从 OIDC 迁移到 SAML

如果使用 OpenID Connect (OIDC) 对 具有托管用户的企业 中的成员进行身份验证,则可以迁移到 SAML SSO。

谁可以使用此功能?

Enterprise Managed Users 可用于 GitHub Enterprise Cloud 上的新企业帐户。 请参阅“关于 Enterprise Managed Users”。

本文内容

Note

对 Enterprise Managed Users 的 OpenID Connect (OIDC) 和条件访问策略 (CAP) 支持仅适用于 Microsoft Entra ID(以前称为 Azure AD)。

关于将 具有托管用户的企业 从 OIDC 迁移到 SAML

若要从 OIDC 迁移到 SAML,首先需要禁用 OIDC,这将挂起所有 托管用户帐户,移除所有 SCIM 预配的外部组,并删除链接的标识。

然后,配置 SAML 和 SCIM。 此时,需要重新预配用户、组和标识。

如果你不熟悉 Enterprise Managed Users 并且尚未为企业配置身份验证,则无需迁移,并且可以立即设置 SAML 单一登录 (SSO)。 有关详细信息,请参阅“为企业托管用户配置 SAML 单一登录”。

Warning

迁移到新的 IdP 或租户时,GitHub 团队和 IdP 组之间的连接将被删除,并且在迁移后不会恢复。 这将从团队中删除所有成员,并将团队与 IdP 断开连接,如果使用团队同步管理对 IdP 组织或许可证的访问权限,则可能会导致中断。 建议在迁移之前使用 REST API 的“外部组”端点收集有关团队设置的信息,并在迁移之后恢复连接。 有关详细信息,请参阅“外部组的 REST API 终结点”。

先决条件

  • 目前必须在 GitHub 上将企业配置为使用 OIDC 进行身份验证。 有关详细信息,请参阅“为企业托管用户配置 OIDC”。

  • 需要访问 GitHub 上的企业和 Entra ID 上的租户。

    • 要在 Entra ID 上配置 GitHub Enterprise Managed User (OIDC) 应用程序,必须以具有全局管理员角色的用户身份登录到 Entra ID 租户。
    • 若要以企业在 GitHub 上的设置用户身份登录,必须使用企业的恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

  • 在用户未主动使用企业资源时计划迁移时间。 在迁移期间,只有将新应用程序和用户配置为重新预配后,用户才能访问你的企业。

迁移企业

  1. 使用用户名 SHORT-CODE_admin 登录为企业的设置用户,需将 SHORT-CODE 替换为企业的短代码****。

  2. 在 GitHub 的右上角,单击你的个人资料照片。

  3. 根据环境,单击“你的企业”,或单击“你的企业”,然后单击要查看的企业********。 1. 在页面左侧的企业帐户边栏中,单击 设置”。 1. 当系统提示继续访问标识提供者时,请单击“使用恢复代码”,并使用企业恢复代码之一登录。

    注意:必须为企业而不是用户帐户使用恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

  4. 在“ 设置”下,单击“身份验证安全性” 。

  5. 取消选择“要求 OIDC 单一登录”。

  6. 单击“ 保存”。

  7. 配置 SAML 身份验证和 SCIM 预配。 有关详细信息,请参阅 Microsoft Learn 上的教程:Microsoft Entra 单一登录 (SSO) 与 GitHub Enterprise Managed User 的集成