Миграция с SAML на OIDC

Если вы используете SAML для проверки подлинности участников в корпоративный с управляемыми пользователями, вы можете перейти в OpenID Connect (OIDC) и воспользоваться поддержкой политики условного доступа поставщика удостоверений.

Кто может использовать эту функцию?

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См. раздел "Сведения о Enterprise Managed Users".

В этой статье

Note

Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

О миграции данных корпоративный с управляемыми пользователями из SAML в OIDC

Если ваш корпоративный с управляемыми пользователями использует единый вход SAML для проверки подлинности с помощью идентификатора Записи, вы можете перейти в OIDC. Если ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействия с GitHub при использовании веб-интерфейса или изменении IP-адресов, а также для каждой проверки подлинности с помощью ключа personal access token или SSH, связанного с учетной записью пользователя.

Note

Защита CAP для веб-сеансов в настоящее время находится в public preview и может измениться.

Новые предприятия, которые включают поддержку IDP CAP после 5 ноября 2024 г., будут иметь защиту для веб-сеансов, включенных по умолчанию.

Существующие предприятия, которые уже включили поддержку idP CAP, могут отказаться от расширенной защиты веб-сеансов из параметров безопасности проверки подлинности предприятия.

При миграции из SAML в OIDC управляемые учетные записи пользователей и групп, которые ранее были подготовлены для SAML, но не подготовлены приложением GitHub Enterprise Managed User (OIDC) будет добавлено "(SAML)" к их отображаемым именам.

Если вы не знакомы с Enterprise Managed Users и еще не настроили проверку подлинности для вашего предприятия, вам не нужно немедленно выполнять миграцию и настраивать единый вход OIDC. Дополнительные сведения см. в разделе Настройка OIDC для Управляемых пользователей Enterprise.

Warning

При миграции на новый идентификатор или клиент подключения между командами GitHub и группами поставщика удостоверений удаляются и не восстанавливаются после миграции. Это приведет к удалению всех участников из команды и оставьте команду не подключенной к вашему idP, что может привести к сбоям, если вы используете синхронизацию команд для управления доступом к организациям или лицензиям от поставщика удостоверений. Мы рекомендуем использовать конечные точки "Внешние группы" REST API для сбора сведений о настройке команд перед миграцией, а затем восстановить подключения. Дополнительные сведения см. в разделе Конечные точки REST API для внешних групп.

Необходимые компоненты

Миграция предприятия

Чтобы перенести предприятие из SAML в OIDC, вы отключите существующее приложение GitHub Enterprise Managed User на идентификаторе Entra ID, подготовьте и начните миграцию в качестве пользователя установки для вашего предприятия на GitHub, а затем установите и настройте новое приложение для OIDC на идентификаторе записи. После завершения миграции и подготовки идентификатора Записи пользователи могут пройти проверку подлинности для доступа к ресурсам предприятия на GitHub с помощью OIDC.

Warning

Перенос предприятия из SAML в OIDC может занять до часа. Во время миграции пользователи не могут получить доступ к вашей организации на GitHub.

  1. Перед началом миграции войдите в Azure и отключите подготовку в существующем приложении GitHub Enterprise Managed User.

  2. Если вы используете политики сетевого расположения условного доступа (ЦС) в идентификаторе Записи, и вы используете список разрешений IP-адресов с вашей корпоративной учетной записью или любой из организаций, принадлежащих учетной записи предприятия, отключите списки разрешений IP. См. раздел "[AUTOTITLE" и "Применение политик для параметров безопасности в вашем предприятии](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization)".

  3. Войдите в качестве пользователя установки для вашей организации с помощью имени пользователя SHORT-CODE_admin, заменив SHORT-CODE коротким кодом вашего предприятия.

  4. В правом верхнем углу GitHubщелкните фото профиля, а затем щелкните "Ваше предприятие".

  5. Когда появится запрос на переход к поставщику удостоверений, нажмите Использовать код восстановления и войдите с помощью одного из кодов восстановления предприятия.

    Note

    Для предприятия необходимо использовать код восстановления, а не учетную запись пользователя. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

  6. В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.

  7. В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.

  8. В нижней части страницы нажмите кнопку "Миграция в OpenID Connect" с единым входом.

  9. Прочтите предупреждение, а затем нажмите кнопку "Миграция в OIDC".

  10. Нажмите кнопку " Начать миграцию OIDC".

  11. После того как GitHub Enterprise Cloud перенаправляет вас на идентификатор поставщика удостоверений, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC). После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".

    Warning

    Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в систему в качестве пользователя с правами глобального администратора.

  12. После предоставления согласия откроется новое окно браузера для GitHub и отобразит новый набор код восстановления для корпоративный с управляемыми пользователями. Скачайте коды и нажмите кнопку "Включить проверку подлинности OIDC".

  13. Дождитесь завершения миграции, которая может занять до часа. Чтобы проверить состояние миграции, перейдите на страницу параметров безопасности проверки подлинности предприятия. Если выбран параметр "Требовать проверку подлинности SAML", выполняется миграция.

    Warning

    Не подготавливайте новых пользователей из приложения на идентификаторе Записи во время миграции.

  14. На новой вкладке или окне при входе в систему в качестве пользователя установки создайте personal access token (classic) с областью scim:enterprise и не скопируйте его в буфер обмена. Дополнительные сведения о создании маркера см. в разделе "Настройка подготовки SCIM for Enterprise Managed Users".

  15. В параметрах подготовки приложения GitHub Enterprise Managed User (OIDC) в Центре администрирования Microsoft Entra в разделе "URL-адрес клиента" url-адрес клиента для вашего предприятия:

    • Для GitHub.com: https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISEзамените YOUR_ENTERPRISE именем вашей корпоративной учетной записи. Например, если URL-адрес вашей корпоративной учетной записи — https://github.com/enterprises/octo-corp, имя корпоративной учетной записи — octo-corp.
    • Для GHE.com: https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAINгде subDOMAIN — это поддомен вашего предприятия на GHE.com.

  16. В разделе "Секретный токен" вставьте personal access token (classic) с созданной ранее областью scim:enterprise .

  17. Чтобы проверить конфигурацию, нажмите Проверить подключение.

  18. Чтобы сохранить изменения, в верхней части формы нажмите Сохранить.

  19. В Центре администрирования Microsoft Entra скопируйте пользователей и группы из старого приложения GitHub Enterprise Managed User в новое приложение GitHub Enterprise Managed User (OIDC) .

  20. Проверьте конфигурацию, подготовив одного нового пользователя.

  21. Если тест выполнен успешно, начните подготовку для всех пользователей, нажав Начать подготовку.