Migration de SAML vers OIDC

Si vous utilisez SAML afin d’authentifier les membres de votre entreprise avec utilisateurs managés, vous pouvez migrer vers OIDC (OpenID Connect) et bénéficier de la prise en charge de la stratégie d’accès conditionnel pour votre IdP.

Qui peut utiliser cette fonctionnalité ?

Enterprise Managed Users est disponible pour les nouveaux comptes d'entreprise sur GitHub Enterprise Cloud. Consultez À propos d’Enterprise Managed Users.

Dans cet article

Remarque

La prise en charge d'OpenID Connect (OIDC) et de la politique d'accès conditionnel (CAP) pour Enterprise Managed Users n'est disponible que pour Microsoft Entra ID (anciennement Azure AD).

À propos de la migration d’une entreprise avec utilisateurs managés de SAML vers OIDC

Si votre entreprise avec utilisateurs managés utilise l’authentification SSO SAML pour s’authentifier auprès d’Entra ID, vous pouvez migrer vers OIDC. Lorsque votre entreprise utilise l'authentification unique OIDC, GitHub utilisera automatiquement la politique d'accès conditionnel (CAP) de votre fournisseur d'identité pour valider les interactions avec GitHub lorsque les membres utilisent l’interface utilisateur web ou modifient les adresses IP, et pour chaque authentification avec une clé SSH associée à un compte d'utilisateur.

Remarque

La protection CAP pour les sessions web est actuellement dans préversion publique et peut changer.

Si le support CAP de l'IdP est déjà activé pour votre entreprise, vous pouvez opter pour une protection étendue des sessions web à partir des paramètres « Sécurité de l'authentification » de votre entreprise. Lorsque la protection de session web est activée et que les conditions de l’adresse IP d’un utilisateur ne sont pas satisfaites, il peut consulter et filtrer toutes les ressources appartenant à l’utilisateur, mais ne peut pas voir les détails des résultats pour les notifications, les recherches, les tableaux de bord personnels ou les référentiels en vedette.

Quand vous migrez de SAML vers OIDC, les comptes d’utilisateur managés et les groupes qui ont été provisionnés pour SAML mais qui ne sont pas provisionnés par l’application GitHub Enterprise Managed User (OIDC) voient « (SAML) » ajouté à leur nom d’affichage.

Si vous débutez sur Enterprise Managed Users et si vous n’avez pas encore configuré l’authentification pour votre entreprise, vous n’avez pas besoin d’effectuer de migration. Vous pouvez configurer immédiatement l’authentification unique OIDC. Pour plus d’informations, consultez « Configuration d’OIDC pour les utilisateurs managés par l’entreprise ».

Avertissement

Lorsque vous migrez vers un nouveau fournisseur d’identité ou un nouveau locataire, les connexions entre les équipes GitHub et les groupes IdP sont supprimées et ne sont pas rétablies après la migration. Cela supprime tous les membres de l’équipe et laisse l’équipe non connectée à votre fournisseur d’identité, ce qui peut entraîner une interruption si vous utilisez la synchronisation d’équipe pour gérer l’accès aux organisations ou aux licences de votre fournisseur d’identité. Nous vous recommandons d’utiliser les points de terminaison « Groupes externes » de l’API REST pour collecter des informations sur la configuration de vos équipes avant de migrer et de rétablir les connexions par la suite. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les groupes externes ».

Prérequis

  • Votre entreprise sur GitHub doit actuellement être configurée pour utiliser SAML comme authentification avec Entra ID comme fournisseur d’identité (IdP). Pour plus d’informations, consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».

  • Vous devez accéder à la fois à votre entreprise sur GitHub et à votre locataire sur Entra ID.

  • Planifiez la migration lorsque les utilisateurs n’emploient pas activement les ressources de votre entreprise. Pendant la migration, les utilisateurs ne peuvent pas accéder à votre entreprise tant que vous n’avez pas configuré la nouvelle application et que les utilisateurs n’ont pas été reprovisionnés.

Migration de votre entreprise

Pour migrer votre entreprise de SAML vers OIDC, vous allez désactiver votre application GitHub Enterprise Managed User existante sur Entra ID, préparer et commencer la migration en tant qu’utilisateur de configuration de votre entreprise sur GitHub, puis installer et configurer la nouvelle application pour OIDC sur Entra ID. Une fois que la migration est terminée et qu’Entra ID a provisionné vos utilisateurs, ces derniers peuvent s’authentifier pour accéder aux ressources de votre entreprise sur GitHub en se servant d’OIDC.

Avertissement

La migration de votre entreprise de SAML vers OIDC peut prendre jusqu’à une heure. Pendant la migration, les utilisateurs ne peuvent pas accéder à votre entreprise sur GitHub.

  1. Avant de commencer la migration, connectez-vous à Azure et désactivez l’approvisionnement dans l’application GitHub Enterprise Managed User existante.

  2. Si vous utilisez des stratégies d’emplacement réseau d’accès conditionnel (CA) dans Entra ID et que vous utilisez actuellement une liste d’adresses IP autorisées avec votre compte d’entreprise ou l’une des organisations détenues par le compte d’entreprise, désactivez les listes d’adresses IP autorisées. Consultez Application de stratégies pour les paramètres de sécurité dans votre entreprise et Gestion des adresses IP autorisées pour votre organisation.

  3. Connectez-vous en tant qu'utilisateur de configuration de votre entreprise avec le nom d'utilisateur SHORTCODE_admin, en remplaçant SHORTCODE par le code court de votre entreprise.

  4. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  5. Quand vous êtes invité à accéder à votre fournisseur d’identité, cliquez sur Utiliser un code de récupération, puis connectez-vous à l’aide de l’un des codes de récupération de votre entreprise.

    Remarque

    Vous devez utiliser un code de récupération pour votre entreprise, et non votre compte d’utilisateur. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

  6. En haut de la page, cliquez sur Fournisseur d’identité.

  7. Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.

  8. En bas de la page, cliquez sur Migrer vers l'authentification unique OpenID Connect.

  9. Lisez l'avertissement, puis cliquez sur Migrer vers OIDC.

  10. Cliquez sur commencer la migration OIDC.

  11. Une fois que GitHub vous redirige vers votre fournisseur d'identité, connectez-vous, puis suivez les instructions pour donner votre consentement et installer l’application GitHub Enterprise Managed User (OIDC). Une fois qu’Entra ID demande des autorisations pour GitHub Enterprise Managed Users avec OIDC, activez Consentement au nom de votre organisation, puis cliquez sur Accepter.

    Avertissement

    Vous devez vous connecter à Entra ID en tant qu’utilisateur disposant de droits d’administrateur global afin de consentir à l’installation de l’application GitHub Enterprise Managed User (OIDC).

  12. Une fois que vous avez accordé votre consentement, une nouvelle fenêtre de navigateur s’ouvre sur GitHub et affiche un nouvel ensemble de codes de récupération pour votre entreprise avec utilisateurs managés. Téléchargez les codes, puis cliquez sur Activer l’authentification OIDC.

  13. Attendez la fin de la migration, ce qui peut prendre jusqu’à une heure. Pour vérifier l’état de la migration, accédez à la page des paramètres de sécurité de l’authentification de votre entreprise. Si « Exiger l’authentification SAML » est sélectionné, la migration est toujours en cours.

    Avertissement

    Ne provisionnez pas de nouveaux utilisateurs à partir de l’application sur Entra ID pendant la migration.

  14. Dans un nouvel onglet ou une nouvelle fenêtre, pendant que vous êtes connecté en tant qu’utilisateur de configuration, créez un personal access token (classic) avec l’étendue scim:enterprise et l’option Aucune expiration, puis copiez-le dans le Presse-papiers. Pour plus d’informations sur la création d’un jeton, consultez Configuration du provisionnement SCIM pour les utilisateurs gérés par l’entreprise.

  15. Dans les paramètres d’approvisionnement (provisioning) de l’application GitHub Enterprise Managed User (OIDC) dans le centre d’administration Microsoft Entra, sous « URL du locataire », indiquez l’URL du locataire de votre entreprise :

    • Pour GitHub.com  : https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, remplacez YOUR_ENTERPRISE par le nom du compte de votre entreprise. Par exemple, si l’URL de votre compte d’entreprise est https://github.com/enterprises/octo-corp, le nom du compte d’entreprise est octo-corp.
    • Pour GHE.com  : https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN, où SUBDOMAIN est le sous-domaine de votre entreprise sur GHE.com.

  16. Sous « Jeton secret », collez le personal access token (classic) avec l’étendue scim:enterprise que vous avez créé au préalable.

  17. Pour tester la configuration, cliquez sur Tester la connexion.

  18. Pour enregistrer vos changements, en haut du formulaire, cliquez sur Enregistrer.

  19. Dans le centre d’administration Microsoft Entra, copiez les utilisateurs et les groupes de l’ancienne application GitHub Enterprise Managed User vers la nouvelle application GitHub Enterprise Managed User (OIDC).

  20. Testez votre configuration en provisionnant un seul nouvel utilisateur.

  21. Si votre test réussit, démarrez le provisionnement pour tous les utilisateurs en cliquant sur Démarrer le provisionnement.