Como migrar o SAML para o OIDC

Se você estiver usando o SAML para autenticar membros no seu empresa com usuários gerenciados, migre para o OIDC (OpenID Connect) e aproveite o suporte à Política de Acesso Condicional do seu IdP.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira Sobre os Enterprise Managed Users.

Neste artigo

Observação

O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).

Sobre a migração de um empresa com usuários gerenciados do SAML para o OIDC

Se o seu empresa com usuários gerenciados usa SAML SSO para autenticar com o Entra ID, você pode migrar para o OIDC. Quando a sua empresa usar o SSO do OIDC, o GitHub usará automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros usarem a IU da Web ou alterarem os endereços IP e para cada autenticação com um personal access token ou uma chave SSH associada a uma conta de usuário.

Observação

A proteção de CAP para sessões da Web atualmente está em versão prévia pública e poderá ser alterada.

Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Quando a proteção de sessão da Web está habilitada e as condições de IP de um usuário não são atendidas, ele pode exibir e filtrar todos os recursos de propriedade do usuário, mas não pode exibir os detalhes dos resultados para notificações, pesquisas, painéis pessoais ou repositórios marcados como favoritos.

Quando você migra do SAML para o OIDC, os contas de usuário gerenciadas e os grupos que foram provisionados anteriormente para o SAML, mas que não foram provisionados pelo aplicativo GitHub Enterprise Managed User (OIDC), ficam com "(SAML)" acrescentado aos nomes de exibição deles.

Se você não estiver familiarizado com Enterprise Managed Users e ainda não configurou a autenticação para sua empresa, não será necessário migrar, pois você poderá configurar o logon único do OIDC imediatamente. Para saber mais, confira Como configurar o OIDC para usuários empresariais gerenciados.

Aviso

Quando você migra para um novo IdP ou locatário, as conexões entre equipes do GitHub e grupos de IdP são removidas e não são restabelecidas após a migração. Isso removerá todos os membros da equipe e a deixará desconectada do seu IdP, o que pode causar interrupção se você usar a sincronização de equipes para gerenciar o acesso a organizações ou licenças do seu IdP. Recomendamos o uso dos pontos de extremidade de "Grupos externos" da API REST para coletar informações sobre a configuração das suas equipes antes de migrar e restabelecer conexões depois. Para saber mais, confira Endpoints de API REST para grupos externos.

Pré-requisitos

  • Sua empresa em GitHub deve estar configurada para usar SAML para autenticação, com Entra ID como seu provedor de identidade (IdP). Para saber mais, confira Configurar o logon único SAML para usuários gerenciados pela empresa.

  • Você precisará acessar sua empresa no GitHub e seu locatário no Entra ID.

  • Agende um horário para migração quando as pessoas não estiverem usando ativamente os recursos da sua empresa. Durante a migração, os usuários não poderão acessar sua empresa até que você configure o novo aplicativo e os usuários como provisionados novamente.

Como migrar a empresa

Para migrar sua empresa do SAML para o OIDC, você vai desabilitar seu aplicativo GitHub Enterprise Managed User existente no Entra ID, preparar e iniciar a migração como o usuário de instalação da sua empresa no GitHub e, depois, instalar e configurar o novo aplicativo para o OIDC no Entra ID. Depois que a migração for concluída e o Entra ID configurar os usuários, eles poderão se autenticar para acessar os recursos da sua empresa no GitHub usando o OIDC.

Aviso

A migração da sua empresa do SAML para o OIDC pode levar até uma hora. Durante a migração, os usuários não poderão acessar sua empresa no GitHub.

  1. Antes de iniciar a migração, entre no Azure e desabilite o provisionamento no aplicativo GitHub Enterprise Managed User existente.

  2. Se você usa políticas de localização de rede de Acesso Condicional (CA) no Entra ID e está usando uma lista de permissões de IP com sua conta corporativa ou qualquer uma das organizações pertencentes à conta corporativa, desative as listas de permissões de IP. Confira Aplicando políticas para configurações de segurança na sua empresa e Gerenciar endereços IP permitidos para sua organização.

  3. Entre como o usuário de instalação da sua empresa com o nome de usuário SHORTCODE_admin, substituindo SHORTCODE pelo código curto da sua empresa.

  4. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.

  5. Quando for solicitado que você continue para o provedor de identidade, clique em Usar um código de recuperação e entre usando um dos códigos de recuperação da empresa.

    Observação

    Você deve usar um código de recuperação para sua empresa, não sua conta de usuário. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.

  6. Na parte superior da página, clique em Provedor de identidade.

  7. Em Identity Provider, clique em Single sign-on configuration.

  8. Na parte inferior da página, clique em Migrate to OpenID Connect single sign-on.

  9. Leia o aviso e clique em Migrate to OIDC.

  10. Clique em Begin OIDC migration.

  11. Depois que o GitHub redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso

    Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  12. Depois de fornecer o consentimento, uma nova janela do navegador será aberta no GitHub e exibirá um novo conjunto de códigos de recuperação para o empresa com usuários gerenciados. Baixe os códigos e clique em Habilitar autenticação OIDC.

  13. Aguarde a conclusão da migração, o que pode levar até uma hora. Para verificar o status da migração, navegue até a página de configurações de segurança de autenticação da sua empresa. Se a opção "Exigir autenticação SAML" estiver marcada, a migração ainda estará em andamento.

    Aviso

    Não provisione novos usuários por meio do aplicativo no Entra ID durante a migração.

  14. Em uma nova guia ou janela, enquanto estiver conectado como o usuário de configuração, crie um personal access token (classic) com o escopo scim:enterprise e sem expiração e copie-o para a sua área de transferência. Para saber mais sobre como criar um token, confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.

  15. Nas configurações de provisionamento do aplicativo GitHub Enterprise Managed User (OIDC) no centro de administração do Microsoft Entra, em "URL do locatário", insira a URL do locatário da sua empresa:

    • Para GitHub.com: https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE, substituindo YOUR_ENTERPRISE pelo nome da sua conta empresarial. Por exemplo, se a URL da conta da empresa for https://github.com/enterprises/octo-corp, o nome da conta da empresa será octo-corp.
    • No GHE.com: https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN, em que SUBDOMAIN é o subdomínio da sua empresa no GHE.com.

  16. Em "Token secreto", cole o personal access token (classic) com o escopo scim:enterprise que você criou anteriormente.

  17. Para testar a configuração, clique em Testar conectividade.

  18. Para salvar as alterações, na parte superior do formulário, clique em Salvar.

  19. No centro de administração Microsoft Entra, copie os usuários e grupos do aplicativo GitHub Enterprise Managed User antigo para o novo aplicativo GitHub Enterprise Managed User (OIDC) .

  20. Teste a configuração provisionando um só novo usuário.

  21. Se o teste for bem-sucedido, inicie o provisionamento de todos os usuários clicando em Iniciar provisionamento.