Enterprise Server 3.20 ist derzeit als Release Candidate verfügbar.

Migrieren von LDAP zu SAML mit SCIM

Erfahren Sie, wie Sie Ihre GitHub Enterprise Server Instanz von der LDAP-Authentifizierung zu SAML Single Sign-On mit SCIM-Bereitstellung für die zentrale Benutzerverwaltung migrieren.

Wer kann dieses Feature verwenden?

Site administrators can migrate authentication methods on GitHub Enterprise Server.

In diesem Artikel

Informationen zum Migrieren von LDAP zu SAML und SCIM

Wenn Ihre GitHub Enterprise Server Instanz derzeit die LDAP-Authentifizierung verwendet, können Sie mit SCIM-Provisionierung zu SAML Single Sign-On (SSO) migrieren, um die erweiterten Funktionen zur Verwaltung des Benutzerlebenszyklus bereitzustellen. Mit dieser Migration können Sie Benutzerkonten automatisch von Ihrem Identitätsanbieter (IdP) bereitstellen, aktualisieren und aufheben.

Hinweis

Du kannst entweder SAML oder LDAP verwenden.

          **Voraussetzungen:**
  • Du musst ein Site-Administrator auf GitHub Enterprise Server sein.
  • Sie müssen über Administratorzugriff auf Ihren SAML-Identitätsanbieter verfügen.
  • Ihr IdP muss SAML 2.0- und SCIM 2.0-Protokolle unterstützen.
  • Sie sollten eine Sicherung Ihrer Instanz abschließen, bevor Sie mit der Migration beginnen.

Die SCIM-Bereitstellung erfordert SAML-Authentifizierung als Voraussetzung, sodass diese Migration vier verschiedene Phasen umfasst:

  1.        **Migrieren zur SAML-Authentifizierung**: Ersetzen Sie LDAP durch SAML-SSO.

  2.        **Testen und überprüfen Sie SAML**: Bestätigen Sie, dass die Authentifizierung funktioniert, und die Benutzer sind ordnungsgemäß verknüpft.

  3.        **Aktivieren Sie die SCIM-Bereitstellung**: Hinzufügen automatisierter Benutzerverwaltungsfunktionen.

  4.        **Testen und überprüfen Sie SCIM**: Stellen Sie sicher, dass die Bereitstellung Identitäten mit vorhandenen Konten verknüpft.

In diesem Dokument wird davon ausgegangen, dass sie mit der SAML-Authentifizierung und der SCIM-Bereitstellung vertraut sind. Weitere Informationen zu diesen Themen finden Sie unter Konfigurieren von SAML Single Sign-On für dein Unternehmen und Informationen zur Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

1. Grundlegendes zu LDAP- und SCIM-Benutzererstellungsmustern

Bevor Sie mit der Migration beginnen, ist es wichtig, die wesentlichen Unterschiede im Benutzerverwaltungsprozess zwischen LDAP und SCIM auf GitHub Enterprise Server zu verstehen.

MerkmalLDAPSCIM
          **Appliance-Konfiguration** | Sie konfigurieren das Benutzer-ID-Attribut (Standard `uid`) und andere LDAP-Einstellungen in der Verwaltungskonsole. Diese Konfiguration legt fest, wie die Zuordnung zwischen LDAP-Benutzern und GitHub Benutzern erfolgt. Weitere Informationen zum Konfigurieren von LDAP finden Sie unter [AUTOTITLE](/admin/managing-iam/using-ldap-for-enterprise-iam/using-ldap#ldap-attributes). | Aktivieren Sie zuerst die SAML-Authentifizierung, und konfigurieren Sie dann die SCIM-Bereitstellung mit einem Authentifizierungstoken. |

| Erstellungszeitpunkt des Benutzers | Just-in-Time: Benutzer werden bei der ersten Anmeldung nach erfolgreicher LDAP-Authentifizierung erstellt. | Vorauthentifizierung: Benutzer müssen über SCIM bereitgestellt werden, bevor sie sich authentifizieren können. | | Ursprüngliche Benutzernamenquelle | GitHub Benutzername basiert auf dem während des Setups konfigurierten normalisierten LDAP-Bezeichner. | GitHub Benutzername basiert auf dem normalisierten SCIM userName Wert von Ihrem IdP. | | Benutzernamenverwaltung | Flexibel: Administratoren können GitHub Benutzernamen unabhängig von LDAP ändern. Benutzernamen können im Laufe der Zeit von LDAP-Bezeichnern entfernt werden, während die Authentifizierung über LDAP-Zuordnungen beibehalten wird. Weitere Informationen findest du unter Verweis auf Benutzername. | Streng: GitHub-Benutzernamen entsprechen immer dem normalisierten SCIM-userName von deinem IdP. Benutzernamenänderungen auf der GitHub-Seite sind nicht zulässig. | | Steuerung von Benutzerattributen | Hybrid: Einige der Attribute werden von LDAP verwaltet, während andere auf der Appliance verwaltet werden können. | Vollständige IdP-Verwaltung: Alle Benutzerattribute werden über SCIM-Updates von Ihrem IdP verwaltet. | | Authentifizierungsfluss | GitHub Enterprise Server authentifiziert sich bei deinem LDAP-Server und sucht die vorhandene LDAP-Zuordnung, um den -Benutzer zu finden. | Während des SAML-SSO wird eine externe Identitätssuche durchgeführt, um den bereitgestellten Benutzer für die Authentifizierung zu suchen. | | Schlüsselmerkmal | Hybridsystem, bei dem GitHub Benutzerdaten (insbesondere Benutzernamen) teilweise auf der Appliance unabhängig vom LDAP-Server verwaltet werden können. | Vollständige Identitätsanbietersteuerung: Der Status der GitHub Benutzer hängt vollständig davon ab, was der IdP über SCIM sendet, und Benutzernamen können nicht vom Quellsystem entfernt werden. |

Normalisierung und Kompatibilität von Benutzernamen

GitHub Enterprise Server normalisiert Benutzernamen gemäß spezifischen Regeln, die konsistent für LDAP, SAML und SCIM gelten. Das Verständnis dieser Regeln ist für eine erfolgreiche Migration von entscheidender Bedeutung.

Weitere Informationen zur Normalisierung von Benutzernamen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

2. Planen Der Migration

Bevor Sie mit der Migration beginnen, müssen Sie Ihr aktuelles Setup verstehen, Ihren Identitätsanbieter vorbereiten und Sicherungszugriffsmethoden einrichten. Die Planungsphase ist entscheidend, um einen reibungslosen Übergang zu gewährleisten.

Vorbereitung der Zuordnung von LDAP zu SCIM

Die kritische Herausforderung der Migration besteht darin, die Ansätze für LDAP- und SCIM-Benutzerverwaltung miteinander zu verknüpfen.

          **LDAP-Benutzer (vorhandener Status):**

  • Haben Sie GitHub Benutzernamen, die sich seit der ersten Erstellung möglicherweise geändert haben

  • Beibehalten der Authentifizierungsmöglichkeit über LDAP-Zuordnungen unabhängig von Benutzernamenänderungen

            **SCIM-Benutzer (Zielstatus):**

  • Muss vor der Authentifizierung bereitgestellt werden

  • Muss über GitHub Benutzernamen verfügen, die ihren normalisierten SCIM-userName-Werten entsprechen

  • Kann mit einer externen Identität mit dem vorhandenen GitHub Konto während der SCIM-Benutzerbereitstellung verknüpft werden, aber nur, wenn der normalisierte SCIM-userName dem vorhandenen GitHub Benutzernamen entspricht.

Migrationszuordnungsanforderungen

Um SCIM-Identitäten erfolgreich mit vorhandenen LDAP-Benutzern zu verknüpfen, müssen Sie den aktuellen Status der Benutzer in Ihrer Instanz erfassen:

  1.        **Exportieren Sie vorhandene GitHub Benutzernamen**: Verwenden Sie die Websiteadministratorschnittstelle, API oder CLI, um eine vollständige Liste der aktuellen GitHub Benutzernamen für Ihre Instanz abzurufen. Weitere Informationen zur Benutzer-API finden Sie unter [AUTOTITLE](/rest/users/users?apiVersion=2022-11-28#list-users). Weitere Informationen zum Befehlszeilenprogramm zum Exportieren von Benutzern finden Sie unter [AUTOTITLE](/admin/administering-your-instance/administering-your-instance-from-the-command-line/command-line-utilities#ghe-user-csv).

  2.        **GitHub-Benutzernamen auf reale Benutzer in Ihrem IdP abbilden**: Bestimmen Sie, welche Identitäten jedem GitHub-Benutzernamen in Ihrer Organisation entsprechen.

  3.        **Konfigurieren des SCIM`userName`-Attributs**: Stelle sicher, dass dein IdP SCIM-Benutzern `userName`-Werte bereitstellt, die den vorhandenen GitHub Benutzernamen entsprechen, die verknüpft werden sollen.

       **Important**: Das Ziel für die Zuordnung ist immer die **aktuelle GitHub Benutzername** in Ihrer Instanz, nicht die ursprüngliche LDAP-Benutzer-ID oder ein anderer Bezeichner.

Wichtige Überlegungen zur Planung

          **Wichtige Überlegungen:**

* Ausfallzeiten erforderlich: Diese Migration erfordert Ausfallzeiten während eines Wartungsfensters, um die Authentifizierungseinstellungen zu ändern. * Auswirkungen des Benutzers: Nach der Migration müssen sich Benutzer über Ihre SAML-IDP anstelle von LDAP-Anmeldeinformationen authentifizieren. * Teammitgliedschaft: Die LDAP-Teamsynchronisierung wird durch die SCIM-Gruppenbereitstellung ersetzt, wenn sie von Ihrem IdP unterstützt wird. LDAP-zugeordnete Teams müssen gegebenenfalls mit einer entsprechenden SCIM-Gruppe aktualisiert werden.

Erfassen des Status Ihrer LDAP-Konfiguration

Notieren Sie Ihr aktuelles LDAP-Setup, um gleichwertige SAML/SCIM-Zuordnungen zu planen:

  1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .
  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.
  3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.
  4. Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.
  5. Dokumentieren Sie die folgenden LDAP-Einstellungen: * Domänenbasis und eingeschränkte Benutzergruppen * Benutzer-ID-Attribut (dies wurde verwendet, um GitHub Benutzernamen zu erstellen) * Profilname, E-Mail und andere Attributzuordnungen * Gruppenkonfiguration für Administratoren * Einstellungen für die Teamsynchronisierung
  6. Stellen Sie sicher, dass Sie eine Liste vorhandener Benutzer in Ihrer Instanz gespeichert haben, die Sie mit einer SCIM-Identität verknüpfen.

3. Migrieren zu SAML und SCIM

Nachdem Sie die Planung abgeschlossen haben, können Sie mit der Migration von LDAP zur SAML-Authentifizierung beginnen. Dies beinhaltet die Konfiguration von SAML sowohl für deinen Identitätsanbieter als auch für GitHub Enterprise Server, gefolgt von einer sorgfältigen Überprüfung der Konfiguration, bevor du mit SCIM fortfährst.

          **Wichtig**: Aktivieren Sie beim Konfigurieren von SAML die Option "Erstellung von Konten mit integrierter Authentifizierung zulassen", um die Anzahl der erforderlichen Schritte beim Aktivieren von SCIM zu verringern.

Aktivieren der SAML-Authentifizierung

Ausführliche SAML-Konfigurationsschritte finden Sie unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

Testen Sie nach dem Aktivieren von SAML das Authentifizierungssystem, bevor Sie mit SCIM fortfahren. Stellen Sie sicher, dass Sie mit jedem idP-Konto, das der SAML-Anwendung zugewiesen ist, die für Ihre Instanz konfiguriert ist, eine SSO-Anmeldung erfolgreich ausführen können.

          **Fahren Sie erst mit SCIM fort, wenn die SAML-Authentifizierung ordnungsgemäß funktioniert.**

Aktivieren der SCIM-Bereitstellung

Nachdem die SAML-Authentifizierung ordnungsgemäß funktioniert, können Sie SCIM für die automatisierte Benutzerverwaltung aktivieren. SCIM muss sowohl für GitHub Enterprise Server als auch für Ihren Identitätsanbieter konfiguriert werden.

Ausführliche Schritte zum Aktivieren von SCIM finden Sie unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Testen der SCIM-Bereitstellung

Testen Sie die SCIM-Bereitstellung, um sicherzustellen, dass die bereitgestellten SCIM-Benutzer ordnungsgemäß mit vorhandenen Benutzerkonten verknüpft sind.

Für Benutzer, die bereits Über Konten aus der LDAP/SAML-Migration verfügen:

  1.        **Weisen Sie die Benutzer der SCIM-Anwendung** in Ihrem IdP zu.

  2.        **Überprüfen Sie die automatische Verknüpfung: Überprüfen** Sie, ob SCIM automatisch mit dem vorhandenen Konto verknüpft wird:

  3.        **Überprüfen Sie Überwachungsprotokolle**: Suchen Sie nach `external_identity.scim_api_success` und `external_identity.provision` Ereignissen, die eine erfolgreiche Verknüpfung mit vorhandenen Benutzern zeigen.

Für neue Benutzer, die bisher noch nicht in Ihrer Instanz vorhanden waren:

  1.        **Überprüfen Sie die Benutzererstellung**: Überprüfen Sie, ob der Benutzer in GitHub Enterprise Server mit korrekten Attributen angezeigt wird.

  2.        **Testauthentifizierung**: Bestätigen Sie, dass der neue Benutzer sich über SAML authentifizieren kann.

  3.        **Testen sie Attributaktualisierungen**: Aktualisieren sie Benutzerinformationen in IdP, und bestätigen Sie die Synchronisierung von Änderungen.

  4.        **Test deprovisioning**: Entfernen Sie den Benutzerzugriff und bestätigen Sie, dass dieser deaktiviert ist.

Rollout von SCIM für alle Benutzer

Für alle verbleibenden Benutzer, die noch nicht über SCIM bereitgestellt sind:

  1.        **Weisen Sie Benutzer schrittweise** der GitHub Enterprise Server-Anwendung in Ihrem IdP zu.

  2.        **Überwachen des Verknüpfungsprozesses**: Achten Sie auf erfolgreiche automatische Verknüpfungen basierend auf dem Benutzernamenabgleich.

  3.        **Nachverfolgen des Fortschritts**: Verwenden Sie Überwachungsprotokolle, um Ereignisse zum Verknüpfen des Fortschritts zu überwachen `external_identity` .

  4.        **Beheben Sie alle Konflikte**: Lösen Sie Benutzernamenkonflikte oder Zuordnungsprobleme, sobald sie auftreten.

4. Aktualisieren der Team- und Organisationsmitgliedschaft

Nach der Migration können Sie diese Teamzuordnungen durch SCIM-Gruppen ersetzen, wenn Sie zuvor die LDAP-Gruppensynchronisierung zum Steuern von Teammitgliedschaften verwendet haben. Wenn Sie vorhandene Teams wiederverwenden, müssen Sie alle Teammitglieder entfernen, bevor Sie eine IdP-Gruppe verknüpfen.

Weitere Informationen finden Sie unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.