Acerca de Enterprise Managed Users
Con Enterprise Managed Users, administra el ciclo de vida y la autenticación de los usuarios en GitHub.com desde un sistema de administración de identidades externo o IdP. Puedes proporcionar acceso a GitHub Enterprise Cloud a las personas que tienen identidades existentes y pertenencia a grupos en el IdP. El IdP aprovisiona nuevas cuentas de usuario con acceso a la empresa en GitHub.com. Tú controlas los nombres de usuario, los datos de perfil, la pertenencia del equipo y el acceso de las cuentas de usuario al repositorio desde tu IdP.
En el IdP, puedes asignar a cada cuenta de usuario administrada un rol, como miembro, propietario de la empresa o colaborador invitado. Cuentas de usuario administradas puede ser propietario de organizaciones dentro de tu empresa y puede agregar a otros cuentas de usuario administradas a las organizaciones y equipos dentro de ella. Para obtener más información, vea «Roles en una empresa» y «Acerca de las organizaciones».
Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones del usuario con GitHub, cuando los miembros cambian las direcciones IP y cada vez que se usa personal access token o una clave SSH. Para más información, consulta "About support for your IdP's Conditional Access Policy".
Puedes conceder acceso a los cuentas de usuario administradas a repositorios de la empresa, así como la capacidad de contribuir en ellos, pero los cuentas de usuario administradas no pueden crear contenido público ni colaborar con otros usuarios, organizaciones y empresas del resto de GitHub. Para obtener más información, consulta "Habilidades y restricciones de los cuentas de usuario administradas".
El nombre de usuario de los cuentas de usuario administradas de tu empresa y su información de perfil, como los nombres y direcciones de correo electrónico que se muestran, se configuran mediante tu IdP y no pueden cambiarlos los propios usuarios. Para más información, vea "Nombres de usuario e información de perfil".
Los propietarios de las empresas pueden auditar todas las acciones de los cuentas de usuario administradas en GitHub. Para obtener más información, vea «Eventos de registro de auditoría de la empresa».
Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para obtener más información sobre cómo crear esta cuenta, consulta "Introducción a Enterprise Managed Users".
Nota: Hay varias opciones para la administración de identidades y acceso con GitHub Enterprise Cloud, y la solución de Enterprise Managed Users no es la mejor para todos los clientes. Para obtener más información que te ayude a decidir si la opción de Enterprise Managed Users es adecuada para tu empresa, consulta "Identificación del mejor método de autenticación para la empresa" y "Capacidades y restricciones de las cuentas de usuario administradas".
Sobre la autenticación y el aprovisionamiento de usuarios
Con Enterprise Managed Users, el IdP crea y actualiza cuentas de usuario en GitHub.com. Los usuarios deben autenticarse en el IdP para acceder a los recursos de la empresa en GitHub.com. GitHub Enterprise Cloud mantiene un registro de la identidad externa en el IdP que corresponde a la cuenta de usuario.
GitHub se asocia con algunos desarrolladores de sistemas de administración de identidades para proporcionar una integración de tipo "paved-path" con Enterprise Managed Users. Estos IDP proporcionan principalmente autenticación mediante SAML. Azure AD también ofrece OIDC para la autenticación. Las aplicaciones IdP aprovisionan usuarios con System for Cross-domain Identity Management (SCIM).
| IdP de asociado | SAML | OIDC | SCIM |
|---|---|---|---|
| Azure Active Directory | |||
| Okta | |||
| PingFederate |
Otros IdP deben cumplir la especificación SAML 2.0 para la autenticación. Puedes configurar el aprovisionamiento con IdP que cumplen las instrucciones de integración de GitHub. El IdP debe cumplir la especificación SCIM 2.0 y comunicarse con la API de REST de GitHub. Por ejemplo, el IdP podría ser un sistema de administración de identidades comercial que GitHub no ha probado o un sistema de identidad personalizado que compila la compañía.
Nota: La compatibilidad con el aprovisionamiento de usuarios con el esquema SCIM público de GitHub está en versión beta pública y sujeta a cambios. GitHub recomienda probar el aprovisionamiento en un entorno aislado de los datos de producción en tu IdP y GitHub.com.
Consulta los siguientes artículos para más información sobre la autenticación y el aprovisionamiento:
- "Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise"
- "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales"
Algunos clientes han notificado usar la aplicación de un IdP de asociado solo ha funcionado correctamente para la autenticación, en combinación con otro IdP para el aprovisionamiento. Por ejemplo, una combinación de Okta para la autenticación y una solución SCIM personalizada para el aprovisionamiento, o una combinación de Keycloak para la autenticación y SailPoint para el aprovisionamiento. GitHub no ha probado todos los IdP y tampoco prueba los IdP de asociado en combinación con otros IdP.
Para obtener más información esquema sobre el aprovisionamiento de usuarios del IdP mediante la versión beta pública del esquema SCIM de GitHub, consulta "Aprovisionamiento de usuarios con SCIM mediante la API de REST" y la documentación, el equipo de soporte técnico u otros recursos de IdP.
Después de la configuración inicial de la autenticación y el aprovisionamiento, GitHub no recomienda la migración a otra plataforma para la autenticación o el aprovisionamiento. Si tienes que migrar una empresa existente a otra plataforma para la autenticación o el aprovisionamiento, ponte en contacto con tu administrador de cuentas en Equipo de ventas de GitHub.
Introducción a Enterprise Managed Users
Para que los desarrolladores puedan usar la GitHub Enterprise Cloud con Enterprise Managed Users, debes llevar a cabo una serie de pasos de configuración.
-
Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para probar Enterprise Managed Users o para analizar las opciones para migrar desde su empresa existente, póngase en contacto con el equipo de ventas de GitHub.
La persona de contacto en el equipo de ventas de GitHub trabajará contigo para crear tu empresa con usuarios administrados nueva. Necesitarás proporcionar la dirección de correo electrónico del usuario que configurará tu empresa y un código corto que se utilizará como el sufijo de los nombres de usuario de los miembros. El código corto debe ser único para tu empresa, debe ser una secuencia de tres a ocho caracteres alfanuméricos que no contenga caracteres especiales. Para más información, vea "Nombres de usuario e información de perfil".
-
Después de crear tu empresa, recibirás un mensaje de correo electrónico de GitHub, el cual te invitará a elegir una contraseña para tu usuario de configuración de la empresa, quien será el primer propietario de esta. Utiliza una ventana de búsqueda privada o en modo incógnito al configurar la contraseña y guardar los códigos de recuperación para el usuario. El usuario de configuración solo se usa para configurar el inicio de sesión único y la integración de aprovisionamiento de SCIM para la empresa. Ya no podrás acceder a la configuración de la empresa o de la organización una vez configurado el inicio de sesión único, a menos que se use un código de recuperación de SSO.
El nombre de usuario del usuario de configuración es el código corto de la empresa con el sufijo
_admin, por ejemplo,fabrikam_admin. Si necesitas iniciar sesión como usuario de configuración más adelante, puede escribir el nombre de usuario y la contraseña en cualquier página de inicio de sesión. También se proporciona un vínculo a la página de inicio de sesión en la página de SSO, para mayor comodidad.Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub.
-
Después de iniciar sesión como usuario de configuración, se recomienda habilitar la autenticación en dos fases. La contraseña del usuario de configuración y las credenciales en dos fases también se pueden usar para entrar en el modo sudo, que es necesario para realizar acciones confidenciales. Para obtener más información, vea «Configurar la autenticación de dos factores» y «Modo sudo».
-
Para empezar, configura cómo se autenticarán los miembros. Si usas Azure Active Directory como IdP, puedes elegir entre OpenID Connect (OIDC) y el Lenguaje de marcado de aserción de seguridad (SAML). Se recomienda OIDC, que incluye compatibilidad con directivas de acceso condicional (CAP). Si necesitas varias empresas con cuentas de usuario administradas aprovisionados desde un inquilino, debes usar SAML para cada empresa después de la primera. Si vas a usar otro IdP, como Okta o PingFederate, puedes utilizar SAML para autenticar a los miembros.
Para empezar, lea la guía del método de autenticación elegido.
-
Una vez que hayas configurado el inicio de sesión único, puedes configurar el aprovisionamiento de SCIM. SCIM es cómo creará el IdP cuentas de usuario administradas en GitHub.com. Para obtener más información sobre la configuración del aprovisionamiento SCIM, consulta "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".
-
Una vez configurada la autenticación y el aprovisionamiento, puede empezar a administrar la pertenencia a la organización para los datos cuentas de usuario administradas mediante la sincronización de grupos de IdP con equipos. Para obtener más información, vea «Managing team memberships with identity provider groups».
Si los miembros de tu empresa deben usar una estación de trabajo para contribuir a los repositorios en GitHub.com tanto de un cuenta de usuario administrada como de una cuenta personal, puedes proporcionar compatibilidad. Para obtener más información, consulta "Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com".
Acerca de la administración de la pertenencia a una organización
Las pertenencias a una organización se pueden administrar manualmente o bien las puedes actualizar automáticamente mediante grupos de IdP. Para administrar las pertenencias a la organización mediante el IdP, los miembros deben agregarse a un grupo de IdP y este grupo debe estar conectado a un equipo en la organización. Para obtener más información sobre la administración automática de la organización y las pertenencias a equipos, consulta "Managing team memberships with identity provider groups".
La forma en que se agrega un miembro a una organización propiedad de tu empresa (mediante grupos de IdP o manualmente) determina cómo se deben quitar de una organización.
- Si un miembro se agregó a una organización manualmente, debes quitarlo manualmente. La anulación de la asignación de la aplicación de GitHub Enterprise Managed User en tu IdP suspenderá al usuario pero no lo eliminará de la organización.
- Si un usuario se convirtió en miembro de una organización porque se agregó a grupos de IdP asignados a uno o varios equipos de la organización, quitarlo de todos los grupos de IdP asignados asociados a la organización hará que se quite de la organización.
Para descubrir cómo se agregó un miembro a una organización, puedes filtrar la lista de miembros por tipo. Para obtener más información, vea «Visualizar a las personas en tu empresa».
Autenticación con un cuenta de usuario administrada
Los Cuentas de usuario administradas se deben autenticar mediante su IdP. Para autenticarse, un cuenta de usuario administrada puede visitar su portal de aplicación IdP o utilizar una página de inicio de sesión en el GitHub.com.
De manera predeterminada, cuando un usuario no autenticado intenta acceder a una empresa que usa Enterprise Managed Users, GitHub muestra un error 404. Opcionalmente, un propietario de la empresa puede habilitar redirecciones automáticas al inicio de sesión único (SSO) en lugar de al error 404. Para obtener más información, vea «Requerir las políticas para los ajustes de seguridad en tu empresa».
Si un error de configuración de SAML o un problema con el proveedor de identidades (IdP) le impide usar el inicio de sesión único de SAML, puede usar un código de recuperación para acceder a la empresa. Para más información, consulta "Administración de códigos de recuperación para la empresa".
Autenticarse como un cuenta de usuario administrada mediante el GitHub.com
- Vaya a https://github.com/login.
- En la caja de texto de "Nombre de usuario o dirección de correo electrónico", ingresa tu nombre de usuario incluyendo el guion bajo y código corto. Si el formulario reconoce el nombre de usuario, se actualizará. No necesitas ingresar tu contraseña en este formato.
- Para continuar con el IdP, haz clic enSign in with your identity provider (Iniciar sesión con el proveedor de identidades).
Nombres de usuario e información de perfil
GitHub Enterprise Cloud crea automáticamente un nombre de usuario para cada persona mediante la normalización de un identificador proporcionado por el IdP. Para obtener más información, vea «Username considerations for external authentication».
Puede producirse un conflicto al aprovisionar usuarios si las partes únicas del identificador proporcionado por el IdP se quitan durante la normalización. Si no puedes aprovisionar un usuario debido a un conflicto con el nombre de usuario, debes modificar el nombre de usuario proporcionado por el IdP. Para obtener más información, vea «Username considerations for external authentication».
Nota: Dado que GitHub agrega un carácter de subrayado y un código corto al identificador normalizado proporcionado por el IdP al crear cada nombre de usuario, solo se pueden producir conflictos dentro de cada empresa con usuarios administrados. Cuentas de usuario administradas puede compartir identificadores de IdP o direcciones de correo electrónico con otras cuentas de usuario en GitHub.com que están fuera de la empresa.
El nombre de perfil y dirección de correo electrónico de un cuenta de usuario administrada también lo proporciona el IdP. Los Cuentas de usuario administradas no pueden cambiar su nombre de perfil ni la dirección de correo electrónico en GitHub, y el IdP solo puede proporcionar una dirección de correo electrónico.
Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com
Es posible que personas del equipo necesiten contribuir a los recursos de GitHub.com que están fuera de empresa con usuarios administrados. Por ejemplo, puede que quieras mantener una empresa independiente para los proyectos de código abierto de la empresa. Dado que un cuenta de usuario administrada no puede contribuir a los recursos públicos, los usuarios deberán mantener una cuenta personal independiente para este trabajo.
Las personas que deben contribuir desde dos cuentas de usuario en GitHub.com con una estación de trabajo pueden configurar Git para simplificar el proceso. Para obtener más información, vea «Administración de varias cuentas».
Si hay personas en el equipo que necesitan cambiar periódicamente entre cuentas en GitHub.com, como sus cuentas personales y uno o más cuentas de usuario administradas, es posible iniciar sesión en varias cuentas y cambiar rápidamente entre ellas sin tener que volver a autenticarse siempre. Para obtener más información, vea «Switching between accounts».