Skip to main content

Configuración de OIDC para usuarios administrados de Enterprise

Aprenda a administrar automáticamente el acceso a su cuenta de empresa en GitHub configurando el inicio de sesión único (SSO) de OpenID Connect (OIDC) y habilitando la compatibilidad con la directiva de acceso condicional (CAP) de su IdP.

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulte "Acerca de Enterprise Managed Users".

Note

La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Microsoft Entra ID (anteriormente Azure AD).

Acerca de OIDC para usuarios administrados de Enterprise

Con Enterprise Managed Users, tu empresa utiliza el proveedor de identidades (IdP) para autenticar a todos los miembros. Puedes usar OpenID Connect (OIDC) para administrar la autenticación de tu empresa con usuarios administrados. Habilitar el inicio de sesión único de OIDC es un proceso de configuración con un solo clic con certificados administrados por GitHub y el IdP.

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones con GitHub, cuando los miembros usan las interfaz de usuario web o cambian las direcciones IP y para cada autenticación con personal access token o una clave SSH asociada a una cuenta de usuario. Consulte "Sobre la compatibilidad con la Directiva de acceso condicional de IdP."

Note

La protección CAP para sesiones web se encuentra actualmente en versión preliminar pública y está sujeta a cambios.

Las nuevas empresas que habilitan la compatibilidad con IdP CAP después del 5 de noviembre de 2024 tendrán protección para las sesiones web habilitadas de forma predeterminada.

Las empresas existentes que ya han habilitado la compatibilidad con IdP CAP pueden optar por la protección ampliada para las sesiones web desde la configuración de "Authentication security" de su empresa.

Puedes ajustar la duración de una sesión y la frecuencia con la que un cuenta de usuario administrada debe volver a autenticarse con el IdP si cambias la propiedad de la directiva de duración de los tokens de identificación emitidos para GitHub desde tu IdP. La duración predeterminada es de una hora. Consulte "Configurar directivas de vigencia de tokens" en la documentación de Microsoft.

Para cambiar la propiedad de directiva de duración, necesitará el identificador de objeto asociado a OIDC Enterprise Managed Users. Consulte "Búsqueda del identificador de objeto de la aplicación Entra OIDC".

Note

Si necesita ayuda para configurar la duración de la sesión de OIDC, póngase en contacto con Soporte técnico de Microsoft.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Advertencia: Si usas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Entra ID; de lo contrario, es posible que se bloquee la migración.

Soporte del proveedor de identidad

La compatibilidad con OIDC está disponible para los clientes que usan Entra ID.

Cada inquilino de Entra ID solo puede admitir una integración de OIDC con Enterprise Managed Users. Si quieres conectar Entra ID a más de una empresa en GitHub, usa SAML en su lugar. Consulte "Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise".

OIDC no admite la autenticación iniciada por el IdP.

Configuración de OIDC para usuarios administrados de Enterprise

  1. Inicie sesión en GitHub como usuario de configuración de su nueva empresa con el nombre de usuario @SHORT-CODE_admin.

  2. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y, a continuación, en Your enterprise.

  3. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En Configuración, haz clic en Seguridad de autenticación.

  5. En "Inicio de sesión único de OpenID Connect", selecciona Requerir inicio de sesión único de OIDC.

  6. Para continuar la instalación y redirigirte a Entra ID, haz clic en Guardar.

  7. Cuando GitHub Enterprise Cloud te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Después de que Entra ID solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, después, haz clic en Aceptar.

    Advertencia: Debes iniciar sesión en Entra ID como usuario con derechos de administrador global para dar el consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).

  8. Para asegurarse de que todavía puede acceder a su empresa en GitHub en caso de que su IdP no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

  9. Haz clic en Habilitar autenticación OIDC.

Habilitar el aprovisionamiento

Después de habilitar el SSO de OIDC, habilita el aprovisionamiento. Consulte "Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales".

Habilitación de colaboradores invitados

Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.

Para usar colaboradores invitados con la autenticación OIDC, es posible que tengas que actualizar la configuración en Entra ID. Consulte "Habilitación de colaboradores invitados".