Note
Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).
О миграции данных корпоративный с управляемыми пользователями из SAML в OIDC
Если ваш корпоративный с управляемыми пользователями использует единый вход SAML для проверки подлинности с помощью идентификатора Записи, вы можете перейти в OIDC. Если ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействия с GitHub при использовании веб-интерфейса или изменении IP-адресов, а также для каждой проверки подлинности с помощью ключа personal access token или SSH, связанного с учетной записью пользователя.
Note
Защита CAP для веб-сеансов в настоящее время находится в public preview и может измениться.
Если поддержка IDP CAP уже включена для вашего предприятия, вы можете выбрать расширенную защиту веб-сеансов из параметров безопасности проверки подлинности предприятия. Чтобы включить эту функцию, ваше предприятие должно иметь 1000 или меньше членов, активные или приостановленные.
При миграции из SAML в OIDC управляемые учетные записи пользователей и групп, которые ранее были подготовлены для SAML, но не подготовлены приложением GitHub Enterprise Managed User (OIDC) будет добавлено "(SAML)" к их отображаемым именам.
Если вы не знакомы с Enterprise Managed Users и еще не настроили проверку подлинности для вашего предприятия, вам не нужно немедленно выполнять миграцию и настраивать единый вход OIDC. Дополнительные сведения см. в разделе Настройка OIDC для Управляемых пользователей Enterprise.
Warning
При миграции на новый идентификатор или клиент подключения между командами GitHub и группами поставщика удостоверений удаляются и не восстанавливаются после миграции. Это приведет к удалению всех участников из команды и оставьте команду не подключенной к вашему idP, что может привести к сбоям, если вы используете синхронизацию команд для управления доступом к организациям или лицензиям от поставщика удостоверений. Мы рекомендуем использовать конечные точки "Внешние группы" REST API для сбора сведений о настройке команд перед миграцией, а затем восстановить подключения. Дополнительные сведения см. в разделе Конечные точки REST API для внешних групп.
Необходимые компоненты
- Ваше предприятие на GitHub в настоящее время должно быть настроено для использования SAML для проверки подлинности с идентификатором Entra в качестве поставщика удостоверений (IdP). Дополнительные сведения см. в разделе Настройка единого входа SAML для управляемых пользователей GitHub Enterprise.
Миграция предприятия
Чтобы перенести предприятие из SAML в OIDC, вы отключите существующее приложение GitHub Enterprise Managed User на идентификаторе Entra ID, подготовьте и начните миграцию в качестве пользователя установки для вашего предприятия на GitHub, а затем установите и настройте новое приложение для OIDC на идентификаторе записи. После завершения миграции и подготовки идентификатора Записи пользователи могут пройти проверку подлинности для доступа к ресурсам предприятия на GitHub с помощью OIDC.
Warning
Перенос предприятия из SAML в OIDC может занять до часа. Во время миграции пользователи не могут получить доступ к вашей организации на GitHub.
-
Перед началом миграции войдите в Azure и отключите подготовку в существующем приложении GitHub Enterprise Managed User.
-
Если вы используете политики сетевого расположения условного доступа (ЦС) в идентификаторе Записи, и вы используете список разрешений IP-адресов с вашей корпоративной учетной записью или любой из организаций, принадлежащих учетной записи предприятия, отключите списки разрешений IP. См. раздел [AUTOTITLE и Применение политик для параметров безопасности в вашем предприятии](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization).
-
Войдите в качестве пользователя установки для вашей организации с помощью имени пользователя SHORT-CODE_admin, заменив SHORT-CODE коротким кодом вашего предприятия.
-
В правом верхнем углу GitHubщелкните фото профиля, а затем щелкните "Ваше предприятие".
-
Когда появится запрос на переход к поставщику удостоверений, нажмите Использовать код восстановления и войдите с помощью одного из кодов восстановления предприятия.
Note
Для предприятия необходимо использовать код восстановления, а не учетную запись пользователя. Дополнительные сведения см. в разделе «Скачивание кодов восстановления единого входа для учетной записи предприятия».
-
В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.
-
В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.
-
В нижней части страницы нажмите кнопку "Миграция в OpenID Connect" с единым входом.
-
Прочтите предупреждение, а затем нажмите кнопку "Миграция в OIDC".
-
Нажмите кнопку " Начать миграцию OIDC".
-
После того как GitHub Enterprise Cloud перенаправляет вас на идентификатор поставщика удостоверений, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC). После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".
Warning
Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в систему в качестве пользователя с правами глобального администратора.
-
После предоставления согласия откроется новое окно браузера для GitHub и отобразит новый набор код восстановления для корпоративный с управляемыми пользователями. Скачайте коды и нажмите кнопку "Включить проверку подлинности OIDC".
-
Дождитесь завершения миграции, которая может занять до часа. Чтобы проверить состояние миграции, перейдите на страницу параметров безопасности проверки подлинности предприятия. Если выбран параметр "Требовать проверку подлинности SAML", выполняется миграция.
Warning
Не подготавливайте новых пользователей из приложения на идентификаторе Записи во время миграции.
-
На новой вкладке или окне при входе в систему в качестве пользователя установки создайте personal access token (classic) с областью scim:enterprise и не скопируйте его в буфер обмена. Дополнительные сведения о создании маркера см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.
-
В параметрах подготовки приложения GitHub Enterprise Managed User (OIDC) в Центре администрирования Microsoft Entra в разделе "URL-адрес клиента" url-адрес клиента для вашего предприятия:
- Для GitHub.com:
https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE
замените YOUR_ENTERPRISE именем вашей корпоративной учетной записи. Например, если URL-адрес вашей корпоративной учетной записи —https://github.com/enterprises/octo-corp
, имя корпоративной учетной записи —octo-corp
. - Для GHE.com:
https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN
где subDOMAIN — это поддомен вашего предприятия на GHE.com.
- Для GitHub.com:
-
В разделе "Секретный токен" вставьте personal access token (classic) с созданной ранее областью scim:enterprise .
-
Чтобы проверить конфигурацию, нажмите Проверить подключение.
-
Чтобы сохранить изменения, в верхней части формы нажмите Сохранить.
-
В Центре администрирования Microsoft Entra скопируйте пользователей и группы из старого приложения GitHub Enterprise Managed User в новое приложение GitHub Enterprise Managed User (OIDC) .
-
Проверьте конфигурацию, подготовив одного нового пользователя.
-
Если тест выполнен успешно, начните подготовку для всех пользователей, нажав Начать подготовку.