Acerca de Enterprise Managed Users

En este artículo

Puedes administrar centralmente la identidad y el acceso para los miembros de tu empresa en GitHub desde tu proveedor de identidad.

Acerca de Enterprise Managed Users

Con Enterprise Managed Users, puedes controlar las cuentas de usuario de los miembros de tu empresa a través de tu proveedor de identidad (IdP). Los usuarios que se asignen a la aplicación de GitHub Enterprise Managed User en tu IdP se aprovisionarán como cuentas de usuario nuevas en GitHub y se agregarán a tu empresa. Tú controlas los nombres de usuario, los datos de perfil, la pertenencia del equipo y el acceso de las cuentas de usuario al repositorio desde tu IdP.

En tu IdP, puedes dar a cada cuenta de usuario administrada el rol de usuario, propietario de la empresa o gerente de facturación. Cuentas de usuario administradas puede ser propietario de organizaciones dentro de tu empresa y puede agregar a otros cuentas de usuario administradas a las organizaciones y equipos dentro de ella. Para obtener más información, vea «Roles en una empresa» y «Acerca de las organizaciones».

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones del usuario con GitHub, cuando los miembros cambian las direcciones IP y cada vez que se usa personal access token o una clave SSH. Para más información, consulta "Sobre la compatibilidad con la Directiva de acceso condicional de IdP".

Puedes conceder acceso a los cuentas de usuario administradas a repositorios de la empresa, así como la capacidad de contribuir en ellos, pero los cuentas de usuario administradas no pueden crear contenido público ni colaborar con otros usuarios, organizaciones y empresas del resto de GitHub. Para obtener más información, consulta "Habilidades y restricciones de los cuentas de usuario administradas".

El nombre de usuario de los cuentas de usuario administradas de tu empresa y su información de perfil, como los nombres y direcciones de correo electrónico que se muestran, se configuran mediante tu IdP y no pueden cambiarlos los propios usuarios. Para más información, vea "Nombres de usuario e información de perfil".

Los propietarios de las empresas pueden auditar todas las acciones de los cuentas de usuario administradas en GitHub. Para obtener más información, vea «Eventos de registro de auditoría de la empresa».

Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para obtener más información sobre cómo crear esta cuenta, consulta "Introducción a Enterprise Managed Users".

Nota: Hay varias opciones para la administración de identidades y acceso con GitHub Enterprise Cloud, y la solución de Enterprise Managed Users no es la mejor para todos los clientes. Para obtener más información que te ayude a decidir si la opción de Enterprise Managed Users es adecuada para tu empresa, consulta "Identificación del mejor método de autenticación para la empresa".

Acerca de la administración de la pertenencia a una organización

Las pertenencias a una organización se pueden administrar manualmente o bien las puedes actualizar automáticamente mediante grupos de IdP. Para administrar las pertenencias a la organización mediante el IdP, los miembros deben agregarse a un grupo de IdP y este grupo debe estar conectado a un equipo en la organización. Para obtener más información sobre la administración automática de la organización y las pertenencias a equipos, consulta "Administrar membrecías de equipo con grupos de proveedor de identidad".

La forma en que se agrega un miembro a una organización propiedad de tu empresa (mediante grupos de IdP o manualmente) determina cómo se deben quitar de una organización.

  • Si un miembro se agregó a una organización manualmente, debes quitarlo manualmente. La anulación de la asignación de la aplicación de GitHub Enterprise Managed User en tu IdP suspenderá al usuario pero no lo eliminará de la organización.
  • Si un usuario se convirtió en miembro de una organización porque se agregó a grupos de IdP asignados a uno o varios equipos de la organización, quitarlo de todos los grupos de IdP asignados asociados a la organización hará que se quite de la organización.

Para descubrir cómo se agregó un miembro a una organización, puedes filtrar la lista de miembros por tipo. Para obtener más información, vea «Visualizar a las personas en tu empresa».

Soporte del proveedor de identidad

Proveedor de identidadesSAMLOIDC
Azure Active Directory
Okta
PingFederate

Nota: Enterprise Managed Users requiere el uso de un IdP para SAML y SCIM. Confirma que has comprado una versión del IdP que incluye SCIM.

Habilidades y restricciones de los cuentas de usuario administradas

Los Cuentas de usuario administradas solo pueden colaborar en los repositorios privados e internos en su empresa y con los repositorios que pertenecen a su cuenta de usuario. Los Cuentas de usuario administradas tienen acceso de solo lectura al resto de la comunidad de GitHub. Estas restricciones de visibilidad y acceso para los usuarios, así como el contenido, aplican a todas las solicitudes, incluyendo a las de la API.

  • Cuentas de usuario administradas se autentican solo con el proveedor de identidades y no tienen métodos de autenticación de dos fases o contraseña almacenados en GitHub. Como resultado, no ven el aviso de sudo al realizar acciones confidenciales. Para obtener más información, vea «Modo sudo».
  • No se puede invitar a Cuentas de usuario administradas para que se unan a organizaciones o repositorios de fuera de la empresa, ni se puede invitar a cuentas de usuario administradas a otras empresas.
  • Solo otros miembros de la empresa pueden ver a los Cuentas de usuario administradas y el contenido que estos crean.
  • Otros usuarios de GitHub no pueden ver, mencionar o invitar a cuenta de usuario administrada para colaborar.
  • Los Cuentas de usuario administradas pueden ver todos los repositorios públicos en GitHub.com, pero no pueden interactuar con repositorios fuera de la empresa de ninguna de las siguientes maneras:
    • Inserción de código en los repositorios
    • Creación de incidencias o solicitudes de incorporación de cambios en los repositorios
    • Creación de debates o comentarios en debates en los repositorios
    • Adición de comentarios a incidencias o solicitudes de incorporación de cambios, o adición de reacciones a los comentarios
    • Marcación con estrellas, inspección o bifurcación de los repositorios
  • Los Cuentas de usuario administradas no pueden crear gists o comentar en ellos.
  • Los Cuentas de usuario administradas no pueden seguir a usuarios que estén fuera de la empresa.
  • Los Cuentas de usuario administradas no pueden crear flujos de trabajo de inicio para GitHub Actions.
  • Los Cuentas de usuario administradas no pueden instalar GitHub Apps en sus cuentas de usuario.
  • Cuentas de usuario administradas puede instalar GitHub App en un repositorio si la aplicación no solicita permisos de organización y si el cuenta de usuario administrada tiene acceso de administrador a los repositorios a los que concede acceso a la aplicación.
  • Cuentas de usuario administradas puede instalar GitHub App en una organización si cuenta de usuario administrada es propietario de la organización.
  • Puedes elegir si los cuentas de usuario administradas pueden crear repositorios propiedad de sus cuentas de usuario. Para obtener más información, vea «Requerir políticas de administración de repositorios en tu empresa».
  • Si permites que cuentas de usuario administradas creen repositorios propiedad de sus cuentas de usuario, solo pueden poseer repositorios privados y únicamente pueden invitar a otros miembros de la empresa a colaborar en los repositorios propiedad del usuario.
  • Los Cuentas de usuario administradas no pueden bifurcar repositorios desde fuera de la empresa. Cuentas de usuario administradas pueden bifurcar repositorios privados o internos que pertenezcan a organizaciones en la empresa hacia su espacio de nombres de la cuenta de usuario u otras organizaciones que pertenezcan a la empresa, tal como especifica en la directiva de empresa.
  • Solo se pueden crear repositorios internos y privados en las organizaciones que pertenezcan a una empresa con usuarios administrados, en función de la configuración de visibilidad del repositorio o la empresa.
  • Los colaboradores externos no son compatibles con los Enterprise Managed Users.
  • Los Cuentas de usuario administradas están limitados en su uso de GitHub Pages. Para obtener más información, vea «Acerca de GitHub Pages».
  • Cuentas de usuario administradas solo puede crear y usar codespaces que sean propiedad de su organización o empresa y sea esta quien los pague. Esto significa que cuentas de usuario administradas:
    • Puedes crear codespaces para repositorios propiedad de tu organización o bifurcaciones de estos repositorios, siempre que la organización pueda pagar los GitHub Codespaces. Para obtener más información, vea «Selección de quién posee y paga los codespaces de una organización».
    • No se pueden crear codespaces para tus repositorios personales, excepto bifurcaciones de repositorios propiedad de tu organización; para cualquier otro repositorio fuera de la organización; o desde las plantillas públicas de GitHub para GitHub Codespaces.
    • No se puede publicar un codespace creado a partir de una plantilla en un nuevo repositorio.

Introducción a Enterprise Managed Users

Para que los desarrolladores puedan usar la GitHub Enterprise Cloud con Enterprise Managed Users, debes llevar a cabo una serie de pasos de configuración.

  1. Para utilizar los Enterprise Managed Users, necesitas un tipo separado de cuenta empresarial con Enterprise Managed Users habilitados. Para probar Enterprise Managed Users o para analizar las opciones para migrar desde su empresa existente, póngase en contacto con el equipo de ventas de GitHub.

    La persona de contacto en el equipo de ventas de GitHub trabajará contigo para crear tu empresa con usuarios administrados nueva. Necesitarás proporcionar la dirección de correo electrónico del usuario que configurará tu empresa y un código corto que se utilizará como el sufijo de los nombres de usuario de los miembros. El código corto debe ser único para tu empresa, debe ser una secuencia de tres a ocho caracteres alfanuméricos que no contenga caracteres especiales. Para más información, vea "Nombres de usuario e información de perfil".

  2. Después de crear tu empresa, recibirás un mensaje de correo electrónico de GitHub, el cual te invitará a elegir una contraseña para tu usuario de configuración de la empresa, quien será el primer propietario de esta. Utiliza una ventana de búsqueda privada o en modo incógnito al configurar la contraseña y guardar los códigos de recuperación para el usuario. El usuario de configuración solo se usa para configurar el inicio de sesión único y la integración de aprovisionamiento de SCIM para la empresa. Ya no podrás acceder a la configuración de la empresa o de la organización una vez configurado el inicio de sesión único, a menos que se use un código de recuperación de SSO.

    El nombre de usuario del usuario de configuración es el código corto de la empresa con el sufijo _admin, por ejemplo, fabrikam_admin. Si necesitas iniciar sesión como usuario de configuración más adelante, puede escribir el nombre de usuario y la contraseña en cualquier página de inicio de sesión. También se proporciona un vínculo a la página de inicio de sesión en la página de SSO, para mayor comodidad.

    Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub.

  3. Después de iniciar sesión como usuario de configuración, se recomienda habilitar la autenticación en dos fases. La contraseña del usuario de configuración y las credenciales en dos fases también se pueden usar para entrar en el modo sudo, que es necesario para realizar acciones confidenciales. Para obtener más información, vea «Configurar la autenticación de dos factores» y «Modo sudo».

  4. Para empezar, configura cómo se autenticarán los miembros. Si usas Azure Active Directory como proveedor de identidades, puedes elegir entre OpenID Connect (OIDC) y el Lenguaje de marcado de aserción de seguridad (SAML). Se recomienda OIDC, que incluye compatibilidad con directivas de acceso condicional (CAP). Si necesitas varias empresas con cuentas de usuario administradas aprovisionados desde un inquilino, debes usar SAML para cada empresa después de la primera. Si vas a usar otro proveedor de identidades, como Okta o PingFederate, puedes utilizar SAML para autenticar a los miembros.

    Para empezar, lea la guía del método de autenticación elegido.

  5. Una vez que hayas configurado el inicio de sesión único, puedes configurar el aprovisionamiento de SCIM. SCIM es cómo creará el proveedor de identidades cuentas de usuario administradas en los datos GitHub.com. Para obtener más información sobre la configuración del aprovisionamiento SCIM, consulta "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".

  6. Una vez configurada la autenticación y el aprovisionamiento, puede empezar a administrar la pertenencia a la organización para los datos cuentas de usuario administradas mediante la sincronización de grupos de IdP con equipos. Para obtener más información, vea «Administrar membrecías de equipo con grupos de proveedor de identidad».

Si los miembros de tu empresa deben usar una estación de trabajo para contribuir a los repositorios en GitHub.com tanto de un cuenta de usuario administrada como de una cuenta personal, puedes proporcionar compatibilidad. Para obtener más información, consulta "Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com".

Autenticación como cuenta de usuario administrada

Los Cuentas de usuario administradas se deben autenticar mediante su proveedor de identidad. Para autenticarse, un cuenta de usuario administrada puede visitar su portal de aplicación IdP o utilizar una página de inicio de sesión en el GitHub.com.

De manera predeterminada, cuando un usuario no autenticado intenta acceder a una empresa que usa Enterprise Managed Users, GitHub muestra un error 404. Opcionalmente, un propietario de la empresa puede habilitar redirecciones automáticas al inicio de sesión único (SSO) en lugar de al error 404. Para obtener más información, vea «Requerir las políticas para los ajustes de seguridad en tu empresa».

Si un error de configuración de SAML o un problema con el proveedor de identidades (IdP) le impide usar el inicio de sesión único de SAML, puede usar un código de recuperación para acceder a la empresa. Para más información, consulta "Administración de códigos de recuperación para la empresa".

Autenticarse como un cuenta de usuario administrada mediante el GitHub.com

  1. Vaya a https://github.com/login.
  2. En la caja de texto de "Nombre de usuario o dirección de correo electrónico", ingresa tu nombre de usuario incluyendo el guion bajo y código corto. Si el formulario reconoce el nombre de usuario, se actualizará. No necesitas ingresar tu contraseña en este formato.
  3. Para continuar con el proveedor de identidades, haga clic enSign in with your identity provider (Iniciar sesión con el proveedor de identidades).

Nombres de usuario e información de perfil

GitHub Enterprise Cloud crea automáticamente un nombre de usuario para cada persona mediante la normalización de un identificador proporcionado por el IdP. Para obtener más información, vea «Consideraciones sobre el nombre de usuario para la autenticación externa».

Puede producirse un conflicto al aprovisionar usuarios si las partes únicas del identificador proporcionado por el IdP se quitan durante la normalización. Si no puedes aprovisionar un usuario debido a un conflicto con el nombre de usuario, debes modificar el nombre de usuario proporcionado por el IdP. Para obtener más información, vea «Consideraciones sobre el nombre de usuario para la autenticación externa».

Nota: Dado que GitHub agrega un carácter de subrayado y un código corto al identificador normalizado proporcionado por el IdP al crear cada nombre de usuario, solo se pueden producir conflictos dentro de cada empresa con usuarios administrados. Cuentas de usuario administradas puede compartir identificadores de IdP o direcciones de correo electrónico con otras cuentas de usuario en GitHub.com que están fuera de la empresa.

El nombre de perfil y dirección de correo electrónico de un cuenta de usuario administrada también lo proporciona el IdP. Los Cuentas de usuario administradas no pueden cambiar su nombre de perfil ni la dirección de correo electrónico en GitHub, y el IdP solo puede proporcionar una dirección de correo electrónico.

Compatibilidad con desarrolladores con varias cuentas de usuario en GitHub.com

Es posible que personas del equipo necesiten contribuir a los recursos de GitHub.com que están fuera de empresa con usuarios administrados. Por ejemplo, puede que quieras mantener una empresa independiente para los proyectos de código abierto de la empresa. Dado que un cuenta de usuario administrada no puede contribuir a los recursos públicos, los usuarios deberán mantener una cuenta personal independiente para este trabajo.

Las personas que deben contribuir desde dos cuentas de usuario en GitHub.com con una estación de trabajo pueden configurar Git para simplificar el proceso. Para obtener más información, vea «Administración de varias cuentas».