Skip to main content

Sobre la compatibilidad con la Directiva de acceso condicional de IdP

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub puede validar el acceso a la empresa y sus recursos mediante la Directiva de acceso condicional (CAP) del IdP.

¿Quién puede utilizar esta característica?

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Nota: La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Microsoft Entra ID (anteriormente Azure AD).

Sobre la compatibilidad con las Directivas de acceso condicional

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones con GitHub, cuando los miembros cambian las direcciones IP y para cada autenticación con personal access token o una clave SSH asociada a una cuenta de usuario.

GitHub Enterprise Cloud admite CAP para cualquier empresa con usuarios administrados donde está habilitado el inicio de sesión único de OIDC. GitHub Enterprise Cloud aplica las condiciones de la IP del IdP, pero no las condiciones de cumplimiento del dispositivo. Los propietarios de la empresa pueden optar por usar esta configuración de lista de direcciones IP permitidas en lugar de la lista de direcciones permitidas de GitHub Enterprise Cloud, y pueden hacerlo una vez configurado el inicio de sesión único de OIDC. Para obtener más información sobre las listas de direcciones IP permitidas, consulta "Restricción del tráfico de red a la empresa con una lista de direcciones IP permitidas" y "Administrar las direcciones IP permitidas en tu organización".

Para obtener más información sobre el uso de OIDC con Enterprise Managed Users, consulta "Configuración de OIDC para usuarios administrados de Enterprise" y "Migración de SAML a OIDC".

Acerca de CAP e implementación de claves

Una clave de implementación es una clave SSH que concede acceso a un repositorio individual. Dado que las claves de implementación no realizan operaciones en nombre de un usuario, las condiciones de IP de CAP no se aplican a las solicitudes autenticadas con una clave de implementación. Para obtener más información, vea «Administrar las llaves de despliegue».

Consideraciones sobre integraciones y automatizaciones

GitHub envía la dirección IP de origen al IdP para su validación en el CAP. Para asegurar que las acciones y las aplicaciones no están bloqueadas por el CAP del IdP, habrá que realizar cambios en la configuración.

Advertencia: Si usas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Entra ID; de lo contrario, es posible que se bloquee la migración.

GitHub Actions

Es probable que las acciones que usen un personal access token estén bloqueadas por el CAP del proveedor de identidades. Se recomienda que los personal access token se creen mediante una cuenta de servicio que, después, esté exenta de los controles IP en el CAP del proveedor de identidades.

Si no puedes usar una cuenta de servicio, otra opción para desbloquear acciones que usan personal access token es permitir los intervalos IP usados por GitHub Actions. Para obtener más información, vea «Acerca de las direcciones de IP de GitHub».

GitHub Codespaces

Es posible que GitHub Codespaces no estén disponibles si la empresa usa el inicio de sesión único de OIDC con CAP para restringir el acceso por direcciones IP. Esto se debe a que los codespaces se crean con direcciones IP dinámicas que es probable que el CAP del IdP bloquee. Otras directivas CAP también pueden afectar a la disponibilidad de GitHub Codespaces, en función de la configuración específica de la directiva.

GitHub Apps y OAuth apps

Cuando las GitHub Apps y las OAuth apps inician la sesión de un usuario realizan solicitudes en su nombre, GitHub envía la dirección IP del servidor de la aplicación al IdP para su validación. Si el CAP del IDP no valida la dirección IP del servidor de la aplicación, se producirá un error en la solicitud.

Cuando las GitHub Apps llaman a las API de GitHub actuando como las propias aplicaciones o como una instalación, estas llamadas no se realizan en nombre de un usuario. Dado que la directiva de acceso condicional (CAP) del IdP ejecuta y aplica directivas a las cuentas de usuario, estas solicitudes de aplicación no se pueden validar con la CAP y siempre se permiten. Para obtener más información sobre la autenticación de las GitHub Apps como las propias aplicaciones o como instalación, consulta "Acerca de la autenticación con una aplicación de GitHub".

Puedes contactar con los propietarios de las aplicaciones que quiere usar, pedir sus intervalos IP y configurar el CAP del IdP para permitir el acceso desde esos intervalos IP. Si no puedes contactar con los propietarios, puedes revisar los registros de inicio de sesión de IdP para revisar las direcciones IP que se ven en las solicitudes y, después, permitir enumerar esas direcciones.

Si no quieres permitir todos los intervalos IP para todas las aplicaciones de la empresa, también puedes excluir los GitHub Apps y los OAuth apps autorizados de la lista de permitidos del proveedor de identidades. Si lo haces, estas aplicaciones seguirán funcionando independientemente de la dirección IP de origen. Para obtener más información, vea «Requerir las políticas para los ajustes de seguridad en tu empresa».

Información adicional