Перенос предприятия в новый поставщик удостоверений или клиент

Если ваше предприятие будет использовать новый поставщик удостоверений (IdP) или клиент для проверки подлинности и подготовки после первоначальной настройки языка разметки утверждений безопасности (SAML) или OpenID Connect (OIDC) и SCIM, вы можете перейти к новой конфигурации.

Кто может использовать эту функцию?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См . раздел AUTOTITLE.

В этой статье

Сведения о миграции между поставщиками удостоверений и клиентами

Во время использования Enterprise Managed Users, возможно, вам потребуется перенести предприятие на нового арендатора на вашем IDP или на другую систему управления идентификацией. Например, вы можете быть готовы к миграции из тестовой среды в рабочую среду, или ваша компания может решить использовать новую систему удостоверений.

Перед переходом на новую конфигурацию проверки подлинности и подготовки ознакомьтесь с предварительными условиями и рекомендациями по подготовке. Когда вы будете готовы к миграции, вы отключите проверку подлинности и подготовку для вашего предприятия, а затем перенастроите оба. Невозможно изменить существующую конфигурацию для проверки подлинности и подготовки.

GitHub удаляет существующие идентификации SCIM, связанные с вашими предприятиями управляемые учетные записи пользователей , когда аутентификация отключена. Дополнительные сведения об отключении проверки подлинности для предприятия с управляемыми пользователями см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

После перенастройки проверки подлинности и подготовки в конце миграции пользователи и группы должны быть повторно подготовлены из нового поставщика удостоверений или клиента. Когда пользователи перенастраиваются, GitHub сравнивает нормализованные значения атрибутов SCIM userName с GitHub именами пользователей (частью перед _[shortcode]) в предприятии, чтобы связать идентичности SCIM из нового IdP/арендатора с существующими управляемыми корпоративными аккаунтами. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Необходимые компоненты

  • При начале использования GitHub Enterprise Cloudнеобходимо создать корпоративный с управляемыми пользователями. Дополнительные сведения см. в разделе Выбор типа предприятия для GitHub Enterprise Cloud.
  • Изучите и поймите требования к интеграции Enterprise Managed Users из внешней системы управления идентификацией. Чтобы упростить настройку и поддержку, можно использовать единый идентификатор партнера для интеграции с "проложенным путем". Кроме того, можно настроить проверку подлинности с помощью системы, которая соответствует стандартам SIM 2.0 и SYSTEM для управления междоменной идентификацией (SCIM) 2.0. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
  • Необходимо уже настроить проверку подлинности и подготовку SCIM для вашего предприятия.

подготовка к переносу;

Чтобы перейти к новой конфигурации для проверки подлинности и подготовки, необходимо сначала отключить проверку подлинности и подготовку для вашего предприятия. Прежде чем отключить существующую конфигурацию, ознакомьтесь со следующими рекомендациями.

  • Перед миграцией определите, останутся ли значения нормализованного атрибута SCIM userName прежними в управляемые учетные записи пользователей новой среде. Эти нормализованные значения атрибутов SCIM userName должны оставаться одинаковыми для пользователей, чтобы удостоверения SCIM, подготовленные из нового поставщика удостоверений или клиента, были правильно связаны с существующими корпоративными управляемыми учетными записями пользователей. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

    • Если нормализованные значения SCIM userName останутся неизменными после миграции, можно выполнить миграцию самостоятельно.
    • Если нормализованные значения SCIM userName изменятся после миграции, GitHub это поможет вам с миграцией. Дополнительные сведения см. в статье userName нормализованных значений SCIM".

  • Не удаляйте пользователей или группы из приложения Enterprise Managed Users в вашей системе управления идентификацией до завершения миграции.

  • GitHub удалит любые personal access tokens SSH-ключи, связанные с вашим управляемые учетные записи пользователейпредприятием. Запланируйте окно миграции после перенастройки, во время которой можно создать и предоставить новые учетные данные для любых внешних интеграции.

  • В рамках приведённых ниже этапов миграции GitHub удалю все группы с поддержкой SCIM в вашем предприятии, когда аутентификация отключена. Пользователи будут удалены из организации, если они были добавлены с помощью любой из подготовленных групп SCIM. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

Если какая-либо из этих групп IdP, подготовленных SCIM, связана с командами вашего предприятия, это устранит связь между этими командами и GitHub группами IdP, и эти ссылки не восстанавливают автоматически после миграции. GitHub также удалит всех членов ранее связанных команд. Если вы используете группы в системе управления удостоверениями для управления доступом к организациям или лицензиям, может возникнуть сбой. GitHub рекомендует использовать REST API для перечисления командных соединений и членства в группе перед миграцией, а также для восстановления соединений после. Дополнительные сведения см . в статье AUTOTITLE в документации по REST API.

Миграция на новый идентификатор или клиент

Чтобы перейти на новый идентификатор или клиент, необходимо выполнить следующие задачи.

  1. userName SCIM.
  2. Скачайте код восстановления единого входа.
  3. Отключите подготовку текущего поставщика удостоверений.
  4. Отключите проверку подлинности для вашего предприятия.
  5. Проверьте приостановку участников вашей организации.
  6. Перенастройка проверки подлинности и подготовки.

1. Проверка сопоставления атрибутов SCIM userName

Для простой миграции убедитесь, что атрибут SCIM в новом поставщике SCIM userName соответствует атрибуту старого поставщика SCIM. Если эти атрибуты не соответствуют, см. статью userName нормализованных значений SCIM".

2. Скачивание код восстановления единого входа

Если у вас еще нет код восстановления единого входа для вашего предприятия, скачайте коды. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

3. Отключение подготовки для текущего поставщика удостоверений

  1. В вашем текущем IDP отключите провизию в приложении для Enterprise Managed Users.
    • Если вы используете идентификатор записи, перейдите на вкладку "Подготовка" приложения, а затем нажмите кнопку "Остановить подготовку".
    • Если вы используете Okta, перейдите на вкладку "Подготовка" приложения, перейдите на вкладку "Интеграция " и нажмите кнопку "Изменить". Отмена выбора интеграции API.
    • Если вы используете PingFederate, перейдите к параметрам канала в приложении. На вкладке "Активация и сводка " нажмите кнопку "Активный " или "Неактивный ", чтобы переключить состояние подготовки, а затем нажмите кнопку "Сохранить". Дополнительные сведения об управлении подготовкой см. в разделе "Просмотр параметров канала" и "Управление каналами " в документации по PingFederate.
    • Если вы используете другую систему управления удостоверениями, обратитесь к документации системы, группе поддержки или другим ресурсам.

4. Отключение проверки подлинности для вашей организации

  1. Используйте код восстановления, чтобы войти GitHub в систему как пользователь настройки, чьё имя пользователя является суффиксом _adminshortcode вашего предприятия с . Дополнительные сведения о пользователе установки см. в разделе Начало работы с Enterprise Managed Users.
  2. Отключите проверку подлинности для вашего предприятия. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.
  3. Дождитесь GitHub приостановки участников вашего предприятия, удалите связанные идентификаторы SCIM и удалите группы IdP, подготовленные SCIM.

Примечание.

  • После отключения аутентификации GitHub запускает несколько фоновых задач, которые нужно выполнить, прежде чем вы продолжите оставшиеся шаги в этой статье. Для крупных предприятий это может занять несколько часов или даже дней.
  • Чтобы подтвердить завершение, перейдите на страницу настроек аутентификации для вашего предприятия (Корпоративные настройки → Безопасность аутентификации). Пока задачи продолжаются, кнопки «Включить конфигурацию OIDC» или «Добавить конфигурацию SAML» будут отключены, и вы увидите предупреждение вроде «Предыдущий провайдер SAML удаляется».

5. Проверка приостановки участников вашей организации

После отключения аутентификации в корпоративных GitHub настройках вы GitHub приостановите все управляемые учетные записи пользователей (кроме учетной записи пользователя для настройки) в вашем бизнесе. Вы можете подтвердить приостановку участников вашей компании по GitHubадресу .

  1. Просмотр приостановленных участников в вашей организации. Дополнительные сведения см. в разделе Просмотр пользователей в организации.
  2. Если все управляемые аккаунты в вашем предприятии ещё не приостановлены, продолжайте ждать и следить за входом GitHub , прежде чем перейти к следующему этапу.

6. Перенастройка проверки подлинности и подготовки

После проверки приостановки участников предприятия перенастройка проверки подлинности и подготовки.

  1. Настройте проверку подлинности с помощью единого входа SAML или OIDC. Дополнительные сведения см. в разделе Настройка проверки подлинности для корпоративных управляемых пользователей.
  2. Настройка подготовки SCIM. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.

7. Убедитесь, что пользователи и группы повторно представлены из нового поставщика удостоверений или клиента

  1. Чтобы снять приостановку управляемые учетные записи пользователей и позволить им войти в GitHub, пользователям нужно перенастроить с нового idP/арендатора. Это связывает удостоверения SCIM из нового поставщика удостоверений или клиента с существующими корпоративными управляемыми учетными записями пользователей. Управляемый пользователь предприятия должен иметь связанное удостоверение SCIM для входа.
    • При повторной подготовке учетных записей пользователей Поставщика удостоверений, если пользователь успешно связан с удостоверением SCIM из нового поставщика удостоверений или клиента, вы увидите SSO identity linked ссылку на своей странице в параметрах предприятия, которая будет отображать SCIM identity раздел с атрибутами SCIM. Дополнительные сведения см. в разделе Просмотр пользователей в организации.
    • Вы также можете просмотреть связанные external_identity.* и user.unsuspend события в журнале аудита предприятия. Дополнительные сведения см. в разделе События журнала аудита для вашего предприятия
  2. Группы также должны быть перепроектированы из нового поставщика удостоверений или клиента.
    • При переналадке групп IdP, отслеживайте прогресс в GitHub, а также просматривайте связанные external_group.provision, external_group.scim_api_failureи external_group.scim_api_success события в журнале аудита предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Управление членством в группах поставщиков удостоверений](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/audit-log-events-for-your-enterprise#external_group).
  3. После повторной подготовки групп поставщика удостоверений администраторы могут связать группы с группами в организации по мере необходимости.

Миграция при изменении нормализованных значений SCIM userName

Если нормализованные значения SCIM userName изменятся, GitHub необходимо создать новый корпоративный аккаунт для вашей миграции. Обратитесь к нашей группе продаж за помощью.