Skip to main content

Configuración de OIDC para usuarios administrados de Enterprise

Puedes administrar automáticamente el acceso a tu cuenta de empresa en GitHub mediante la configuración del inicio de sesión único (SSO) de OpenID Connect (OIDC) y habilitar la compatibilidad con la directiva de acceso condicional (CAP) de IdP.

¿Quién puede utilizar esta característica?

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Enterprise Managed Users, que está disponible con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Nota: La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Microsoft Entra ID (anteriormente Azure AD).

Acerca de OIDC para usuarios administrados de Enterprise

Con Enterprise Managed Users, tu empresa utiliza el proveedor de identidades (IdP) para autenticar a todos los miembros. Puedes usar OpenID Connect (OIDC) para administrar la autenticación de tu empresa con usuarios administrados. Habilitar el inicio de sesión único de OIDC es un proceso de configuración con un solo clic con certificados administrados por GitHub y el IdP.

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones con GitHub, cuando los miembros cambian las direcciones IP y para cada autenticación con personal access token o una clave SSH asociada a una cuenta de usuario. Para más información, consulta "Sobre la compatibilidad con la Directiva de acceso condicional de IdP".

Puedes ajustar la duración de una sesión y la frecuencia con la que un cuenta de usuario administrada debe volver a autenticarse con el IdP si cambias la propiedad de la directiva de duración de los tokens de identificación emitidos para GitHub desde tu IdP. La duración predeterminada es de una hora. Para más información, consulta "Configuración de directivas de vigencia de tokens" en Microsoft Learn.

Nota: Si necesitas ayuda para configurar la duración de la sesión de OIDC, ponte en contacto con Soporte técnico de Microsoft.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Advertencia: Si usas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Entra ID; de lo contrario, es posible que se bloquee la migración.

Soporte del proveedor de identidad

La compatibilidad con OIDC está disponible para los clientes que usan Entra ID.

Cada inquilino de Entra ID solo puede admitir una integración de OIDC con Enterprise Managed Users. Si quieres conectar Entra ID a más de una empresa en GitHub, usa SAML en su lugar. Para obtener más información, vea «Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise».

OIDC no admite la autenticación iniciada por el IdP.

Configuración de OIDC para usuarios administrados de Enterprise

  1. Inicie sesión en GitHub.com como el usuario configurador de la nueva empresa con el nombre de usuario @SHORT-CODE_admin.

  2. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  3. En la lista de empresas, da clic en aquella que quieras ver.

  4. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  5. En Configuración, haz clic en Seguridad de autenticación.

  6. En "Inicio de sesión único de OpenID Connect", selecciona Requerir inicio de sesión único de OIDC.

  7. Para continuar la instalación y redirigirte a Entra ID, haz clic en Guardar.

  8. Cuando GitHub Enterprise Cloud te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Después de que Entra ID solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, después, haz clic en Aceptar.

    Advertencia: Debes iniciar sesión en Entra ID como usuario con derechos de administrador global para dar el consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).

  9. Para asegurarte de que todavía puedes acceder a tu empresa en GitHub.com en caso de que tu IdP no esté disponible en el futuro, haz clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, consulta «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

  10. Haz clic en Habilitar autenticación OIDC.

Habilitar el aprovisionamiento

Después de habilitar el SSO de OIDC, habilita el aprovisionamiento. Para obtener más información, vea «Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales».

Habilitación de colaboradores invitados

Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.

Para usar colaboradores invitados con la autenticación OIDC, es posible que tengas que actualizar la configuración en Entra ID. Para obtener más información, vea «Habilitación de colaboradores invitados».