Acerca de la autenticación para tu empresa
Los propietarios de la empresa en GitHub Enterprise Cloud pueden controlar los requisitos de autenticación y acceso a los recursos de la empresa.
Puedes optar por permitir que los miembros creen y administren cuentas de usuario, o bien la empresa puede crear y administrar cuentas para los miembros con Enterprise Managed Users. Si permites a los miembros administrar sus propias cuentas, también puedes configurar la autenticación SAML para aumentar la seguridad y centralizar la identidad y el acceso a las aplicaciones web que usa el equipo.
Después de obtener más información sobre estas opciones, para determinar qué método es mejor para tu empresa, consulta "Identificación del mejor método de autenticación para la empresa".
Métodos de autenticación para GitHub Enterprise Cloud
Las siguientes opciones están disponibles para la administración de cuentas y la autenticación en GitHub Enterprise Cloud.
Autenticación a través de GitHub.com
De forma predeterminada, cada miembro debe crear una cuenta personal en GitHub.com. Concedes acceso a tu empresa y el miembro puede acceder a los recursos de esta después de iniciar sesión en la cuenta en GitHub.com. El miembro administra la cuenta y puede contribuir a otras empresas, organizaciones y repositorios en GitHub.com.
Autenticación a través de GitHub.com con restricción de acceso SAML adicional
Si configuras una restricción de acceso SAML adicional, cada miembro debe crear y administrar una cuenta personal en GitHub.com. Concedes acceso a la empresa y el miembro puede acceder a los recursos de esta después de iniciar sesión en la cuenta en GitHub.com y autenticarse correctamente con el proveedor de identidades (IdP) de SAML. El miembro puede contribuir en otras empresas, organizaciones y repositorios en GitHub.com mediante su cuenta personal. Para más información sobre cómo exigir la autenticación SAML para el acceso a todos los recursos de la empresa, consulta "Acerca de SAML para IAM empresarial".
Puedes optar entre configurar SAML en el nivel de empresa, que aplica la misma configuración de SAML a todas las organizaciones de la empresa, o configurar SAML por separado para las organizaciones individuales. Para obtener más información, vea «AUTOTITLE».
Autenticación con Enterprise Managed Users y federación
Si necesitas más control de las cuentas de los miembros de la empresa en GitHub.com, puedes usar Enterprise Managed Users. Con Enterprise Managed Users, aprovisionas y administras cuentas para los miembros de la empresa en GitHub.com mediante el IdP. Cada miembro inicia sesión en una cuenta que creas y la empresa la administra. Las contribuciones al resto de GitHub.com están restringidas. Para obtener más información, vea «Acerca de Enterprise Managed Users».
Identificación del mejor método de autenticación para la empresa
Tanto el inicio de sesión único de SAML como Enterprise Managed Users aumentan la seguridad de los recursos de la empresa. Además, Enterprise Managed Users permite controlar las cuentas de usuario de los miembros de la empresa y restringe lo que pueden hacer las cuentas. Pero estas restricciones pueden ser inaceptables para tu empresa si obstruyen los flujos de trabajo de los desarrolladores.
Para determinar si la empresa se beneficiaría más del inicio de sesión único de SAML o de Enterprise Managed Users, hazte las preguntas siguientes.
¿Quieres controlar las cuentas de los usuarios?
Enterprise Managed Users puede ser adecuado para tu empresa si no quieres que los miembros de la empresa usen sus cuentas personales en GitHub.com para acceder a los recursos de la empresa.
Con el inicio de sesión único de SAML, los desarrolladores crean y administran sus cuentas personales y cada cuenta está vinculada a una identidad de SAML en el IdP. Enterprise Managed Users funciona más bien como otras soluciones de inicio de sesión único conocidas, ya que serás tú quien aprovisione las cuentas de los usuarios. También puedes asegurarte de que las cuentas de usuario se adapten a la identidad de la empresa si controlas los nombres de usuario y las direcciones de correo electrónico asociadas a las cuentas.
Si actualmente obligas a los usuarios a crear una cuenta en GitHub.com para usarla solo con tu empresa, probablemente Enterprise Managed Users sea una solución adecuada para ti. En cambio, el inicio de sesión único de SAML puede ser una opción mejor si usas el IdP como origen de confianza para el usuario y si la administración de acceso agrega demasiada complejidad. Por ejemplo, quizás tu empresa no tenga un proceso establecido para incorporar nuevos usuarios en el IdP.
¿Qué proveedor de identidades usa tu empresa?
Enterprise Managed Users se admite para un número limitado de proveedores de identidades, mientras que el inicio de sesión único de SAML ofrece compatibilidad completa con un mayor número de proveedores de identidades, así como compatibilidad limitada con todos los proveedores de identidades que implementan el estándar SAML 2.0, y no requiere SCIM. Para obtener la lista de IdP admitidos para cada opción, consulta "Acerca de Enterprise Managed Users" y "Acerca de SAML para IAM empresarial".
Puedes usar Enterprise Managed Users con un IdP no admitido solo si federas el IdP no admitido en un IdP compatible para usarlo como punto de integración. Si quieres evitar esta complejidad adicional, el inicio de sesión único de SAML puede ser una mejor solución para ti.
¿Los desarrolladores trabajan en repositorios públicos, gists o sitios de GitHub Pages?
Para impedir que los miembros de la empresa filtren accidentalmente al público contenido corporativo en GitHub.com, Enterprise Managed Users impone restricciones rigurosas a lo que pueden hacer los usuarios. Por ejemplo, las cuentas de usuario administradas no pueden crear repositorios públicos, gists con ningún tipo de visibilidad o sitios de GitHub Pages que sean visibles fuera de la empresa. Para obtener una lista completa de las restricciones, consulta "Acerca de Enterprise Managed Users".
Estas restricciones son inaceptables para algunas empresas. Para determinar si Enterprise Managed Users es una opción adecuada para ti, revisa las restricciones con los desarrolladores y confirma si alguna de ellas dificultará los flujos de trabajo existentes. Si es así, el inicio de sesión único de SAML puede ser una mejor opción para tu empresa.
¿Los desarrolladores se basan en colaboraciones fuera de la empresa?
Las Cuentas de usuario administradas solo puede contribuir en repositorios de dentro de la empresa. Si los desarrolladores deben contribuir a repositorios dentro y fuera de la empresa, incluidos los repositorios privados, es posible que Enterprise Managed Users no sea adecuado para la empresa. El inicio de sesión único de SAML puede ser una mejor solución.
Algunas compañías mantienen repositorios en una empresa existente mediante el inicio de sesión único de SAML en GitHub.com, y también crean una empresa con usuarios administrados. Los desarrolladores que contribuyen a los repositorios que pertenecen a ambas empresas desde una única estación de trabajo deben cambiar entre las cuentas de GitHub.com en un solo explorador, o bien usar un explorador diferente con cada cuenta. Es posible que el desarrollador también tenga que personalizar la configuración de Git de la estación de trabajo para dar cabida a las dos cuentas. La complejidad de este flujo de trabajo puede aumentar el riesgo de filtrar código interno al público de forma accidental.
Si decides crear una empresa con usuarios administrados, pero requieres que los desarrolladores contribuyan en los recursos fuera de la empresa desde una única estación de trabajo, puedes proporcionar compatibilidad para cambiar entre las cuentas en la configuración de Git local de un desarrollador. Para obtener más información, vea «Acerca de Enterprise Managed Users».
¿La empresa depende de colaboradores externos?
Con el inicio de sesión único de SAML, puedes conceder acceso a repositorios específicos a personas que no son miembros del directorio del IdP mediante el rol de colaborador externo. Esto puede ser especialmente útil para colaboradores externos del negocio, como contratistas. Para obtener más información, vea «Agregar colaboradores externos a los repositorios en tu organización».
Con Enterprise Managed Users, el rol de colaborador externo no existe. Solo se puede acceder a los recursos de la empresa mediante cuentas de usuario administradas, que siempre aprovisiona el IdP. Para conceder a los colaboradores externos acceso a tu empresa, tendrías que usar cuentas de invitado en el IdP. Si la opción de Enterprise Managed Users te interesa, consulta a los desarrolladores si será un obstáculo para alguno de sus flujos de trabajo existentes. Si es así, el inicio de sesión único de SAML puede ser una mejor solución.
¿Puede la empresa tolerar costes de migración?
Si la empresa no está familiarizada con GitHub.com, el inicio de sesión único de SAML y Enterprise Managed Users son igual de fáciles de adoptar.
Si ya usas GitHub.com y los desarrolladores administran sus cuentas de usuario, la adopción de Enterprise Managed Users requiere la migración a una nueva cuenta empresarial. Para obtener más información, vea «Acerca de Enterprise Managed Users».
Aunque el uso de Enterprise Managed Users es gratuito, el proceso de migración puede requerir tiempo o imponer costes al equipo. Confirma que este proceso de migración es aceptable para la empresa y los desarrolladores. Si no es así, el inicio de sesión único de SAML puede ser la mejor opción.
Decidir si configurar SAML en el nivel de empresa o en el nivel de organización
Si decides usar SAML en lugar de Enterprise Managed Users, tendrás que decidir si configuras SAML en el nivel de la empresa o de la organización.
Si algunos grupos de la empresa deben usar otros proveedores de autenticación SAML para conceder acceso a los recursos en GitHub.com, configura SAML para organizaciones individuales. Puedes implementar SAML para las organizaciones con el tiempo al permitir que los usuarios se autentiquen gradualmente mediante SAML. Como alternativa, puedes requerir la autenticación SAML en una fecha determinada. Los miembros de la organización que no se autentiquen con SAML para esta fecha se quitarán. Para más información sobre SAML en el nivel de la organización, consulta "Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML".
Si configuras SAML en el nivel de organización, no es necesario que los miembros se autentiquen a través de SAML para acceder a repositorios internos. Para más información sobre los repositorios internos, consulta "Acerca de los repositorios".
Si tienes que proteger repositorios internos o aplicar una experiencia de autenticación coherente para cada organización de la empresa, puedes configurar la autenticación SAML para tu cuenta empresarial. La configuración de SAML para tu empresa invalida cualquier configuración de SAML para organizaciones individuales, y las organizaciones no pueden invalidar la configuración empresarial. Después de configurar SAML para la empresa, los miembros de la organización deben autenticarse con SAML antes de acceder a los recursos de la organización, incluidos los repositorios internos.
SCIM no está disponible para las cuentas empresariales y la sincronización de equipos solo está disponible para SAML en el nivel de la empresa si usas Azure AD como IdP. Para obtener más información, vea «Administración de la sincronización de equipos para organizaciones de su empresa».
Independientemente de la implementación de SAML que elijas, no puedes agregar colaboradores externos a organizaciones o equipos. Solo puedes agregar colaboradores externos a repositorios individuales.