从 OIDC 迁移到 SAML

如果使用 OpenID Connect (OIDC) 对 具有托管用户的企业 中的成员进行身份验证,则可以迁移到 SAML SSO。

谁可以使用此功能?

若要使用标识提供者管理企业中的用户,企业必须启用 Enterprise Managed Users,它适用于 GitHub Enterprise Cloud。 有关详细信息,请参阅“关于 Enterprise Managed Users”。

本文内容

注意:**** 对 Enterprise Managed Users 的 OpenID Connect (OIDC) 和条件访问策略 (CAP) 支持仅适用于 Microsoft Entra ID(以前称为 Azure AD)。

关于将 具有托管用户的企业 从 OIDC 迁移到 SAML

若要从 OIDC 迁移到 SAML,首先需要禁用 OIDC,这将挂起所有 托管用户帐户,移除所有 SCIM 预配的外部组,并删除链接的标识。

然后,配置 SAML 和 SCIM。 此时,需要重新预配用户、组和标识。

如果你不熟悉 Enterprise Managed Users 并且尚未为企业配置身份验证,则无需迁移,并且可以立即设置 SAML 单一登录 (SSO)。 有关详细信息,请参阅“为企业托管用户配置 SAML 单一登录”。

警告:****迁移到新的 IdP 或租户时,GitHub 团队和 IdP 组之间的连接将被删除,并且在迁移后不会恢复。 这将从团队中删除所有成员,并将团队与 IdP 断开连接,如果使用团队同步管理对 IdP 组织或许可证的访问权限,则可能会导致中断。 建议在迁移之前使用 REST API 的“外部组”端点收集有关团队设置的信息,并在迁移之后恢复连接。 有关详细信息,请参阅“外部组的 REST API 终结点”。

先决条件

  • 目前必须在 GitHub.com 上将企业配置为使用 OIDC 进行身份验证。 有关详细信息,请参阅“为企业托管用户配置 OIDC”。

  • 需要访问 GitHub.com 上的企业和 Entra ID 上的租户。

    • 要在 Entra ID 上配置 GitHub Enterprise Managed User (OIDC) 应用程序,必须以具有全局管理员角色的用户身份登录到 Entra ID 租户。
    • 若要以企业在 GitHub.com 上的设置用户身份登录,必须使用企业的恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

  • 在用户未主动使用企业资源时计划迁移时间。 在迁移期间,只有将新应用程序和用户配置为重新预配后,用户才能访问你的企业。

迁移企业

  1. 使用用户名 @SHORT-CODE_admin 以企业的设置用户身份登录到 GitHub.com,其中 SHORT-CODE 需替换为企业的短代码。

  2. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  3. 在企业列表中,单击您想要查看的企业。

  4. 在企业帐户边栏中,单击“设置”。

  5. 当系统提示继续访问标识提供者时,请单击“使用恢复代码”,并使用企业恢复代码之一登录。

    注意:必须为企业而不是用户帐户使用恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

  6. 在“ 设置”下,单击“身份验证安全性” 。

  7. 取消选择“要求 OIDC 单一登录”。

  8. 单击“ 保存”。

  9. 配置 SAML 身份验证和 SCIM 预配。 有关详细信息,请参阅 Microsoft Learn 上的教程:Microsoft Entra 单一登录 (SSO) 与 GitHub Enterprise Managed User 的集成