从 Azure DevOps 迁移管理访问权限

关于 GitHub Enterprise Importer 的必要访问权限

为了保护您的数据，GitHub 对使用 GitHub Enterprise Importer 施加了特定的访问权限要求。这些要求根据您尝试执行的任务而有所不同。为了防止错误，您应该仔细阅读本文并验证您是否满足要完成的任务的所有要求。

要将存储库从 Azure DevOps 迁移到 GitHub，您需要对源（Azure DevOps 上的组织）和目标（GitHub 上的组织）都具有足够的访问权限。要拥有足够的访问权限，您需要以下所有内容。

GitHub 上目标组织的必需角色
可以访问 GitHub 上目标组织的个人访问令牌
- 个人访问令牌必须具有所有必需的范围，这些范围取决于您的角色和您要完成的任务。
- 如果目标组织对 GitHub.com 使用 SAML 单点登录，您必须为 SSO 授权个人访问令牌。
可以访问 Azure DevOps 上源组织的个人访问令牌

此外，如果您对源或目标使用 IP 允许列表，您可能需要配置允许列表以允许 GitHub Enterprise Importer 访问。

关于迁移者角色

为了消除组织所有者完成迁移的需要，GitHub.com 包含一个用于使用 GitHub Enterprise Importer 的独特角色。授予迁移者角色允许您指定其他团队或个人来处理您的迁移。您只能为 GitHub.com 上的组织授予迁移者角色。

您可以将迁移者角色授予单个用户或团队。我们强烈建议您将迁移者角色分配给团队。然后，您可以通过调整团队成员资格进一步自定义谁可以运行迁移。有关更改团队成员资格的更多信息，请参阅“将组织成员添加到团队”或“从团队中删除组织成员”。

要授予迁移者角色，请参阅“授予迁移者角色”。

授予迁移者角色后，请确保迁移者使用满足运行迁移所有要求的个人访问令牌。

GitHub 的必需角色

对于 GitHub 上的目标组织，不同的任务需要不同的角色。

下表列出了哪些角色可以执行哪些任务。

任务	组织所有者	迁移者
为存储库迁移分配迁移者角色
运行存储库迁移
下载迁移日志
回收人偶

个人访问令牌所需的范围

要运行迁移，您需要一个可以访问 GitHub 上目标组织的个人访问令牌，以及另一个可以访问 Azure DevOps 上源组织的个人访问令牌。

对于其他任务，例如下载迁移日志，您只需要一个可以访问 GitHub 上目标组织的个人访问令牌。

GitHub 的个人访问令牌

GitHub 个人访问令牌（经典）所需的范围取决于您的角色和您要完成的任务。

注意：您只能使用个人访问令牌（经典），不能使用细粒度个人访问令牌。这意味着，如果您的组织使用“限制个人访问令牌（经典）访问您的组织”策略，则无法使用 GitHub Enterprise Importer。有关更多信息，请参阅“在您的企业中实施个人访问令牌的策略”。

任务	组织所有者	迁移者
为存储库迁移分配迁移者角色	`admin:org`
运行存储库迁移（目标组织）	`repo`、`admin:org`、`workflow`	`repo`、`read:org`、`workflow`
下载迁移日志	`repo`、`admin:org`、`workflow`	`repo`、`read:org`、`workflow`
回收人偶	`admin:org`

Azure DevOps 的个人访问令牌

您的 Azure DevOps 个人访问令牌必须具有 work item (read)、code (read) 和 identity (read) 范围。

如果您想在生成迁移脚本时使用 --integrate-boards 或 --rewire-pipelines 标志，您还需要 Build (Read) 范围。

如果您想从多个组织迁移，请允许个人访问令牌访问所有可访问的组织。有关更多信息，请参阅 Microsoft Docs 中的使用个人访问令牌。

授予迁移者角色

要允许组织所有者以外的人员运行迁移或下载迁移日志，您可以将迁移者角色授予用户或团队。有关更多信息，请参阅“关于迁移者角色”。

您可以使用 GitHub CLI 的 ADO2GH 扩展或 GraphQL API 来授予迁移者角色。

"使用 ADO2GH 扩展授予迁移者角色"
"使用 GraphQL API 授予迁移者角色"

使用 ADO2GH 扩展授予迁移者角色

要使用 CLI 授予迁移者角色，您必须已安装 GitHub CLI 的 ADO2GH 扩展。有关更多信息，请参阅 "将存储库从 Azure DevOps 迁移到 GitHub Enterprise Cloud。"。

在 GitHub.com 上，创建并记录一个满足授予迁移者角色所有要求的个人访问令牌。有关更多信息，请参阅 "为 GitHub 创建个人访问令牌。"。
将个人访问令牌设置为环境变量，用您上面记录的个人访问令牌替换以下命令中的 TOKEN。
- 如果您使用的是终端，请使用 export 命令。
  Shell
```
export GH_PAT="TOKEN"
```
```
export GH_PAT="TOKEN"
```
- 如果您使用的是 PowerShell，请使用 $env 命令。
  Shell
```
$env:GH_PAT="TOKEN"
```
```
$env:GH_PAT="TOKEN"
```

使用 gh ado2gh grant-migrator-role 命令，用您要授予迁移者角色的组织替换 ORGANIZATION，用用户或团队名称替换 ACTOR，用 USER 或 TEAM 替换 TYPE。

Shell

gh ado2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE

gh ado2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE

使用 GraphQL API 授予迁移者角色

您可以使用 grantMigratorRole GraphQL 变异来分配迁移者角色，使用 revokeMigratorRole 变异来撤销迁移者角色。

您必须使用满足所有访问要求的个人访问令牌 (PAT)。有关更多信息，请参阅 "个人访问令牌的必需范围。"。

`grantMigratorRole` 变异

此 GraphQL 变异设置迁移角色。

mutation grantMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  grantMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}

查询变量	描述
`organizationId`	您组织的 `ownerId`（或组织 ID），来自 `GetOrgInfo` 查询。
`actor`	您要分配迁移角色的团队或用户名。
`actor_type`	指定迁移者是 `USER` 还是 `TEAM`。

`revokeMigratorRole` 变异

此变异会移除迁移者角色。

mutation revokeMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  revokeMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}

为 GitHub 创建个人访问令牌

验证您是否具有完成所需任务的足够角色。有关更多信息，请参阅“所需角色”。
创建一个个人访问令牌（经典），确保授予完成所需任务的所有范围。您只能使用个人访问令牌（经典），不能使用细粒度个人访问令牌。有关更多信息，请参阅“管理您的个人访问令牌”和“个人访问令牌所需的范围”。
如果对您需要访问的组织强制执行 SAML 单点登录，请为 SSO 授权个人访问令牌。有关更多信息，请参阅“授权个人访问令牌以用于 SAML 单点登录”。