Перенос предприятия в новый поставщик удостоверений или клиент

Если ваше предприятие будет использовать новый поставщик удостоверений (IdP) или клиент для проверки подлинности и подготовки после первоначальной настройки языка разметки утверждений безопасности (SAML) или OpenID Connect (OIDC) и SCIM, вы можете перейти к новой конфигурации.

Кто может использовать эту функцию?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См . раздел AUTOTITLE.

В этой статье

Сведения о миграции между поставщиками удостоверений и клиентами

При использовании Enterprise Managed Usersможет потребоваться перенести ваше предприятие в новый клиент в idP или в другую систему управления удостоверениями. Например, вы можете быть готовы к миграции из тестовой среды в рабочую среду, или ваша компания может решить использовать новую систему удостоверений.

Перед переходом на новую конфигурацию проверки подлинности и подготовки ознакомьтесь с предварительными условиями и рекомендациями по подготовке. Когда вы будете готовы к миграции, вы отключите проверку подлинности и подготовку для вашего предприятия, а затем перенастроите оба. Невозможно изменить существующую конфигурацию для проверки подлинности и подготовки.

GitHub удаляет существующие удостоверения SCIM, связанные с данных вашего предприятия variables.enterprise.prodname_managed_users %} при отключении проверки подлинности для предприятия. Дополнительные сведения об отключении проверки подлинности для предприятия с управляемыми пользователями см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

После перенастройки проверки подлинности и подготовки в конце миграции пользователи и группы должны быть повторно подготовлены из нового поставщика удостоверений или клиента. При повторной конфигурации пользователей GitHub сравнит нормализованные значения атрибутов SCIM userName с GitHub именами пользователей (частью перед _[shortcode]) в предприятии, чтобы связать идентичности SCIM из нового IdP/tenant с существующими управляемыми корпоративными аккаунтами. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Необходимые компоненты

  • При начале использования GitHub Enterprise Cloudнеобходимо создать корпоративный с управляемыми пользователями. Дополнительные сведения см. в разделе Выбор типа предприятия для GitHub Enterprise Cloud.
  • Просмотрите и изучите требования к интеграции с Enterprise Managed Users из внешней системы управления удостоверениями. Чтобы упростить настройку и поддержку, можно использовать единый идентификатор партнера для интеграции с "проложенным путем". Кроме того, можно настроить проверку подлинности с помощью системы, которая соответствует стандартам SIM 2.0 и SYSTEM для управления междоменной идентификацией (SCIM) 2.0. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
  • Необходимо уже настроить проверку подлинности и подготовку SCIM для вашего предприятия.

подготовка к переносу;

Чтобы перейти к новой конфигурации для проверки подлинности и подготовки, необходимо сначала отключить проверку подлинности и подготовку для вашего предприятия. Прежде чем отключить существующую конфигурацию, ознакомьтесь со следующими рекомендациями.

  • Перед миграцией определите, будут ли значения нормализованного атрибута SCIM userName оставаться неизменными для управляемые учетные записи пользователей в новой среде. Эти нормализованные значения атрибутов SCIM userName должны оставаться одинаковыми для пользователей, чтобы удостоверения SCIM, подготовленные из нового поставщика удостоверений или клиента, были правильно связаны с существующими корпоративными управляемыми учетными записями пользователей. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

    • Если нормализованные значения SCIM userName останутся неизменными после миграции, можно выполнить миграцию самостоятельно.
    • Если нормализованные значения SCIM userName изменятся после миграции, GitHub потребуется помочь в миграции. Дополнительные сведения см. в статье userName нормализованных значений SCIM".

  • Не удаляйте пользователей или группы из приложения для Enterprise Managed Users в системе управления удостоверениями до завершения миграции.

  • GitHub удаляет все ключи personal access tokens или SSH, связанные с данных вашей организации variables.enterprise.prodname_managed_users %}. Запланируйте окно миграции после перенастройки, во время которой можно создать и предоставить новые учетные данные для любых внешних интеграции.

  • В рамках приведенных ниже действий по миграции GitHub удаляет все подготовленные SCIM группы в вашей организации при отключении проверки подлинности для предприятия. Пользователи будут удалены из организации, если они были добавлены с помощью любой из подготовленных групп SCIM. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

Если какая-либо из этих групп поставщика удостоверений SCIM связана с командами в вашей организации, это приведет к удалению связи между этими командами на GitHub и группах поставщика удостоверений, и эти ссылки не будут автоматически восстановлены после миграции. GitHub также удаляет всех участников из ранее связанных команд. Если вы используете группы в системе управления удостоверениями для управления доступом к организациям или лицензиям, может возникнуть сбой. GitHub рекомендует использовать REST API для перечисления подключений групп и членства в группах перед миграцией, а затем восстановить подключения. Дополнительные сведения см . в статье AUTOTITLE в документации по REST API.

Миграция на новый идентификатор или клиент

Чтобы перейти на новый идентификатор или клиент, необходимо выполнить следующие задачи.

  1.        `userName` SCIM[](#1-validate-matching-scim-username-attributes).

  2.        [Скачайте код восстановления](#2-download-single-sign-on-recovery-codes) единого входа.

  3.        [Отключите подготовку текущего поставщика удостоверений](#3-disable-provisioning-on-your-current-idp).

  4.        [Отключите проверку подлинности для вашего предприятия](#4-disable-authentication-for-your-enterprise).

  5.        [Проверьте приостановку участников](#5-validate-suspension-of-your-enterprises-members) вашей организации.

  6.        [Перенастройка проверки подлинности и подготовки](#6-reconfigure-authentication-and-provisioning).

1. Проверка сопоставления атрибутов SCIM userName

Для простой миграции убедитесь, что атрибут SCIM в новом поставщике SCIM userName соответствует атрибуту старого поставщика SCIM. Если эти атрибуты не соответствуют, см. статью userName нормализованных значений SCIM".

2. Скачивание код восстановления единого входа

Если у вас еще нет код восстановления единого входа для вашего предприятия, скачайте коды. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

3. Отключение подготовки для текущего поставщика удостоверений

  1. Для текущего поставщика удостоверений отключите подготовку в приложении для Enterprise Managed Users.
    • Если вы используете идентификатор записи, перейдите на вкладку "Подготовка" приложения, а затем нажмите кнопку "Остановить подготовку".
    • Если вы используете Okta, перейдите на вкладку "Подготовка" приложения, перейдите на вкладку "Интеграция " и нажмите кнопку "Изменить". Отмена выбора интеграции API.
    • Если вы используете PingFederate, перейдите к параметрам канала в приложении. На вкладке "Активация и сводка " нажмите кнопку "Активный " или "Неактивный ", чтобы переключить состояние подготовки, а затем нажмите кнопку "Сохранить". Дополнительные сведения об управлении подготовкой см. в разделе "Просмотр параметров канала" и "Управление каналами " в документации по PingFederate.
    • Если вы используете другую систему управления удостоверениями, обратитесь к документации системы, группе поддержки или другим ресурсам.

4. Отключение проверки подлинности для вашей организации

  1. Используйте код восстановления для входа в GitHub в качестве пользователя установки, имя пользователя которого является суффиксом _adminshortcode вашего предприятия. Дополнительные сведения о пользователе установки см. в разделе Начало работы с Enterprise Managed Users.
  2. Отключите проверку подлинности для вашего предприятия. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.
  3. Подождите до часа до GitHub для приостановки участников предприятия, удаления связанных удостоверений SCIM и удаления групп поставщика удостоверений, подготовленных SCIM.

5. Проверка приостановки участников вашей организации

После отключения проверки подлинности в параметрах предприятия GitHub GitHub приостанавливает все данные управляемые учетные записи пользователей (за исключением учетной записи пользователя установки) в вашей организации. Вы можете проверить приостановку участников вашей организации на GitHub.

  1. Просмотр приостановленных участников в вашей организации. Дополнительные сведения см. в разделе Просмотр пользователей в организации.
  2. Если все управляемые учетные записи пользователей в вашей организации еще не приостановлены, продолжайте ожидание и мониторинг в GitHub перед продолжением следующего шага.

6. Перенастройка проверки подлинности и подготовки

После проверки приостановки участников предприятия перенастройка проверки подлинности и подготовки.

  1. Настройте проверку подлинности с помощью единого входа SAML или OIDC. Дополнительные сведения см. в разделе Настройка проверки подлинности для корпоративных управляемых пользователей.
  2. Настройка подготовки SCIM. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.

7. Убедитесь, что пользователи и группы повторно представлены из нового поставщика удостоверений или клиента

  1. Чтобы отменить использование управляемые учетные записи пользователей и разрешить им войти в GitHub, пользователи должны быть перепроданы из нового поставщика удостоверений или клиента. Это связывает удостоверения SCIM из нового поставщика удостоверений или клиента с существующими корпоративными управляемыми учетными записями пользователей. Управляемый пользователь предприятия должен иметь связанное удостоверение SCIM для входа.
    • При повторной подготовке учетных записей пользователей Поставщика удостоверений, если пользователь успешно связан с удостоверением SCIM из нового поставщика удостоверений или клиента, вы увидите SSO identity linked ссылку на своей странице в параметрах предприятия, которая будет отображать SCIM identity раздел с атрибутами SCIM. Дополнительные сведения см. в разделе Просмотр пользователей в организации.
    • Вы также можете просмотреть связанные external_identity.* и user.unsuspend события в журнале аудита предприятия. Дополнительные сведения см. в разделе События журнала аудита для вашего предприятия
  2. Группы также должны быть перепроектированы из нового поставщика удостоверений или клиента.
    • При повторной подготовке групп поставщика удостоверений отслеживайте ход выполнения в GitHub, а также просмотрите связанные external_group.provision``external_group.scim_api_failureсобытия и external_group.scim_api_success события в журнале аудита предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Управление членством в группах поставщиков удостоверений](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/audit-log-events-for-your-enterprise#external_group).
  3. После повторной подготовки групп поставщика удостоверений администраторы могут связать группы с группами в организации по мере необходимости.

Миграция при изменении нормализованных значений SCIM userName

Если нормализованные значения SCIM userName изменятся, GitHub должен подготовить новую корпоративную учетную запись для миграции. Обратитесь к нашей группе продаж за помощью.