Migration de votre entreprise vers un nouveau fournisseur d’identité ou locataire

À propos des migrations entre fournisseurs d’identité et locataires

Si vous utilisez Enterprise Managed Users, il se peut que vous deviez migrer votre entreprise vers un nouveau client de votre IdP ou vers un autre système de gestion des identités. Par exemple, vous pouvez être prêt à migrer d'un environnement de test vers votre environnement de production, ou votre entreprise peut décider d'utiliser un nouveau système d'identité.

Avant de migrer vers une nouvelle configuration d'authentification et d'approvisionnement, passez en revue les conditions préalables et les instructions de préparation. Lorsque vous êtes prêt à migrer, vous désactivez l'authentification et l'approvisionnement pour votre entreprise, puis reconfigurez les deux. Vous ne pouvez pas modifier votre configuration existante pour l'authentification et l'approvisionnement.

GitHub supprimera les identités SCIM existantes associées aux comptes d’utilisateur managés de votre entreprise lorsque l’authentification sera désactivée pour l’entreprise. Pour plus de détails sur l’impact de la désactivation de l’authentification pour une entreprise avec des utilisateurs managés par l’entreprise, consultez Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise.

Une fois l’authentification et l’approvisionnement reconfigurés à la fin de la migration, les utilisateurs et les groupes doivent être réapprovisionnés à partir du nouveau fournisseur d’identité/locataire. Une fois les utilisateurs réapprovisionnés, GitHub comparera les valeurs d’attribut SCIM userName normalisées aux noms d’utilisateur GitHub (la partie avant le _[shortcode]) dans l’entreprise afin de lier les identités SCIM du nouveau fournisseur d’identité/locataire aux comptes d’utilisateurs existants managés par l’entreprise. Pour plus d’informations, consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».

Prérequis

Lorsque vous avez commencé à utiliser GitHub Enterprise Cloud, vous avez dû choisir de créer un entreprise avec utilisateurs managés. Pour plus d’informations, consultez « Choix d’un type d’entreprise pour GitHub Enterprise Cloud ».
Passez en revue et comprenez les exigences d'intégration avec Enterprise Managed Users à partir d'un système de gestion des identités externe. Pour simplifier la configuration et la prise en charge, vous pouvez utiliser un IdP partenaire unique pour une intégration « paved-path ». Vous pouvez également configurer l'authentification à l'aide d'un système conforme aux normes SAML (Security Assertion Markup Language) 2.0 et System for Cross-domain Identity Management (SCIM) 2.0. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
Vous devez avoir déjà configuré l'authentification et l'approvisionnement SCIM pour votre entreprise.

Préparation à la migration

Pour migrer vers une nouvelle configuration pour l'authentification et l'approvisionnement, vous devez d'abord désactiver l'authentification et l'approvisionnement pour votre entreprise. Avant de désactiver votre configuration existante, passez en revue les considérations suivantes :

Avant la migration, déterminez si les valeurs de l'attribut SCIM userName normalisé resteront les mêmes pour comptes d’utilisateur managés dans le nouvel environnement. Ces valeurs d’attribut SCIM userName normalisées doivent rester les mêmes pour les utilisateurs afin que les identités SCIM approvisionnées à partir du nouveau fournisseur d’identité/locataire soient correctement liées aux comptes d’utilisateurs existants managés par l’entreprise. Pour plus d’informations, consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».
- Si les valeurs SCIM normalisées userName doivent rester les mêmes après la migration, vous pouvez effectuer la migration vous-même.
- Si les valeurs SCIM normalisées userName changent après la migration, GitHub doit vous aider à effectuer votre migration. Pour plus d’informations, consultez Migration lorsque les valeurs SCIM normalisées userName changent.
Ne supprimez aucun utilisateur ou groupe de l'application pour Enterprise Managed Users sur votre système de gestion des identités tant que la migration n'est pas terminée.
GitHub supprimera toutes les personal access tokens ou les clés SSH associées aux comptes d’utilisateur managés de votre entreprise. Planifiez une fenêtre de migration après la reconfiguration pendant laquelle vous pouvez créer et fournir de nouvelles informations d'identification à toutes les intégrations externes.
Dans le cadre des étapes de migration ci-dessous, GitHub supprimera tous les groupes approvisionnés par SCIM dans votre entreprise lorsque l’authentification sera désactivée pour l’entreprise. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».

Si l’un de ces groupes de fournisseurs d’identité approvisionnés par SCIM est lié à des équipes de votre entreprise, le lien entre ces équipes sur GitHub et les groupes de fournisseurs d’identité sera supprimé, et ces liens ne seront pas automatiquement rétablis après la migration. GitHub supprimera également tous les membres des équipes précédemment liées. Vous pouvez rencontrer des interruptions si vous utilisez des groupes sur votre système de gestion des identités pour gérer l'accès aux organisations ou aux licences. GitHub vous recommande d’utiliser l’API REST pour répertorier les connexions d’équipe et l’appartenance aux groupes avant la migration, et de rétablir les connexions par la suite. Pour plus d’informations, consultez Points de terminaison d’API REST pour les groupes externes dans la documentation de l’API REST.

Migration vers un nouveau fournisseur d'identité ou client

Pour migrer vers un nouveau fournisseur d'identité ou un nouveau client, vous devez effectuer les tâches suivantes.

Validez les attributs SCIM userName correspondants.
Téléchargez les code de récupération d'authentification unique.
Désactivez l'approvisionnement sur votre fournisseur d'identité actuel.
Désactivez l’authentification pour votre entreprise.
Validez la suspension des membres de votre entreprise.
Reconfigurez l'authentification et l'approvisionnement.

1. Valider les attributs SCIM `userName` correspondants

Pour une migration transparente, vérifiez que l'attribut SCIM userName sur votre nouveau fournisseur SCIM correspond à l'attribut de votre ancien fournisseur SCIM. Si ces attributs ne correspondent pas, consultez Migration lorsque les valeurs SCIM userName normalisées changeront.

2. Téléchargez les code de récupération d'authentification unique.

Si vous n’avez pas encore de codes de récupération d’authentification unique pour votre entreprise, téléchargez-les maintenant. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

3. Désactivez l'approvisionnement sur votre fournisseur d'identité actuel.

Sur votre fournisseur d'identité actuel, désactivez le provisionnement dans l'application pour Enterprise Managed Users.
- Si vous utilisez Entra ID, accédez à l’onglet « Provisionnement » de l’application, puis cliquez sur Arrêter le provisionnement.
- Si vous utilisez Okta, accédez à l’onglet « Provisionnement » de l’application, cliquez sur l’onglet Intégration, puis sur Modifier. Désélectionnez Activer l’intégration d’API.
- Si vous utilisez PingFederate, accédez aux paramètres du canal dans l’application. Sous l’onglet Activation et résumé, cliquez sur Actif ou Inactif pour basculer l’état d’approvisionnement, puis cliquez sur Enregistrer. Pour plus d'informations sur la gestion de l'approvisionnement, consultez Examen des paramètres de canal et Gestion des canaux dans la documentation PingFederate.
- Si vous utilisez un autre système de gestion des identités, consultez la documentation du système, l'équipe de support technique ou d'autres ressources.

4. Désactivez l’authentification pour votre entreprise

Utilisez un code de récupération pour vous connecter à GitHub en tant qu’utilisateur d’installation, dont le nom d’utilisateur est le code court de votre entreprise avec le suffixe _admin. Pour plus d’informations sur l’utilisateur d’installation, consultez Bien démarrer avec Enterprise Managed Users.
Désactivez l’authentification pour votre entreprise. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».
Attendez jusqu’à une heure pour que GitHub suspende les membres de votre entreprise, supprime les identités SCIM liées et supprime les groupes de fournisseurs d’identité approvisionnés par SCIM.

5. Validez la suspension des membres de votre entreprise.

Après avoir désactivé l’authentification dans vos paramètres d’entreprise GitHub, GitHub suspendra tous les comptes d’utilisateur managés (à l’exception du compte d’utilisateur de configuration) de votre entreprise. Vous pouvez valider la suspension des membres de votre entreprise sur GitHub.

Affichez les membres suspendus dans votre entreprise. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».
Si tous les comptes d’utilisateurs managés dans votre entreprise ne sont pas encore suspendus, continuez d’attendre et de surveiller dans GitHub avant de passer à l’étape suivante.

6. Reconfigurez l'authentification et l'approvisionnement.

Après avoir validé la suspension des membres de votre entreprise, reconfigurez l'authentification et l'approvisionnement.

Configurez l'authentification à l'aide de l'authentification unique SAML ou OIDC. Pour plus d’informations, consultez « Configuration de l’authentification pour les utilisateurs gérés par l’entreprise ».
Configurez l'approvisionnement SCIM. Pour plus d’informations, consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

7. Veillez à ce que les utilisateurs et les groupes soient réapprovisionnés à partir du nouveau fournisseur d’identité/locataire

Pour réactiver vos comptes d’utilisateur managés et leur permettre de se connecter à GitHub, les utilisateurs doivent être réapprovisionnés à partir du nouveau fournisseur d’identité/locataire. Les identités SCIM du nouveau fournisseur d’identité/locataire sont ainsi liées aux comptes d’utilisateurs existants managés par l’entreprise. Un utilisateur managé par l’entreprise doit disposer d’une identité SCIM liée pour pouvoir se connecter.
- Lors du réapprovisionnement des comptes d’utilisateurs du fournisseur d’identité, si un utilisateur a été correctement lié à son identité SCIM à partir du nouveau fournisseur d’identité/locataire, vous verrez un lien SSO identity linked sur sa page dans vos paramètres d’entreprise, qui affichera une section SCIM identity avec les attributs SCIM. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».
- Vous pouvez également passer en revue les événements external_identity.* et user.unsuspend associés dans le journal d’audit de l’entreprise. Pour plus d’informations, consultez Événements du journal d’audit pour votre entreprise
Les groupes doivent également être réapprovisionnés à partir du nouveau fournisseur d’identité/locataire.
- Lors du réapprovisionnement des groupes de fournisseurs d’identité, surveillez la progression dans GitHub et passez en revue les événements external_group.provision, external_group.scim_api_failure et external_group.scim_api_success associés dans le journal d’audit de l’entreprise. Pour plus d’informations, consultez « Gestion des appartenances aux équipes avec des groupes de fournisseur d’identité » et « Événements du journal d’audit pour votre entreprise ».
Une fois que les groupes de fournisseurs d’identité ont été réapprovisionnés dans l’entreprise, les administrateurs peuvent lier les groupes aux équipes de l’entreprise selon les besoins.

Migration lorsque les valeurs SCIM normalisées `userName` changent

Si les valeurs SCIM normalisées userName changent, GitHub doit provisionner un nouveau compte d’entreprise pour votre migration. Contactez notre équipe commerciale pour obtenir de l’aide.