Con Enterprise Managed Users, administra el ciclo de vida y la autenticación de sus usuarios en GitHub desde un sistema externo de administración de identidades, o IdP:
- Su IdP aprovisiona nuevas cuentas de usuario en GitHub, con acceso a su empresa.
- Los usuarios deben autenticarse en su IdP para acceder a los recursos de su empresa en GitHub.
- Usted controla los nombres de usuario, los datos del perfil, la pertenencia a la organización y el acceso al repositorio desde su IdP.
- Si la empresa usa el inicio de sesión único de OIDC, GitHub validará el acceso a la empresa y sus recursos mediante la Directiva de acceso condicional (CAP) del IdP. Consulte "Sobre la compatibilidad con la Directiva de acceso condicional de IdP".
- Cuentas de usuario administradas no puede crear contenido público ni colaborar fuera de la empresa. Consulte "Capacidades y restricciones de las cuentas de usuario administradas".
Note
Enterprise Managed Users no es la mejor solución para cada cliente. Para determinar si es adecuado para su empresa, consulte "Elección de un tipo de empresa para GitHub Enterprise Cloud".
Sistemas de administración de identidades
GitHub se asocia con algunos desarrolladores de sistemas de administración de identidades para proporcionar una integración de tipo "paved-path" con Enterprise Managed Users. A fin de simplificar la configuración y garantizar la compatibilidad completa, utiliza un IdP de asociado único para la autenticación y el aprovisionamiento.
Proveedores de identidad asociados
Los IdP asociados proporcionan autenticación mediante SAML u OIDC, y proporcionan aprovisionamiento con el System for Cross-domain Identity Management (SCIM).
IdP de asociado | SAML | OIDC | SCIM |
---|---|---|---|
Entra ID | |||
Okta | |||
PingFederate |
Cuando se usa un único IdP asociado tanto para la autenticación como para el aprovisionamiento, GitHub proporciona soporte para la aplicación en el IdP asociado y la integración del IdP con GitHub.
Otros sistemas de administración de identidades
Si no puede utilizar un único IdP asociado tanto para la autenticación como para el aprovisionamiento, puede utilizar otro sistema de gestión de identidades o una combinación de sistemas. El sistema debe:
- Cumplir las directrices de integración de GitHub.
- Proporcionar autenticación mediante SAML, cumpliendo con la especificación SAML 2.0
- Proporcionar la administración del ciclo de vida del usuario utilizando SCIM, adhiriéndose a la especificación SCIM 2.0 y comunicándose con la API de REST de GitHub (véase "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST")
GitHub no admite expresamente la mezcla y combinación de IdP asociados para la autenticación y el aprovisionamiento y no prueba todos los sistemas de administración de identidades. Es posible que el equipo de asistencia de GitHub no pueda ayudarle con problemas relacionados con sistemas mixtos o no probados. Si necesita ayuda, debe consultar la documentación del sistema, el equipo de soporte técnico u otros recursos.
Nombres de usuario e información de perfil
GitHub crea automáticamente un nombre de usuario para cada promotor normalizando un identificador proporcionado por su IdP. Si se eliminan las partes únicas del identificador durante la normalización, puede producirse un conflicto. Consulte "Consideraciones sobre el nombre de usuario para la autenticación externa".
El nombre de perfil y dirección de correo electrónico de un cuenta de usuario administrada lo proporciona el IdP.
- Los Cuentas de usuario administradas no pueden cambiar su nombre de perfil ni la dirección de correo electrónico en GitHub.
- El IdP solo puede proporcionar una dirección de correo electrónico.
- El cambio de la dirección de correo electrónico de un usuario en su IdP desvinculará al usuario del historial de contribuciones asociado a la antigua dirección de correo electrónico.
Administración de roles y acceso
En su IdP, puede asignar a cada cuenta de usuario administrada un rol papel en su empresa, como miembro, propietario o colaborador invitado. Consulte "Roles en una empresa".
Las pertenencias a la organización (y el acceso al repositorio) pueden administrarse manualmente, o puede actualizar las pertenencias automáticamente utilizando grupos IdP. Consulte "Administrar membrecías de equipo con grupos de proveedor de identidad".
Autenticación para cuentas de usuario administradas
Las ubicaciones en las que cuentas de usuario administradas puede autenticarse en GitHub dependen de cómo configure la autenticación (SAML u OIDC). Consulte "Autenticarte con Enterprise Managed Users".
De forma predeterminada, cuando un usuario no autenticado intenta acceder a su empresa, GitHub muestra un error 404. Opcionalmente, puede activar en su lugar los redireccionamientos automáticos al inicio de sesión único (SSO). Consulte "Requerir las políticas para los ajustes de seguridad en tu empresa".