Nota: La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Azure AD.
Acerca de OIDC para usuarios administrados de Enterprise
Con Enterprise Managed Users, tu empresa utiliza el proveedor de identidades (IdP) para autenticar a todos los miembros. Puedes usar OpenID Connect (OIDC) para administrar la autenticación de tu empresa con usuarios administrados. Habilitar el inicio de sesión único de OIDC es un proceso de configuración con un solo clic con certificados administrados por GitHub y el IdP.
Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones del usuario con GitHub, cuando los miembros cambian las direcciones IP y cada vez que se usa personal access token o una clave SSH. Para más información, consulta "Sobre la compatibilidad con la Directiva de acceso condicional de IdP".
Puedes ajustar la duración de una sesión y la frecuencia con la que un cuenta de usuario administrada debe volver a autenticarse con el IdP cambiando la propiedad de la directiva de duración de los tokens de identificación emitidos para GitHub desde tu IdP. La duración predeterminada es de una hora. Para obtener más información, consulta "Vigencia de los token configurables en la Plataforma de identidad de Microsoft" en la documentación de Azure AD.
Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».
Advertencia: Si utilizas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Azure AD; de lo contrario, es posible que se bloquee la migración.
Soporte del proveedor de identidad
La compatibilidad con OIDC está disponible para los clientes que usan Azure Active Directory (Azure AD).
Cada inquilino de Azure AD solo puede admitir una integración de OIDC con Enterprise Managed Users. Si quieres conectar Azure AD a más de una empresa en GitHub, utiliza SAML en su lugar. Para obtener más información, vea «Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise».
Configuración de OIDC para usuarios administrados de Enterprise
-
Inicie sesión en GitHub.com como el usuario configurador de la nueva empresa con el nombre de usuario @SHORT-CODE_admin.
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
Selecciona Requerir inicio de sesión único de OIDC.
-
Para continuar la instalación y redirigirte a Azure AD, haz clic en Guardar.
-
Cuando GitHub Enterprise Cloud te redirija a tu proveedor de identidades, inicia sesión en el proveedor de identidades y sigue las instrucciones para dar tu consentimiento e instalar la aplicación GitHub Enterprise Managed User (OIDC). Cuando Azure AD solicite permisos para GitHub Enterprise Managed Users con OIDC, habilita Consentimiento en nombre de la organización y, a continuación, haz clic en Aceptar.
Advertencia: Debes iniciar sesión en Azure AD como usuario con derechos de administrador global para dar tu consentimiento a la instalación de la aplicación GitHub Enterprise Managed User (OIDC).
Habilitar el aprovisionamiento
Después de habilitar el SSO de OIDC, habilita el aprovisionamiento. Para obtener más información, vea «Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales».