миграции на новый идентификатор или клиент подключения между командами GitHub и группами поставщика удостоверений удаляются и не восстанавливаются после миграции. Это приведет к удалению всех участников из команды и оставьте команду не подключенной к вашему idP, что может привести к сбоям, если вы используете синхронизацию команд для управления доступом к организациям или лицензиям от поставщика удостоверений. Мы рекомендуем использовать конечные точки "Внешние группы" REST API для сбора сведений о настройке команд перед миграцией, а затем восстановить подключения. Дополнительные сведения см. в разделе Конечные точки REST API для внешних групп.

Необходимые компоненты

Миграция предприятия

Чтобы перенести предприятие из SAML в OIDC, вы отключите существующее приложение GitHub Enterprise Managed User на идентификаторе Записи, подготовьте и начните миграцию в качестве пользователя установки для вашего предприятия на GitHub.com, а затем установите и настройте новое приложение для OIDC на идентификаторе Записи. После завершения миграции и подготовки идентификатора Записи пользователи могут пройти проверку подлинности для доступа к ресурсам предприятия на GitHub.com с помощью OIDC.

Предупреждение. Миграция предприятия из SAML в OIDC может занять до часа. Во время миграции пользователи не могут получить доступ к вашей организации на GitHub.com.

  1. Перед началом миграции войдите в Azure и отключите подготовку в существующем приложении GitHub Enterprise Managed User.

  2. Если вы используете политики сетевого расположения условного доступа (ЦС) в идентификаторе записи, и вы используете список разрешений IP-адресов с вашей корпоративной учетной записью или любой из организаций, принадлежащих корпоративной учетной записи на GitHub.com, отключите списки разрешений IP-адресов. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Применение политик для параметров безопасности в вашем предприятии](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization)".

  3. Войдите в GitHub.com в качестве пользователя установки для вашего предприятия с именем пользователя @SHORT-CODE_admin, заменив SHORT-CODE коротким кодом вашего предприятия.

  4. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  5. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  6. На боковой панели учетной записи предприятия щелкните Параметры.

  7. Когда появится запрос на переход к поставщику удостоверений, нажмите Использовать код восстановления и войдите с помощью одного из кодов восстановления предприятия.

    Примечание. Для предприятия необходимо использовать код восстановления, а не учетную запись пользователя. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

  8. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  9. В нижней части страницы рядом с пунктом "Миграция на единый вход OpenID Connect" нажмите Настроить с помощью Azure.

  10. Прочтите предупреждение, а затем щелкните "Я понимаю", начните миграцию в OpenID Подключение.

  11. После того как GitHub Enterprise Cloud перенаправляет вас на идентификатор поставщика удостоверений, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC). После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".

    Предупреждение. Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в приложение Entra ID с правами глобального администратора.

  12. После предоставления согласия в новом окне браузера откроется GitHub.com и отобразится новый набор код восстановления для данных корпоративный с управляемыми пользователями. Скачайте коды и нажмите кнопку "Включить проверку подлинности OIDC".

  13. Дождитесь завершения миграции, которая может занять до часа. Чтобы проверка состояние миграции, перейдите на страницу параметров безопасности проверки подлинности предприятия. Если выбран параметр "Требовать проверку подлинности SAML", выполняется миграция.

    Предупреждение. Не подготавливайте новых пользователей из приложения на идентификаторе Записи во время миграции.

  14. На новой вкладке или окне при входе пользователя установки в GitHub.comсоздайте personal access token (classic) с правами администратора:enterprise область и не скопируйте его в буфер обмена. Дополнительные сведения о создании маркера см. в разделе "Настройка подготовки SCIM для Enterprise Managed Users".

  15. В параметрах подготовки приложения GitHub Enterprise Managed User (OIDC) в Центре администрирования Microsoft Entra в поле "URL-адрес клиента" введите https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, заменив YOUR_ENTERPRISE именем вашей корпоративной учетной записи.

    Например, если URL-адрес вашей корпоративной учетной записи — https://github.com/enterprises/octo-corp, имя корпоративной учетной записи — octo-corp.

  16. В разделе "Секретный токен" вставьте personal access token (classic) с помощью созданного ранее администратора:enterprise область.

  17. Чтобы проверить конфигурацию, нажмите Проверить подключение.

  18. Чтобы сохранить изменения, в верхней части формы нажмите Сохранить.

  19. В Центре администрирования Microsoft Entra скопируйте пользователей и группы из старого приложения GitHub Enterprise Managed User в новое приложение GitHub Enterprise Managed User (OIDC) .

  20. Проверьте конфигурацию, подготовив одного нового пользователя.

  21. Если тест выполнен успешно, начните подготовку для всех пользователей, нажав Начать подготовку.