Configuring OIDC for Enterprise Managed Users

En este artículo

You can automatically manage access to your enterprise account on GitHub by configuring OpenID Connect (OIDC) single sign-on (SSO) and enable support for your IdP's Conditional Access Policy (CAP).

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Nota: La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Azure AD.

About OIDC for Enterprise Managed Users

With Enterprise Managed Users, your enterprise uses your identity provider (IdP) to authenticate all members. You can use OpenID Connect (OIDC) to manage authentication for your empresa con usuarios administrados. Enabling OIDC SSO is a one-click setup process with certificates managed by GitHub and your IdP.

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones del usuario con GitHub, cuando los miembros cambian las direcciones IP y cada vez que se usa personal access token o una clave SSH. For more information, see "About support for your IdP's Conditional Access Policy."

You can adjust the lifetime of a session, and how often a cuenta de usuario administrada needs to reauthenticate with your IdP, by changing the lifetime policy property of the ID tokens issued for GitHub from your IdP. The default lifetime is one hour. For more information, see "Configure token lifetime policies" in the Azure AD documentation.

Note: If you need assistance configuring the OIDC session lifetime, contact Microsoft Support.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Advertencia: Si utilizas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Azure AD; de lo contrario, es posible que se bloquee la migración.

Identity provider support

Support for OIDC is available for customers using Azure Active Directory (Azure AD).

Each Azure AD tenant can support only one OIDC integration with Enterprise Managed Users. If you want to connect Azure AD to more than one enterprise on GitHub, use SAML instead. For more information, see "Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise."

OIDC does not support IdP-initiated authentication.

Configuring OIDC for Enterprise Managed Users

  1. Sign into GitHub.com as the setup user for your new enterprise with the username @SHORT-CODE_admin.

  2. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  3. En la lista de empresas, da clic en aquella que quieras ver.

  4. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  5. En Configuración, haz clic en Seguridad de autenticación.

  6. Under "OpenID Connect single sign-on", select Require OIDC single sign-on.

  7. To continue setup and be redirected to Azure AD, click Save.

  8. Cuando GitHub Enterprise Cloud te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Cuando Azure AD solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, a continuación, haz clic en Aceptar.

    Advertencia: Debes iniciar sesión en Azure AD como usuario con derechos de administrador global para dar tu consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).

  9. Para asegurarte de que todavía puedes acceder a tu empresa en GitHub.com en caso de que tu IdP no esté disponible en el futuro, haz clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, consulta «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

  10. Click Enable OIDC Authentication.

Enabling provisioning

After you enable OIDC SSO, enable provisioning. For more information, see "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales."