Skip to main content

Acerca de Enterprise Managed Users

Puedes administrar centralmente la identidad y el acceso para los miembros de tu empresa en GitHub desde tu proveedor de identidades (IdP).

Acerca de Enterprise Managed Users

Con Enterprise Managed Users, administra el ciclo de vida y la autenticación de los usuarios en GitHub.com desde un sistema de administración de identidades externo o IdP. Puedes proporcionar acceso a GitHub Enterprise Cloud a las personas que tienen identidades existentes y pertenencia a grupos en el IdP. El IdP aprovisiona nuevas cuentas de usuario con acceso a la empresa en GitHub.com. Tú controlas los nombres de usuario, los datos de perfil, la pertenencia del equipo y el acceso de las cuentas de usuario al repositorio desde tu IdP.

En el IdP, puedes asignar a cada cuenta de usuario administrada un rol, como miembro, propietario de la empresa o colaborador invitado. Cuentas de usuario administradas puede ser propietario de organizaciones dentro de tu empresa y puede agregar a otros cuentas de usuario administradas a las organizaciones y equipos dentro de ella. Para obtener más información, vea «Roles en una empresa» y «Acerca de las organizaciones».

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones con GitHub, cuando los miembros cambian las direcciones IP y para cada autenticación con personal access token o una clave SSH asociada a una cuenta de usuario. Para más información, consulta "Sobre la compatibilidad con la Directiva de acceso condicional de IdP".

Puedes conceder acceso a los cuentas de usuario administradas a repositorios de la empresa, así como la capacidad de contribuir en ellos, pero los cuentas de usuario administradas no pueden crear contenido público ni colaborar con otros usuarios, organizaciones y empresas del resto de GitHub. Para obtener más información, consulta "Habilidades y restricciones de los cuentas de usuario administradas".

El nombre de usuario de los cuentas de usuario administradas de tu empresa y su información de perfil, como los nombres y direcciones de correo electrónico que se muestran, se configuran mediante tu IdP y no pueden cambiarlos los propios usuarios. Para más información, vea "Nombres de usuario e información de perfil".

Los propietarios de las empresas pueden auditar todas las acciones de los cuentas de usuario administradas en GitHub. Para obtener más información, vea «Eventos de registro de auditoría de la empresa».

Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para obtener más información sobre cómo crear esta cuenta, consulta "Introducción a Enterprise Managed Users".

Nota: Hay varias opciones para la administración de identidades y acceso con GitHub Enterprise Cloud, y la solución de Enterprise Managed Users no es la mejor para todos los clientes. Para obtener más información que te ayude a decidir si la opción de Enterprise Managed Users es adecuada para tu empresa, consulta "Elección de un tipo de empresa para GitHub Enterprise Cloud" y "Capacidades y restricciones de las cuentas de usuario administradas".

Sobre la autenticación y el aprovisionamiento de usuarios

Con Enterprise Managed Users, el IdP crea y actualiza cuentas de usuario en GitHub.com. Los usuarios deben autenticarse en el IdP para acceder a los recursos de la empresa en GitHub.com. GitHub Enterprise Cloud mantiene un registro de la identidad externa en el IdP que corresponde a la cuenta de usuario.

GitHub se asocia con algunos desarrolladores de sistemas de administración de identidades para proporcionar una integración de tipo "paved-path" con Enterprise Managed Users. Para simplificar la configuración y garantizar la compatibilidad completa, GitHub recomienda usar un IdP de asociado único para la autenticación y el aprovisionamiento. Estos IDP proporcionan principalmente autenticación mediante SAML. Microsoft Entra ID (anteriormente conocido como Azure AD) también ofrece OIDC para la autenticación. Las aplicaciones IdP aprovisionan usuarios con System for Cross-domain Identity Management (SCIM).

IdP de asociadoSAMLOIDCSCIM
Entra ID
Okta
PingFederate

Otros IdP deben cumplir la especificación SAML 2.0 para la autenticación. Puedes configurar el aprovisionamiento con IdP que cumplen las instrucciones de integración de GitHub. El IdP debe cumplir la especificación SCIM 2.0 y comunicarse con la API de REST de GitHub. Por ejemplo, el IdP podría ser un sistema de administración de identidades comercial que GitHub no ha probado o un sistema de identidad personalizado que compila la compañía.

Nota: La compatibilidad con el aprovisionamiento de usuarios con el esquema SCIM público de GitHub está en versión beta pública y sujeta a cambios.

Consulta los siguientes artículos para más información sobre la autenticación y el aprovisionamiento:

Si no usas la aplicación de IdP de asociado para la autenticación y el aprovisionamiento, puedes configurar la autenticación mediante SAML y aprovisionar usuarios mediante la REST de API de GitHub. Para obtener más información, consulta "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST" y la documentación del IdP, el equipo de soporte técnico u otros recursos.

Algunos clientes han notificado usar la aplicación de un IdP de asociado solo ha funcionado correctamente para la autenticación, en combinación con otro sistema de administración de identidades para el aprovisionamiento. Por ejemplo, podrías usar Okta para el inicio de sesión único de SAML y una implementación de SCIM personalizada para el aprovisionamiento de usuarios. GitHub no admite expresamente la combinación y coincidencia de los IdP de asociados para la autenticación y el aprovisionamiento, no prueba los IdP de asociados en combinación con otros IdP y no ha probado todos los sistemas de administración de identidades.

Introducción a Enterprise Managed Users

Para que los desarrolladores puedan usar la GitHub Enterprise Cloud con Enterprise Managed Users, debes llevar a cabo una serie de pasos de configuración.

  1. Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para probar Enterprise Managed Users o para analizar las opciones para migrar desde su empresa existente, póngase en contacto con el equipo de ventas de GitHub.

    La persona de contacto en el equipo de ventas de GitHub trabajará contigo para crear tu empresa con usuarios administrados nueva. Necesitarás proporcionar la dirección de correo electrónico del usuario que configurará tu empresa y un código corto que se utilizará como el sufijo de los nombres de usuario de los miembros. El código corto debe ser único para tu empresa, debe ser una secuencia de tres a ocho caracteres alfanuméricos que no contenga caracteres especiales. Para más información, vea "Nombres de usuario e información de perfil".

  2. Después de crear tu empresa, recibirás un mensaje de correo electrónico de GitHub, el cual te invitará a elegir una contraseña para tu usuario de configuración de la empresa, quien será el primer propietario de esta. Utiliza una ventana de búsqueda privada o en modo incógnito al configurar la contraseña y guardar los códigos de recuperación para el usuario. El usuario de configuración solo se usa para configurar el inicio de sesión único y la integración de aprovisionamiento de SCIM para la empresa. Ya no podrás acceder a la configuración de la empresa o de la organización una vez configurado el inicio de sesión único, a menos que se use un código de recuperación de SSO.

    El nombre de usuario del usuario de configuración es el código corto de la empresa con el sufijo _admin, por ejemplo, fabrikam_admin. Si necesitas iniciar sesión como usuario de configuración más adelante, puede escribir el nombre de usuario y la contraseña en cualquier página de inicio de sesión. También se proporciona un vínculo a la página de inicio de sesión en la página de SSO, para mayor comodidad.

    Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub.

  3. Después de iniciar sesión como usuario de configuración, se recomienda habilitar la autenticación en dos fases. La contraseña del usuario de configuración y las credenciales en dos fases también se pueden usar para entrar en el modo sudo, que es necesario para realizar acciones confidenciales. Para obtener más información, vea «Configurar la autenticación de dos factores» y «Modo sudo».

  4. Para empezar, configura cómo se autenticarán los miembros. Si usas Entra ID como IdP, puedes elegir entre OpenID Connect (OIDC) y el Lenguaje de marcado de aserción de seguridad (SAML). Se recomienda OIDC, que incluye compatibilidad con directivas de acceso condicional (CAP). Si necesitas varias empresas con cuentas de usuario administradas aprovisionados desde un inquilino, debes usar SAML para cada empresa después de la primera. Si vas a usar otro IdP, como Okta o PingFederate, puedes utilizar SAML para autenticar a los miembros.

    Para empezar, lea la guía del método de autenticación elegido.

  5. Una vez que hayas configurado el inicio de sesión único, puedes configurar el aprovisionamiento de SCIM. SCIM es cómo creará el IdP cuentas de usuario administradas en GitHub.com. Para obtener más información sobre la configuración del aprovisionamiento SCIM, consulta "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".

  6. Una vez configurada la autenticación y el aprovisionamiento, puede empezar a administrar la pertenencia a la organización para los datos cuentas de usuario administradas mediante la sincronización de grupos de IdP con equipos. Para obtener más información, vea «Administrar membrecías de equipo con grupos de proveedor de identidad».

Si los miembros de tu empresa deben usar una estación de trabajo para contribuir a los repositorios en GitHub.com tanto de un cuenta de usuario administrada como de una cuenta personal, puedes proporcionar compatibilidad. Para obtener más información, consulta "Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com".

Acerca de la administración de la pertenencia a una organización

Las pertenencias a una organización se pueden administrar manualmente o bien las puedes actualizar automáticamente mediante grupos de IdP. Para administrar las pertenencias a la organización mediante el IdP, los miembros deben agregarse a un grupo de IdP y este grupo debe estar conectado a un equipo en la organización. Para obtener más información sobre la administración automática de la organización y las pertenencias a equipos, consulta "Administrar membrecías de equipo con grupos de proveedor de identidad".

La forma en que se agrega un miembro a una organización propiedad de tu empresa (mediante grupos de IdP o manualmente) determina cómo se deben quitar de una organización.

  • Si un miembro se agregó a una organización manualmente, debes quitarlo manualmente. La anulación de la asignación de la aplicación de GitHub Enterprise Managed User en tu IdP suspenderá al usuario pero no lo eliminará de la organización.
  • Si un usuario se convirtió en miembro de una organización porque se agregó a grupos de IdP asignados a uno o varios equipos de la organización, quitarlo de todos los grupos de IdP asignados asociados a la organización hará que se quite de la organización.

Para descubrir cómo se agregó un miembro a una organización, puedes filtrar la lista de miembros por tipo. Para obtener más información, consulta “Visualizar a las personas en tu empresa”.

Autenticación con un cuenta de usuario administrada

Los Cuentas de usuario administradas se deben autenticar mediante su IdP. La forma en que cuentas de usuario administradas se autentican depende de si se configura la autenticación SAML o OIDC.

Si la empresa está configurada para la autenticación SAML, un cuenta de usuario administrada puede acceder a su empresa visitando su portal de aplicaciones de IdP. Si la empresa está configurada para la autenticación de OIDC, un cuenta de usuario administrada puede acceder a su empresa mediante la página de inicio de sesión de GitHub.com. La autenticación iniciada por el IdP no se admite actualmente para OIDC. En cualquiera de las configuraciones, un cuenta de usuario administrada% puede iniciar la autenticación directamente desde la página de la organización o de la empresa en GitHub.com.

De manera predeterminada, cuando un usuario no autenticado intenta acceder a una empresa que usa Enterprise Managed Users, GitHub muestra un error 404. Opcionalmente, un propietario de la empresa puede habilitar redirecciones automáticas al inicio de sesión único (SSO) en lugar de al error 404. Para obtener más información, vea «Requerir las políticas para los ajustes de seguridad en tu empresa».

Si un error de configuración de SAML o un problema con el proveedor de identidades (IdP) le impide usar el inicio de sesión único de SAML, puede usar un código de recuperación para acceder a la empresa. Para más información, consulta "Administración de códigos de recuperación para la empresa".

Autenticarse como un cuenta de usuario administrada mediante el GitHub.com

  1. Vaya a https://github.com/login.
  2. En la caja de texto de "Nombre de usuario o dirección de correo electrónico", ingresa tu nombre de usuario incluyendo el guion bajo y código corto. Si el formulario reconoce el nombre de usuario, se actualizará. No necesitas ingresar tu contraseña en este formato.
  3. Para continuar con el IdP, haz clic enSign in with your identity provider (Iniciar sesión con el proveedor de identidades).

Nombres de usuario e información de perfil

GitHub Enterprise Cloud crea automáticamente un nombre de usuario para cada persona mediante la normalización de un identificador proporcionado por el IdP. Para obtener más información, consulta “Consideraciones sobre el nombre de usuario para la autenticación externa”.

El nombre de perfil y dirección de correo electrónico de un cuenta de usuario administrada lo proporciona el IdP. Los Cuentas de usuario administradas no pueden cambiar su nombre de perfil ni la dirección de correo electrónico en GitHub, y el IdP solo puede proporcionar una dirección de correo electrónico. Si cambia la dirección de correo electrónico asociada a un usuario en el IdP, desvinculará al usuario del historial de contribución asociado a su dirección de correo electrónico anterior.

Puede producirse un conflicto al aprovisionar usuarios si las partes únicas del identificador proporcionado por el IdP se quitan durante la normalización. Si no puedes aprovisionar un usuario debido a un conflicto con el nombre de usuario, debes modificar el nombre de usuario proporcionado por el IdP. Para obtener más información, vea «Consideraciones sobre el nombre de usuario para la autenticación externa».

Nota: Dado que GitHub agrega un carácter de subrayado y un código corto al identificador normalizado proporcionado por el IdP al crear cada nombre de usuario, solo se pueden producir conflictos dentro de cada empresa con usuarios administrados. Cuentas de usuario administradas puede compartir identificadores de IdP o direcciones de correo electrónico con otras cuentas de usuario en GitHub.com que están fuera de la empresa.

Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com

Es posible que personas del equipo necesiten contribuir a los recursos de GitHub.com que están fuera de empresa con usuarios administrados. Por ejemplo, puede que quieras mantener una empresa independiente para los proyectos de código abierto de la empresa. Dado que un cuenta de usuario administrada no puede contribuir a los recursos públicos, los usuarios deberán mantener una cuenta personal independiente para este trabajo.

Las personas que deben contribuir desde dos cuentas de usuario en GitHub.com con una estación de trabajo pueden configurar Git para simplificar el proceso. Para obtener más información, consulta “Administración de varias cuentas”.

Si hay personas en el equipo que necesitan cambiar periódicamente entre cuentas en GitHub.com, como sus cuentas personales y uno o más cuentas de usuario administradas, es posible iniciar sesión en varias cuentas y cambiar rápidamente entre ellas sin tener que volver a autenticarse siempre. Para obtener más información, consulta “Cambio entre cuentas”.