Migración de SAML a OIDC

Si usas SAML para autenticar miembros en tu empresa con usuarios administrados, puedes migrar a OpenID Connect (OIDC) y beneficiarte de la compatibilidad con la Directiva de acceso condicional de tu proveedor de identidades.

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulta Acerca de Enterprise Managed Users.

En este artículo

Nota:

La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Microsoft Entra ID (anteriormente Azure AD).

Acerca de la migración de empresa con usuarios administrados de SAML a OIDC

Si tu empresa con usuarios administrados usa SSO de SAML para autenticarse con Entra ID, puedes migrar al OIDC. Cuando tu empresa utiliza el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones de IP de la directiva de acceso condicional (CAP) del IdP para validar las interacciones con GitHub cuando los miembros usen la interfaz de usuario web o cambien las direcciones IP, y para cada autenticación con una clave SSH o una clave personal access token asociada a una cuenta de usuario.

Nota:

La protección CAP para sesiones web se encuentra actualmente en versión preliminar pública y está sujeta a cambios.

Si en tu empresa ya está habilitada la compatibilidad con CAP del proveedor de identidades, puedes optar por la protección ampliada para las sesiones web desde la configuración "Authentication security" de tu empresa. Cuando la protección de sesión web está habilitada y las condiciones de IP de un usuario no se cumplen, pueden ver y filtrar todos los recursos propiedad del usuario, pero no pueden ver los detalles de los resultados de las notificaciones, las búsquedas, los paneles personales o los repositorios con estrella.

Al migrar de SAML a OIDC, cuentas de usuario administradas y los grupos que estaban aprovisionados para SAML, pero que no están aprovisionados por la aplicación GitHub Enterprise Managed User (OIDC), tendrán el sufijo "(SAML)" adjunto al nombre para mostrar.

Si no estás familiarizado con Enterprise Managed Users y todavía no configuraste la autenticación para tu empresa, no es necesario que migres y puedes configurar el inicio de sesión único de OIDC de inmediato. Para más información, consulta Configuración de OIDC para usuarios administrados de Enterprise.

Advertencia

Al migrar a un nuevo IdP o inquilino, se eliminan las conexiones entre GitHub equipos y grupos de IdP, y no se restablecen después de la migración. Esto eliminará todos los miembros del equipo y dejará el equipo sin conectar con el IdP, lo que puede provocar interrupciones si utilizas la sincronización del equipo para administrar el acceso a organizaciones o licencias de tu IdP. Se recomienda usar los puntos de conexión de "Grupos externos" de la API de REST para recopilar información sobre la configuración de los equipos antes de migrar y restablecer las conexiones después. Para más información, consulta Puntos de conexión de la API de REST para grupos externos.

Requisitos previos

  • Su empresa en GitHub debe estar configurada actualmente para usar SAML para la autenticación, con Entra ID como proveedor de identidades (IdP). Para más información, consulta Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise.

  • Tendrá que acceder a su empresa en GitHub y al inquilino en Entra ID.

  • Programa una hora para migrar en la que los usuarios no estén usando activamente los recursos de la empresa. Durante la migración, los usuarios no pueden acceder a la empresa hasta que hayas configurado la nueva aplicación y se hayan reaprovisionado los usuarios.

Migración de tu empresa

Para migrar la empresa de SAML a OIDC, deshabilite la aplicación GitHub Enterprise Managed User existente en Entra ID, prepare e inicie la migración como usuario de configuración de la empresa en GitHub y, luego, instale y configure la nueva aplicación para OIDC en Entra ID. Una vez que se haya completado la migración y Entra ID haya aprovisionado a los usuarios, estos pueden autenticarse para acceder a los recursos de la empresa en GitHub mediante OIDC.

Advertencia

La migración de tu empresa de SAML a OIDC puede tardar hasta una hora. Durante la migración, los usuarios no pueden acceder a tu organización en GitHub.

  1. Antes de comenzar la migración, inicie sesión en Azure y deshabilite el aprovisionamiento en la aplicación GitHub Enterprise Managed User existente.

  2. Si actualmente usa una lista de direcciones IP permitidas con su cuenta empresarial o con cualquiera de las organizaciones que pertenecen a la cuenta empresarial, y utiliza directivas de ubicación de red de acceso condicional (CA) en Entra ID, deshabilite las listas de direcciones IP permitidas. Consulta Aplicar políticas sobre los ajustes de seguridad en tu empresa y Administrar las direcciones IP permitidas en tu organización.

  3. Inicia sesión como el usuario de configuración de la empresa con el nombre de usuario SHORTCODE_admin y reemplazan SHORTCODE por el código corto de tu empresa.

  4. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  5. Cuando se te pida continuar a tu proveedor de identidades, haz clic en Usar un código de recuperación e inicia sesión con uno de los códigos de recuperación de la empresa.

    Nota:

    Debes usar un código de recuperación para la empresa, no para la cuenta de usuario. Para más información, consulta Descarga de los códigos de recuperación de inicio de sesión único de la cuenta empresarial.

  6. En la parte superior de la página, haz clic en Identity provider.

  7. En Identity Provider, haz clic en Single sign-on configuration.

  8. En la parte inferior de la página, haz clic en Migrate to OpenID Connect single sign-on.

  9. Lee la advertencia y haz clic en Migrate to OIDC.

  10. Haz clic en Begin OIDC migration.

  11. Cuando GitHub te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Después de que Entra ID solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, después, haz clic en Aceptar.

    Advertencia

    Debes iniciar sesión en Entra ID como usuario con derechos de administrador global para dar el consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).

  12. Después de conceder consentimiento, se abrirá una nueva ventana del explorador en GitHub y mostrará un nuevo conjunto de códigos de recuperación para empresa con usuarios administrados. Descarga los códigos y haz clic en Habilitar autenticación OIDC.

  13. Espera a que se complete la migración, que puede tardar hasta una hora. Para comprobar el estado de la migración, ve a la página de configuración de seguridad de autenticación de la empresa. Si se selecciona "Requerir autenticación SAML", la migración sigue en curso.

    Advertencia

    No aprovisiones nuevos usuarios de la aplicación en Entra ID durante la migración.

  14. En una pestaña o ventana nueva, estando conectado como el usuario de configuración, crea un personal access token (classic) con el ámbito scim:enterprise y sin expiración y cópialo en el portapapeles. Para más información sobre cómo crear un token, consulta Configuración del aprovisionamiento de SCIM para usuarios administrados de empresa.

  15. En la configuración de aprovisionamiento de la aplicación de GitHub Enterprise Managed User (OIDC) en el Centro de administración Microsoft Entra, en "URL del inquilino", la dirección URL del inquilino para su empresa:

    • Para GitHub.com: https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, reemplazando YOUR_ENTERPRISE por el nombre de tu cuenta de empresa. Por ejemplo, si la dirección URL de tu cuenta empresarial es https://github.com/enterprises/octo-corp, el nombre de la cuenta empresarial es octo-corp.
    • Para GHE.com: https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN, donde SUBDOMAIN es el subdominio de la empresa en GHE.com.

  16. En "Secret token", pega personal access token (classic) con el scope scim:enterprise que creaste anteriormente.

  17. Para probar la configuración, haz clic en Probar conexión.

  18. Para guardar los cambios, haz clic en Guardar en la parte superior del formulario.

  19. En el centro de administración de Microsoft Entra, copie los usuarios y grupos de la antigua aplicación GitHub Enterprise Managed User a la nueva aplicación GitHub Enterprise Managed User (OIDC).

  20. Para probar la configuración, aprovisiona un usuario nuevo único.

  21. Si la prueba se completa correctamente, empieza a aprovisionar para todos los usuarios con un clic en Iniciar aprovisionamiento.