Migration de votre entreprise vers un nouveau fournisseur d’identité ou locataire

Si votre entreprise utilise un nouveau fournisseur d'identité (IdP) ou un locataire pour l'authentification et l'approvisionnement après avoir configuré saML (Security Assertion Markup Language) ou OpenID Connecter (OIDC) et SCIM, vous pouvez migrer vers une nouvelle configuration.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners and people with administrative access to your IdP can migrate your enterprise to a new IdP or tenant.

Enterprise Managed Users est disponible pour les nouveaux comptes d'entreprise sur GitHub Enterprise Cloud. Consultez À propos d’Enterprise Managed Users.

Dans cet article

À propos des migrations entre fournisseurs d’identité et locataires

Si vous utilisez Enterprise Managed Users, il se peut que vous deviez migrer votre entreprise vers un nouveau client de votre IdP ou vers un autre système de gestion des identités. Par exemple, vous pouvez être prêt à migrer d'un environnement de test vers votre environnement de production, ou votre entreprise peut décider d'utiliser un nouveau système d'identité.

Avant de migrer vers une nouvelle configuration d'authentification et d'approvisionnement, passez en revue les conditions préalables et les instructions de préparation. Lorsque vous êtes prêt à migrer, vous désactivez l'authentification et l'approvisionnement pour votre entreprise, puis reconfigurez les deux. Vous ne pouvez pas modifier votre configuration existante pour l'authentification et l'approvisionnement.

Prérequis

  • Lorsque vous avez commencé à utiliser GitHub Enterprise Cloud, vous avez dû choisir de créer un entreprise avec utilisateurs managés. Pour plus d’informations, consultez « Choix d’un type d’entreprise pour GitHub Enterprise Cloud ».
  • Passez en revue et comprenez les exigences d'intégration avec Enterprise Managed Users à partir d'un système de gestion des identités externe. Pour simplifier la configuration et la prise en charge, vous pouvez utiliser un IdP partenaire unique pour une intégration « paved-path ». Vous pouvez également configurer l'authentification à l'aide d'un système conforme aux normes SAML (Security Assertion Markup Language) 2.0 et System for Cross-domain Identity Management (SCIM) 2.0. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».
  • Vous devez avoir déjà configuré l'authentification et l'approvisionnement SCIM pour votre entreprise.

Préparation à la migration

Pour migrer vers une nouvelle configuration pour l'authentification et l'approvisionnement, vous devez d'abord désactiver l'authentification et l'approvisionnement pour votre entreprise. Avant de désactiver votre configuration existante, passez en revue les considérations suivantes :

  • GitHub réinitialisera les enregistrements SCIM associés aux comptes d’utilisateur managés de votre entreprise. Avant la migration, déterminez si les valeurs de l'attribut SCIM userName normalisé resteront les mêmes pour comptes d’utilisateur managés dans le nouvel environnement. Pour plus d’informations, consultez « Considérations relatives au nom d'utilisateur pour une authentification externe ».

    • Si les valeurs SCIM normalisées userName doivent rester les mêmes après la migration, vous pouvez effectuer la migration vous-même.
    • Si les valeurs SCIM normalisées userName changent après la migration, GitHub doit vous aider à effectuer votre migration. Pour plus d’informations, consultez Migration lorsque les valeurs SCIM normalisées userName changent.

  • Ne supprimez aucun utilisateur ou groupe de l'application pour Enterprise Managed Users sur votre système de gestion des identités tant que la migration n'est pas terminée.

  • GitHub supprimera toutes les personal access tokens ou les clés SSH associées aux comptes d’utilisateur managés de votre entreprise. Planifiez une fenêtre de migration après la reconfiguration pendant laquelle vous pouvez créer et fournir de nouvelles informations d'identification à toutes les intégrations externes.

  • GitHub supprime les connexions entre les équipes sur GitHub ainsi que les groupes IdP et ne rétablit pas les connexions après la migration. GitHub supprime également tous les membres de l'équipe et laisse l'équipe non connectée à votre fournisseur d'identité. Vous pouvez rencontrer des interruptions si vous utilisez des groupes sur votre système de gestion des identités pour gérer l'accès aux organisations ou aux licences. GitHub vous recommande d'utiliser l'API REST pour répertorier les connexions d'équipe et l'appartenance aux groupes avant de migrer, et de rétablir les connexions par la suite. Pour plus d’informations, consultez Points de terminaison d’API REST pour les groupes externes dans la documentation de l’API REST.

Migration vers un nouveau fournisseur d'identité ou client

Pour migrer vers un nouveau fournisseur d'identité ou un nouveau client, vous devez effectuer les tâches suivantes.

  1. Validez les attributs SCIM userName correspondants.
  2. Téléchargez les code de récupération d'authentification unique.
  3. Désactivez l'approvisionnement sur votre fournisseur d'identité actuel.
  4. Désactivez l'authentification et l'approvisionnement pour votre entreprise.
  5. Validez la suspension des membres de votre entreprise.
  6. Reconfigurez l'authentification et l'approvisionnement.

1. Valider les attributs SCIM userName correspondants

Pour une migration transparente, vérifiez que l'attribut SCIM userName sur votre nouveau fournisseur SCIM correspond à l'attribut de votre ancien fournisseur SCIM. Si ces attributs ne correspondent pas, consultez Migration lorsque les valeurs SCIM userName normalisées changeront.

2. Téléchargez les code de récupération d'authentification unique.

Si vous n’avez pas encore de codes de récupération d’authentification unique pour votre entreprise, téléchargez-les maintenant. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

3. Désactivez l'approvisionnement sur votre fournisseur d'identité actuel.

  1. Sur votre fournisseur d'identité actuel, désactivez le provisionnement dans l'application pour Enterprise Managed Users.
    • Si vous utilisez Entra ID, accédez à l’onglet « Provisionnement » de l’application, puis cliquez sur Arrêter le provisionnement.
    • Si vous utilisez Okta, accédez à l’onglet « Provisionnement » de l’application, cliquez sur l’onglet Intégration, puis sur Modifier. Désélectionnez Activer l’intégration d’API.
    • Si vous utilisez PingFederate, accédez aux paramètres du canal dans l’application. Sous l’onglet Activation et résumé, cliquez sur Actif ou Inactif pour basculer l’état d’approvisionnement, puis cliquez sur Enregistrer. Pour plus d'informations sur la gestion de l'approvisionnement, consultez Examen des paramètres de canal et Gestion des canaux dans la documentation PingFederate.
    • Si vous utilisez un autre système de gestion des identités, consultez la documentation du système, l'équipe de support technique ou d'autres ressources.

4. Désactiver l'authentification et l'approvisionnement pour votre entreprise

  1. Utilisez un code de récupération pour vous connecter à GitHub en tant qu’utilisateur d’installation, dont le nom d’utilisateur est le code court de votre entreprise avec le suffixe _admin. Pour plus d’informations sur l’utilisateur d’installation, consultez Bien démarrer avec Enterprise Managed Users.
  2. Désactivez l'authentification et l'approvisionnement pour votre entreprise. Pour plus d’informations, consultez « Désactivation de l’authentification pour les utilisateurs gérés par l’entreprise ».
  3. Attendez GitHub une heure pour réinitialiser les enregistrements SCIM de votre entreprise et suspendre les membres de votre entreprise.

5. Validez la suspension des membres de votre entreprise.

Après avoir désactivé l'authentification et l'approvisionnement, GitHub suspend toutes les données comptes d’utilisateur managés de votre entreprise. Vous pouvez valider la suspension des membres de votre entreprise à l'aide de l'interface utilisateur Web.

  1. Affichez les membres suspendus dans votre entreprise. Pour plus d’informations, consultez « Visualisation des personnes dans votre entreprise ».

  2. Si tous les membres de votre entreprise ne sont pas encore suspendus, continuez à attendre et passez en revue les journaux d'activité sur votre fournisseur SCIM.

    • Si vous utilisez Entra ID, la suspension de vos membres peut prendre jusqu'à 40 minutes. Pour accélérer le processus pour un utilisateur individuel, cliquez sur le bouton Provisionner à la demande sous l’onglet « Provisionnement » de l’application pour Enterprise Managed Users.

6. Reconfigurez l'authentification et l'approvisionnement.

Après avoir validé la suspension des membres de votre entreprise, reconfigurez l'authentification et l'approvisionnement.

  1. Configurez l'authentification à l'aide de l'authentification unique SAML ou OIDC. Pour plus d’informations, consultez « Configuration de l’authentification pour les utilisateurs gérés par l’entreprise ».
  2. Configurez l'approvisionnement SCIM. Pour plus d’informations, consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».

Pour rétablir vos données comptes d’utilisateur managés et leur permettre de se connecter à GitHub, votre fournisseur SCIM doit reprovisionner leurs comptes.

Migration lorsque les valeurs SCIM normalisées userName changent

Si les valeurs SCIM normalisées userName changent, GitHub doit provisionner un nouveau compte d’entreprise pour votre migration. Contactez notre équipe commerciale pour obtenir de l’aide.