注意:**** 对 Enterprise Managed Users 的 OpenID Connect (OIDC) 和条件访问策略 (CAP) 支持仅适用于 Microsoft Entra ID(以前称为 Azure AD)。
关于将 具有托管用户的企业 从 OIDC 迁移到 SAML
若要从 OIDC 迁移到 SAML,首先需要禁用 OIDC,这将挂起所有 托管用户帐户,移除所有 SCIM 预配的外部组,并删除链接的标识。
然后,配置 SAML 和 SCIM。 此时,需要重新预配用户、组和标识。
如果你不熟悉 Enterprise Managed Users 并且尚未为企业配置身份验证,则无需迁移,并且可以立即设置 SAML 单一登录 (SSO)。 有关详细信息,请参阅“为企业托管用户配置 SAML 单一登录”。
警告:****迁移到新的 IdP 或租户时,GitHub 团队和 IdP 组之间的连接将被删除,并且在迁移后不会恢复。 这将从团队中删除所有成员,并将团队与 IdP 断开连接,如果使用团队同步管理对 IdP 组织或许可证的访问权限,则可能会导致中断。 建议在迁移之前使用 REST API 的“外部组”端点收集有关团队设置的信息,并在迁移之后恢复连接。 有关详细信息,请参阅“外部组的 REST API 终结点”。
先决条件
-
目前必须在 GitHub 上将企业配置为使用 OIDC 进行身份验证。 有关详细信息,请参阅“为企业托管用户配置 OIDC”。
-
需要访问 GitHub 上的企业和 Entra ID 上的租户。
- 要在 Entra ID 上配置 GitHub Enterprise Managed User (OIDC) 应用程序,必须以具有全局管理员角色的用户身份登录到 Entra ID 租户。
- 若要以企业在 GitHub 上的设置用户身份登录,必须使用企业的恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。
-
在用户未主动使用企业资源时计划迁移时间。 在迁移期间,只有将新应用程序和用户配置为重新预配后,用户才能访问你的企业。
迁移企业
-
使用用户名 SHORT-CODE_admin 以企业的设置用户身份登录到 GitHub.com,其中 SHORT-CODE 需替换为企业的短代码。
-
在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。
-
在企业列表中,单击您想要查看的企业。 1. 在页面左侧的企业帐户边栏中,单击 “设置”。 1. 当系统提示继续访问标识提供者时,请单击“使用恢复代码”,并使用企业恢复代码之一登录。
注意:必须为企业而不是用户帐户使用恢复代码。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。
-
在“ 设置”下,单击“身份验证安全性” 。
-
取消选择“要求 OIDC 单一登录”。
-
单击“ 保存”。
-
配置 SAML 身份验证和 SCIM 预配。 有关详细信息,请参阅 Microsoft Learn 上的教程:Microsoft Entra 单一登录 (SSO) 与 GitHub Enterprise Managed User 的集成。