Como migrar a empresa para um novo provedor de identidade ou locatário

Se sua empresa utilizar um novo provedor de identidade (IdP) ou locatário para autenticação e provisionamento após a configuração inicial do SAML (Security Assertion Markup Language), OIDC (OpenID Connect) e SCIM, é possível migrar para uma nova configuração.

Quem pode usar esse recurso?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira Sobre os Enterprise Managed Users.

Neste artigo

Sobre migrações entre IdPs e locatários

Ao usar Enterprise Managed Users, talvez seja necessário migrar sua empresa para um novo locatário em seu IdP ou para um sistema de gerenciamento de identidade diferente. Por exemplo, pode estar tudo pronto para fazer a migração de um ambiente de teste para o ambiente de produção ou sua empresa pode decidir usar um novo sistema de identidades.

Antes de migrar para uma nova configuração de autenticação e provisionamento, revise os pré-requisitos e as diretrizes de preparação. Quando estiver tudo pronto para migrar, desabilite a autenticação e o provisionamento para sua empresa e, em seguida, reconfigure ambos. Não é possível editar a configuração existente para autenticação e provisionamento.

GitHub excluirá as identidades SCIM existentes associadas às da contas de usuário gerenciadas sua empresa quando a autenticação estiver desabilitada para a empresa. Para obter mais detalhes sobre o impacto da desabilitação da autenticação para uma empresa com usuários gerenciados empresariais, consulte Desabilitando a autenticação no Enterprise Managed Users.

Após a autenticação e o provisionamento serem reconfigurados no final da migração, os usuários e grupos deverão ser provisionados novamente no novo IdP/locatário. Quando os usuários forem reprovisionados, GitHub comparará os valores de atributo userName SCIM normalizados com os nomes de usuário do GitHub (a parte anterior ao _[shortcode]) na empresa, para vincular as identidades SCIM do novo IdP ou locatário às contas de usuário existentes gerenciadas pela empresa. Para saber mais, confira Considerações de nome de usuário para autenticação externa.

Pré-requisitos

  • Quando você começou a usar GitHub Enterprise Cloud, você deve ter optado por criar um empresa com usuários gerenciados. Para saber mais, confira Escolher um tipo de empresa para o GitHub Enterprise Cloud.
  • Examine e entenda os requisitos de integração com Enterprise Managed Users um sistema de gerenciamento de identidade externo. Para simplificar a configuração e o suporte, use um único IdP parceiro para uma integração descomplicada. Como alternativa, você pode configurar a autenticação usando um sistema que adere aos padrões SAML (Security Assertion Markup Language) 2.0 e SCIM (Sistema de Gerenciamento de Usuários entre Domínios) 2.0. Para saber mais, confira Sobre os Enterprise Managed Users.
  • Você já deve ter configurado a autenticação e o provisionamento do SCIM para a empresa.

Preparar a migração

Para migrar para uma nova configuração para autenticação e provisionamento, você deve primeiro desabilitar a autenticação e o provisionamento da empresa. Antes de desabilitar a configuração existente, leve em conta as seguintes considerações:

  • Antes de migrar, determine se os valores do atributo SCIM userName normalizado permanecerão os mesmos no contas de usuário gerenciadas novo ambiente. Esses valores de atributo userName SCIM normalizados deverão permanecer os mesmos para os usuários para que as identidades SCIM provisionadas do novo IdP/locatário sejam vinculadas corretamente às contas de usuário gerenciadas da empresa existentes. Para saber mais, confira Considerações de nome de usuário para autenticação externa.

    • Se os valores do userName SCIM normalizado permanecerem os mesmos após a migração, você poderá concluir a migração por conta própria.
    • Se os valores de SCIM userName normalizados forem alterados após a migração, será necessário que GitHub ajude com a sua migração. Para obter mais informações, confira Como migrar quando os valores do userName SCIM normalizado forem ser alterados.

  • Não remova nenhum usuário ou grupo do aplicativo para Enterprise Managed Users no seu sistema de gerenciamento de identidade até que sua migração seja concluída.

  • GitHub excluirá qualquer chave SSH ou outras associadas ao personal access tokens da sua empresa. Planeje uma janela de migração após a reconfiguração, durante a qual você poderá criar e fornecer novas credenciais para quaisquer integrações externas.

  • Como parte das etapas de migração abaixo, GitHub excluirá todos os grupos provisionados por SCIM em sua empresa quando a autenticação estiver desabilitada para a empresa. Os usuários serão removidos de uma organização se forem adicionados por meio de qualquer um dos grupos provisionados pelo SCIM. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.

Se qualquer um desses grupos de IdP provisionados por SCIM estiver vinculado a equipes em sua empresa, isso removerá o vínculo entre essas equipes GitHub e grupos de IdP e esses links não serão reintegrados automaticamente após a migração. GitHub também removerá todos os membros das equipes vinculadas anteriormente. Você pode sofrer interrupções se usar os grupos no sistema de gerenciamento de identidades para gerenciar o acesso a organizações ou licenças. GitHub recomenda que você use a API REST para listar conexões de equipe e associação de grupo antes de migrar e restabelecer as conexões posteriormente. Para saber mais, confira Endpoints de API REST para grupos externos na documentação da API REST.

Migrar para um novo IdP ou locatário

Conclua as tarefas a seguir para migrar para um novo IdP ou locatário.

  1. Valide os atributos SCIM userName correspondentes.
  2. Faça download de códigos de recuperação de logon único.
  3. Desabilite o provisionamento no IdP atual.
  4. Desabilitar a autenticação para sua empresa.
  5. Valide a suspensão dos membros da empresa.
  6. Reconfigure a autenticação e o provisionamento.

1. Valide os atributos SCIM userName correspondentes

Para uma migração íntegra, verifique se o atributo SCIM userName no novo provedor SCIM corresponde ao atributo no provedor SCIM antigo. Se esses atributos não corresponderem, confira Como migrar quando os valores SCIM userName normalizados serão alterados.

2. Faça download de códigos de recuperação de logon único

Se você ainda não tiver códigos de recuperação de logon único para sua empresa, baixe os códigos agora. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.

3. Desabilite o provisionamento no IdP atual

  1. No seu IdP atual, desative o provisionamento no aplicativo para Enterprise Managed Users.
    • Se você usa o Entra ID, navegue até a guia "Provisionamento" do aplicativo e clique em Parar provisionamento.
    • Se você usar o Okta, navegue até a guia "Provisionamento" do aplicativo, clique na guia Integração e clique em Editar. Desmarque Habilitar integração de API.
    • Se você usa o PingFederate, navegue até as configurações de canal no aplicativo. Na guia Ativação e Resumo, clique em Ativo ou Inativo para alternar o status de provisionamento e clique em Salvar. Para obter mais informações sobre como gerenciar o provisionamento, confira Como revisar configurações de canal e Gerenciar canais na documentação do PingFederate.
    • Se você usar outro sistema de gerenciamento de identidades, consulte a documentação, a equipe de suporte ou outros recursos do sistema.

4. Desabilitar a autenticação para sua empresa

  1. Use um código de recuperação para entrar em GitHub como o usuário de configuração, cujo nome de usuário é o código curto da sua empresa seguido de _admin. Para saber mais sobre o usuário de configuração, confira Introdução aos Enterprise Managed Users.
  2. Desabilitar a autenticação para sua empresa. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.
  3. Aguarde GitHub que suspenda os membros da sua empresa, exclua as identidades do SCIM vinculadas e também exclua os grupos de IdP provisionados por SCIM.

Observação

  • Depois de desabilitar a autenticação, GitHub executará várias tarefas em segundo plano que devem ser concluídas antes de continuar com as etapas restantes neste artigo. Para grandes empresas, isso pode levar várias horas ou até mesmo dias.
  • Para confirmar a conclusão, vá para a página de configurações de autenticação da sua empresa (configurações empresariais → segurança de autenticação). Enquanto as tarefas ainda estiverem em execução, o botão "Habilitar configuração do OIDC" ou "Adicionar configuração SAML" será desabilitado e você verá um aviso como "O provedor SAML anterior está sendo removido".

5. Valide a suspensão dos membros da empresa

Depois de desabilitar a autenticação em suas GitHub configurações corporativas, GitHub suspenderá todas as contas de usuário gerenciadas (com exceção da conta de usuário de instalação) em sua empresa. Você pode validar a suspensão dos membros da sua empresa em GitHub.

  1. Exiba os membros suspensos da empresa. Para saber mais, confira Visualizar pessoas na sua empresa.
  2. Se todas as contas de usuário gerenciado em sua empresa ainda não estiverem suspensas, continue aguardando e monitorando GitHub antes de prosseguir com a próxima etapa.

6. Reconfigure a autenticação e o provisionamento

Após validar a suspensão dos membros da sua empresa, reconfigure a autenticação e o provisionamento.

  1. Configure a autenticação usando SAML ou SSO do OIDC. Para saber mais, confira Configurar a autenticação para usuários empresariais gerenciados.
  2. Configure o provisionamento do SCIM. Para saber mais, confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.

7. Verifique se os usuários e os grupos são reprovisionados no novo IdP/locatário

  1. Para reativar seu contas de usuário gerenciadas e permitir que os usuários façam login em GitHub, eles devem ser reaprovisionados a partir do novo provedor de identidade (IdP)/locatário. Isso vincula as identidades SCIM do novo IdP/locatário às existentes contas de usuário gerenciadas pela empresa. Um usuário gerenciado empresarial deve ter uma identidade SCIM vinculada para entrar.
    • Ao reprovisionar as contas de usuário do IdP, se um usuário tiver sido vinculado com êxito à identidade SCIM do novo IdP/tenant, você verá um link SSO identity linked na página dele nas configurações empresariais, onde será mostrada uma seção SCIM identity com os atributos SCIM. Para saber mais, confira Visualizar pessoas na sua empresa.
    • Você também pode examinar eventos external_identity.* e user.unsuspend relacionados no log de auditoria empresarial. Para saber mais, confira Auditar eventos de log para sua empresa
  2. Os grupos também devem ser reprovisionados no novo IdP/locatário.
  3. Depois que os grupos de IdP tiverem sido reprovisionados para a empresa, os administradores poderão vinculá-los às equipes da empresa, conforme necessário.

Como migrar quando os valores do userName SCIM normalizado forem ser alterados

Se os valores de SCIM userName normalizados forem alterados, GitHub será necessário provisionar uma nova conta corporativa para sua migração. Entre em contato com nossa equipe de vendas para obter ajuda.