Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales

En este artículo

Puedes administrar el ciclo de vida de las cuentas de usuario de la empresa en GitHub.com desde tu proveedor de identidades (IdP) mediante System for Cross-domain Identity Management (SCIM).

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Acerca del aprovisionamiento para los Enterprise Managed Users

Para crear, administrar y desactivar cuentas de usuario para los miembros de tu empresa en GitHub.com, el IdP debe implementar SCIM para la comunicación con GitHub. SCIM es una especificación abierta para la administración de identidades de usuario entre sistemas. Distintos IdP proporcionan experiencias diferentes para la configuración del aprovisionamiento de SCIM.

Después de configurar el aprovisionamiento de Enterprise Managed Users, el IdP usa SCIM para aprovisionar las cuentas de usuario en GitHub.com y añadir las cuentas a la empresa. Si asignas un grupo a la aplicación, tu IdP aprovisionará nuevos cuentas de usuario administradas para todos los miembros de este.

Si usa un IdP de asociado, puedes simplificar la configuración del aprovisionamiento de SCIM mediante la aplicación del IdP de asociado. Si no usas un IdP de asociado para el aprovisionamiento, puedes implementar SCIM mediante llamadas a la API de REST de GitHub para SCIM, que está en versión beta y sujeta a cambios. Para obtener más información, vea «Acerca de Enterprise Managed Users».

SCIM administra el ciclo de vida de las cuentas de usuario de tu empresa. Al actualizar la información asociada a la identidad de un usuario en el IdP, el IdP actualizará la cuenta del usuario en GitHub.com. Cuando desasignes el usuario de la aplicación IdP de Enterprise Managed Users o cuando desactives una cuenta de usuario en tu IdP, el IdP se pondrá en contacto con GitHub para invalidar las sesiones e inhabilitar la cuenta del miembro. La información de la cuenta inhabilitada se mantiene y su nombre de usuario se cambia por un hash del nombre de usuario original con el código corto anexo. Si reasignas a un usuario a la aplicación IdP de Enterprise Managed Users o reactivas su cuenta en tu IdP, cuenta de usuario administrada en GitHub se reactivará y el nombre de usuario se restablecerá.

Para configurar la pertenencia a equipos y organizaciones, el acceso al repositorio y los permisos en GitHub Enterprise Cloud, puede usar grupos en el IdP. Para obtener más información, vea «Managing team memberships with identity provider groups».

Requisitos previos

  • Antes de configurar el aprovisionamiento, debes configurar la autenticación. Para obtener más información, consulta «Configuración de la autenticación para usuarios administrados por Enterprise».

  • Antes de configurar el aprovisionamiento, asegúrate de que comprendes los requisitos de integración y el nivel de compatibilidad de tu IdP. Para obtener más información, consulta «Acerca de Enterprise Managed Users».

  • Después de la configuración inicial de la autenticación y el aprovisionamiento, GitHub no recomienda la migración a otra plataforma para la autenticación o el aprovisionamiento. Si tienes que migrar una empresa existente a otra plataforma para la autenticación o el aprovisionamiento, ponte en contacto con tu administrador de cuentas en Equipo de ventas de GitHub.

Creación de un personal access token

Para configurar el aprovisionamiento de empresa con usuarios administrados, necesita un personal access token (classic) con el ámbito admin:enterprise que pertenezca al usuario de configuración.

Advertencia: Si el token expira o lo crea un usuario aprovisionado, el aprovisionamiento de SCIM podría dejar de funcionar inesperadamente. Asegúrate de crear el token mientras tienes iniciada la sesión como usuario de configuración y que el vencimiento del token esté configurado como "Sin vencimiento".

  1. Inicie sesión en GitHub.com como el usuario de configuración de la nueva empresa con el nombre de usuario @CÓDIGO_BREVE_admin.

  2. En la esquina superior derecha de cualquier página, haga clic en la foto del perfil y, luego, en Settings (Configuración).

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  3. En la barra lateral izquierda, haz clic en Configuración del desarrollador.

  4. En la barra lateral de la izquierda, haz clic en Personal access token .

  5. Haga clic en Generate new token (Generar nuevo token).

  6. En Nota, asigne un nombre descriptivo al token.

  7. Selecciona el menú desplegable Expiración y, después, haz clic en Sin expiración.

  8. Seleccione el ámbito admin:enterprise. Captura de pantalla de una lista de ámbitos con casillas. El ámbito "admin:enterprise", acompañado del texto "Control total de las empresas", está seleccionado y resaltado con un contorno naranja.

  9. Haga clic en Generar token.

  10. Para copiar el token al portapapeles, haz clic en .

    Captura de pantalla de la página "Personal access tokens". Junto a un token borroso, se resalta en naranja un icono de dos cuadrados superpuestos.

  11. Para guardar el token para utilizarlo posteriormente, almacénalo de forma segura en un administrador de contraseñas.

Configurar el aprovisionamiento para Enterprise Managed Users

Después de crear tu personal access token y almacenarlo de forma segura, puedes configurar el aprovisionamiento en tu IdP. Las instrucciones que debes seguir varían dependiendo de si usas un IdP de asociado para el aprovisionamiento.

Configuración del aprovisionamiento si usas un IdP de asociado

Para usar la aplicación de IdP de asociado para la autenticación y el aprovisionamiento, revisa las instrucciones del asociado para configurar el aprovisionamiento en los vínculos de la tabla siguiente.

IdPMétodo de inicio de sesión únicoMás información
Azure ADOIDCTutorial: Configuración de un usuario administrado de GitHub Enterprise (OIDC) para el aprovisionamiento automático de usuarios en la documentación de Azure AD
Azure ADSAMLTutorial: Configuración de un usuario administrado de GitHub Enterprise para el aprovisionamiento automático de usuarios en la documentación de Azure AD
OktaSAML"Configurar los ajustes de aprovisionamiento de SCIM con Okta"
PingFederateSAMLConfiguración de PingFederate para el aprovisionamiento y el inicio de sesión único y Administración de canales en la documentación de PingFederate

Como alternativa, si configuraste la autenticación en un IdP de asociado, pero quieres aprovisionar usuarios de otro IdP, puedes hacer llamadas a la API de REST de GitHub para SCIM.

Configuración del aprovisionamiento si no usas un IdP de asociado

Si no usas un IdP de asociado, puedes integrarte con la API de REST de GitHub para SCIM. Las API está en versión beta y está sujeta a cambios. Para obtener más información, vea «Aprovisionamiento de usuarios con SCIM mediante la API de REST».

Asignación de usuarios y grupos

Después de haber configurado el SSO de SAML y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub.com asignando usuarios o grupos a la aplicación de GitHub Enterprise Managed User.

Cuando asignas usuarios, puedes utilizar el atributo de "Roles" en la aplicación de GitHub Enterprise Managed User para configurar el rol de un usuario en tu empresa en GitHub Enterprise Cloud. Para más información sobre los roles disponibles para asignar, consulta "Roles en una empresa".

Azure AD no admite el aprovisionamiento de grupos anidados. Para más información, consulte Funcionamiento del aprovisionamiento de aplicaciones en Azure Active Directory en Microsoft Docs.