Skip to main content

Configuring OIDC for Enterprise Managed Users

You can automatically manage access to your enterprise account on GitHub by configuring OpenID Connect (OIDC) single sign-on (SSO) and enable support for your IdP's Conditional Access Policy (CAP).

Para administrar a los usuarios de tu empresa con tu proveedor de identidad, esta debe habilitarse para Usuarios Administrados de Enterprise, los cuales están disponibles con Nube de GitHub Enterprise. Para obtener más información, consulta la sección "Acerca de Usuarios Administrados de Enterprise".

Note: OpenID Connect (OIDC) and Conditional Access Policy (CAP) support for Usuarios Administrados de Enterprise is in public beta and only available for Azure AD.

About OIDC for Enterprise Managed Users

With Usuarios Administrados de Enterprise, your enterprise uses your identity provider (IdP) to authenticate all members. You can use OpenID Connect (OIDC) to manage authentication for your empresa con usuarios administrados. Enabling OIDC SSO is a one-click setup process with certificates managed by GitHub and your IdP.

When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used. For more information, see "About support for your IdP's Conditional Access Policy."

You can adjust the lifetime of a session, and how often a cuenta de usuario administrado needs to reauthenticate with your IdP, by changing the lifetime policy property of the ID tokens issued for GitHub from your IdP. The default lifetime is one hour. For more information, see "Configurable token lifetimes in the Microsoft identity platform" in the Azure AD documentation.

If you currently use SAML SSO for authentication and would prefer to use OIDC and benefit from CAP support, you can follow a migration path. For more information, see "Migrating from SAML to OIDC."

Warning: If you use Importador de GitHub Enterprise to migrate an organization from tu instancia de servidor de GitHub Enterprise, make sure to use a service account that is exempt from Azure AD's CAP otherwise your migration may be blocked.

Soporte del proveedor de identidad

Support for OIDC is in public beta and available for customers using Azure Active Directory (Azure AD).

Each Azure AD tenant can support only one OIDC integration with Usuarios Administrados de Enterprise. If you want to connect Azure AD to more than one enterprise on GitHub, use SAML instead. For more information, see "Configuring SAML single sign-on for Usuarios Administrados de Enterprise."

Configurar el OIDC para los usuarios administrados empresariales

  1. Inicia sesión en GitHub.com como el usuario configurador para tu empresa nueva con el nombre de usuario @SHORT-CODE_admin.

  2. En la esquina superior derecha de GitHub.com, da clic en tu foto de perfil y luego en Tus empresas. "Tus empresas" en el menú desplegable de la foto de perfil en GitHub Enterprise Cloud

  3. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de tus empresas

  4. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones). Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa

  5. En la barra lateral izquierda, haz clic en Security (Seguridad). Security tab in the enterprise account settings sidebar

  6. Select Require OIDC single sign-on.
    Screenshot showing the "Require OIDC single sign-on" checkbox

  7. To continue setup and be redirected to Azure AD, click Save.

  8. When redirected, sign in to your identity provider, then follow the instructions to give consent and install the Usuario Administrado de GitHub Enterprise (OIDC) application.

    Warning: You must sign in to Azure AD as a user with global admin rights in order to consent to the installation of the Usuario Administrado de GitHub Enterprise (OIDC) application.

  9. Para asegurarte de que aún puedes acceder a tu empresa en caso de que tu proveedor de identidad alguna vez esté indispuesto en el futuro, haz clic en Descargar, Imprimir o Copiar para guardar tus códigos de recuperación. Para obtener más información, consulta la sección "Descargar los códigos de recuperación de inicio de sesión único de tu cuenta".

    Captura de pantalla de los botones para descargar, imprimir o copiar tus códigos de recuperación

Habilitar el aprovisionamiento

After you enable OIDC SSO, enable provisioning. Para obtener más información, consulta la sección "Configurar el aprovisionamiento de SCIM para los usuarios administrados de las empresas".