Migration de votre entreprise vers un nouveau fournisseur d'identité ou client

À propos des migrations entre fournisseurs d’identité et locataires

Lors de l’utilisation de Enterprise Managed Users, vous pourriez avoir besoin de migrer votre entreprise vers un nouveau tenant sur votre fournisseur d’identité ou vers un autre système de gestion des identités. Par exemple, vous pouvez être prêt à migrer d'un environnement de test vers votre environnement de production, ou votre entreprise peut décider d'utiliser un nouveau système d'identité.

Avant de migrer vers une nouvelle configuration d'authentification et d'approvisionnement, passez en revue les conditions préalables et les instructions de préparation. Lorsque vous êtes prêt à migrer, vous désactivez l'authentification et l'approvisionnement pour votre entreprise, puis reconfigurez les deux. Vous ne pouvez pas modifier votre configuration existante pour l'authentification et l'approvisionnement.

GitHub supprime les identités SCIM existantes associées aux identités SCIM de comptes d’utilisateur managés votre entreprise lorsque l’authentification est désactivée pour l’entreprise. Pour plus de détails sur l’impact de la désactivation de l’authentification pour une entreprise avec des utilisateurs managés par l’entreprise, consultez Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise.

Une fois l’authentification et la mise à disposition reconfigurées à la fin de la migration, les utilisateurs et les groupes devront être mis à disposition de nouveau à partir du nouvel IdP/tenant. Lorsque les utilisateurs sont reprovisionnés, GitHub compare les valeurs d’attribut SCIM normalisées userName aux noms d’utilisateur GitHub (partie avant le _[shortcode]) dans l’entreprise afin de lier les identités SCIM des nouveaux idP/locataire aux comptes d’utilisateur gérés d’entreprise existants. Pour plus d’informations, consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».

Prérequis

• Lorsque vous avez commencé à utiliser GitHub Enterprise Cloud, vous avez dû choisir de créer un entreprise avec utilisateurs managés. Pour plus d’informations, consultez « Choix d’un type d’entreprise pour GitHub Enterprise Cloud ».
• Passez en revue et comprenez les exigences d’intégration avec Enterprise Managed Users depuis un système de gestion des identités externe. Afin de simplifier la configuration et l’assistance, vous pouvez utiliser un unique IdP partenaire pour une intégration « paved-path ». Vous pouvez également configurer l'authentification à l'aide d'un système conforme aux normes SAML (Security Assertion Markup Language) 2.0 et System for Cross-domain Identity Management (SCIM) 2.0. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
• Vous devez avoir déjà configuré l'authentification et l'approvisionnement SCIM pour votre entreprise.

Préparation à la migration

Pour migrer vers une nouvelle configuration pour l'authentification et l'approvisionnement, vous devez d'abord désactiver l'authentification et l'approvisionnement pour votre entreprise. Avant de désactiver votre configuration existante, passez en revue les considérations suivantes :

• Avant de migrer, déterminez si, dans le nouvel environnement, les valeurs de l'attribut SCIM userName normalisé resteront les mêmes pour comptes d’utilisateur managés. Ces valeurs d’attribut SCIM userName normalisées doivent rester les mêmes pour les utilisateurs afin que les identités SCIM approvisionnées à partir du nouvel IdP/abonné soient correctement liées aux comptes d’utilisateurs existants gérés par l’entreprise. Pour plus d’informations, consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».

  • Si les valeurs SCIM normalisées userName doivent rester les mêmes après la migration, vous pouvez effectuer la migration vous-même.
  • Si les valeurs SCIM userName normalisées changent après la migration, GitHub devra vous aider pour effectuer la migration. Pour plus d’informations, consultez Migration lorsque les valeurs SCIM normalisées userName changent.

• Ne supprimez aucun utilisateur ni groupe de l’application pour Enterprise Managed Users de votre système de gestion des identités jusqu'à ce que votre migration soit terminée.

• GitHub supprimera toutes les personal access tokens ou les clés SSH associées à votre entreprise comptes d’utilisateur managés. Planifiez une fenêtre de migration après la reconfiguration pendant laquelle vous pouvez créer et fournir de nouvelles informations d'identification à toutes les intégrations externes.

• Dans le cadre des étapes de migration ci-dessous, GitHub supprime tous les groupes provisionnés SCIM dans votre entreprise lorsque l’authentification est désactivée pour l’entreprise. Les utilisateurs seront supprimés d’une organisation s’ils ont été ajoutés via l’un des groupes approvisionnés par SCIM. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».

Si l’un de ces groupes idP provisionnés SCIM est lié à des équipes de votre entreprise, cela supprime le lien entre ces équipes sur GitHub et ces groupes IdP, et ces liens ne sont pas automatiquement rétablis après la migration. GitHub supprimera également tous les membres des équipes précédemment liées. Vous pouvez rencontrer des interruptions si vous utilisez des groupes sur votre système de gestion des identités pour gérer l'accès aux organisations ou aux licences. GitHub recommande d’utiliser l’API REST pour répertorier les connexions d’équipe et l’appartenance au groupe avant de migrer, et de rétablir les connexions par la suite. Pour plus d’informations, consultez Points de terminaison d’API REST pour les groupes externes dans la documentation de l’API REST.

Migration vers un nouvel IdP ou abonné

Pour effectuer la migration vers un nouvel IdP ou abonné, vous devez réaliser les tâches suivantes.

1. Validez les attributs SCIM userName correspondants.
2. Téléchargez les code de récupération d'authentification unique.
3. Désactivez la mise à disposition sur votre IdP actuel.
4. Désactivez l’authentification pour votre entreprise.
5. Validez la suspension des membres de votre entreprise.
6. Reconfigurez l'authentification et l'approvisionnement.

1. Valider les attributs SCIM userName correspondants

Pour une migration transparente, vérifiez que l'attribut SCIM userName sur votre nouveau fournisseur SCIM correspond à l'attribut de votre ancien fournisseur SCIM. Si ces attributs ne correspondent pas, consultez Migration lorsque les valeurs SCIM userName normalisées changeront.

2. Téléchargez les codes de récupération de l’authentification unique

Si vous n’avez pas encore de codes de récupération d’authentification unique pour votre entreprise, téléchargez-les maintenant. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

3. Désactivez la mise à disposition sur votre IdP actuel

1. Sur votre fournisseur d’identité actuel, désactivez le provisionnement dans l’application pour Enterprise Managed Users.
   • Si vous utilisez Entra ID, accédez à l’onglet « Provisionnement » de l’application, puis cliquez sur Arrêter le provisionnement.
   • Si vous utilisez Okta, accédez à l’onglet « Provisionnement » de l’application, cliquez sur l’onglet Intégration, puis sur Modifier. Désélectionnez Activer l’intégration d’API.
   • Si vous utilisez PingFederate, accédez aux paramètres du canal dans l’application. Sous l’onglet Activation et résumé, cliquez sur Actif ou Inactif pour basculer l’état d’approvisionnement, puis cliquez sur Enregistrer. Pour plus d'informations sur la gestion de l'approvisionnement, consultez Examen des paramètres de canal et Gestion des canaux dans la documentation PingFederate.
   • Si vous utilisez un autre système de gestion des identités, consultez la documentation du système, l'équipe de support technique ou d'autres ressources.

4. Désactivez l’authentification pour votre entreprise

1. Utilisez un code de récupération pour vous connecter à GitHub en tant qu'utilisateur d'installation, dont le nom d'utilisateur est le code abrégé de votre entreprise suivi de _admin. Pour plus d’informations sur l’utilisateur d’installation, consultez Pour commencer avec Enterprise Managed Users.
2. Désactivez l’authentification pour votre entreprise. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».
3. Attendez que GitHub suspende les membres associés à votre entreprise, supprime les identités SCIM associées et supprime les groupes IdP approvisionnés par SCIM.

5. Validez la suspension des membres de votre entreprise.

Après avoir désactivé l’authentification dans vos GitHub paramètres d’entreprise, GitHub suspend tous les comptes d’utilisateur managés éléments (à l’exception du compte d’utilisateur d’installation) de votre entreprise. Vous pouvez valider la suspension des membres de votre entreprise le GitHub.

1. Affichez les membres suspendus dans votre entreprise. Pour plus d’informations, consultez « Affichage des personnes dans votre entreprise ».
2. Si tous les comptes d’utilisateur gérés de votre entreprise ne sont pas encore suspendus, continuez à attendre et à surveiller GitHub avant de passer à l’étape suivante.

6. Reconfigurez l'authentification et l'approvisionnement.

Après avoir validé la suspension des membres de votre entreprise, reconfigurez l'authentification et l'approvisionnement.

1. Configurez l'authentification à l'aide du SSO SAML ou OIDC. Pour plus d’informations, consultez « Configuration de l’authentification pour les utilisateurs gérés par l’entreprise ».
2. Configurez l'approvisionnement SCIM. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

4. Vérifiez que les utilisateurs et les groupes sont reprovisionnés à partir du nouvel IdP/locataire

1. Pour rétablir votre comptes d’utilisateur managés et afin de leur permettre de se connecter à GitHub, les utilisateurs doivent être reprovisionnés via le nouvel IdP/tenant. Ce processus permet d’associer les identités SCIM du nouvel IdP/abonné aux comptes d’utilisateurs gérés par l’entreprise déjà existants. Un utilisateur managé par l’entreprise doit disposer d’une identité SCIM liée pour pouvoir se connecter.
   • Lors du réapprovisionnement des comptes utilisateurs de l’IdP, si un utilisateur a été correctement associé à son identité SCIM provenant du nouvel IdP/abonné, un lien SSO identity linked apparaîtra sur sa page dans les paramètres de votre entreprise, affichant une section SCIM identity contenant les attributs SCIM. Pour plus d’informations, consultez « Affichage des personnes dans votre entreprise ».
   • Vous pouvez également passer en revue les événements external_identity.* et user.unsuspend associés dans le journal d’audit de l’entreprise. Pour plus d’informations, consultez Événements du journal d’audit pour votre entreprise
2. Les groupes doivent également être reprovisionnés à partir du nouvel IdP/abonné.
   • Lors du nouveau provisionnement des groupes IdP, surveillez la progression dans GitHub, et passez en revue les événements external_group.provision ainsi que les événements associés external_group.scim_api_failure dans le journal d’audit d’entreprise. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité » et « Événements du journal d’audit pour votre entreprise ».
3. Une fois que les groupes IdP ont été reprovisionnés dans l’entreprise, les administrateurs peuvent lier les groupes aux équipes de l’entreprise au besoin.

Migrer quand les valeurs SCIM normalisées userName vont changer

Si les valeurs SCIM userName normalisées changent, GitHub vous devez provisionner un nouveau compte d’entreprise pour votre migration. Contactez notre équipe commerciale pour obtenir de l’aide.