Antes de seguir los pasos descritos en este artículo, asegúrese de que la empresa usa usuarios administrados. Para ello, compruebe si la vista de empresa tiene la barra de encabezado "Usuarios administrados por NOMBRE DE CUENTA" en la parte superior de la pantalla. Si ve esto, la empresa utiliza usuarios administrados y puede seguir los pasos descritos en este artículo.
Si su empresa usa cuentas personales, debe seguir un proceso diferente para configurar el inicio de sesión único de SAML. Consulta Configurar el inicio de sesión único de SAML para tu empresa.
Sobre el SSO de SAML de Enterprise Managed Users
Con Enterprise Managed Users, el acceso a los recursos de tu empresa en GitHub.com o GHE.com debe autenticarse a través de tu proveedor de identidades (IdP). En lugar de iniciar sesión con un nombre de usuario y contraseña de GitHub, los miembros de tu empresa iniciarán sesión a través de tu IdP.
Después de que configures el SSO de SAML, te recomendamos que almacenes tus códigos de recuperación para que puedas recuperar el acceso a tu empresa en caso de que no esté disponible tu IdP.
Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».
Requisitos previos
-
Comprenda los requisitos de integración y el nivel de compatibilidad de su IdP.
- GitHub ofrece una integración de «ruta de acceso asfaltada» y compatibilidad completa si se usa un IdP de asociado para la autenticación y el aprovisionamiento.
- Como alternativa, puedes usar cualquier sistema o combinación de sistemas que se ajusten a SAML 2.0 y SCIM 2.0. Sin embargo, la compatibilidad de resolución de problemas con estos sistemas puede ser limitada.
Para más detalles, consulta Acerca de Enterprise Managed Users.
-
El IdP debe cumplir la especificación SAML 2.0. Consulte Wiki de SAML en el sitio web de OASIS
-
Debe tener acceso administrativo de inquilino al IdP.
-
Si va a configurar el SSO de SAML para una nueva empresa, asegúrese de completar todos los pasos anteriores en el proceso de configuración inicial. Consulta Introducción a Enterprise Managed Users.
Configure el SSO de SAML de Enterprise Managed Users
Para configurar el SSO de SAML para su empresa con usuarios administrados, debe configurar una aplicación en su IdP y luego configurar su empresa en GitHub. Después de que configures el SSO de SAML, puedes configurar el aprovisionamiento de usuarios.
Configuración del IdP
-
Si utilizas un IdP asociado, para instalar la aplicación GitHub Enterprise Managed User, haz clic en el enlace correspondiente a tu IdP y entorno.
Proveedor de identidades Aplicación para GitHub.com Aplicación para GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User - ghe.com PingFederate Sitio web de descargas de PingFederate (ve a la pestaña Complementos y selecciona GitHub EMU Connector 1.0). Sitio web de descargas de PingFederate (ve a la pestaña Complementos y selecciona GitHub EMU Connector 1.0). -
Para configurar el SSO de SAML para Enterprise Managed Users en un IdP asociado, lee la documentación pertinente para tu IdP y entorno.
Proveedor de identidades Documentación para GitHub.com Documentación para GHE.com Microsoft Entra ID Microsoft Learn Microsoft Learn Okta Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise PingFederate Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate (Secciones "Requisitos previos" y "1. Configuración de SAML") Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate (Secciones "Requisitos previos" y "1. Configuración de SAML") Si no usas un IdP de asociado, puedes usar la referencia de configuración de SAML de GitHub Enterprise Cloud para crear y configurar una aplicación SAML 2.0 genérica en el IdP. Consulta Referencia de configuración de SAML.
-
Para probar y configurar la empresa, asígnese a sí mismo o al usuario que configurará el SSO de SAML para su empresa en GitHub a la aplicación que configuró para Enterprise Managed Users en el IdP.
Note
Para probar una conexión de autenticación correcta tras la configuración, se debe asignar al menos un usuario al IdP.
-
Para seguir configurando su empresa en GitHub, ubique y anote la siguiente información desde la aplicación que instaló en su IdP.
Value Otros nombres Descripción IdP Sign-On URL URL de inicio de sesión, URL del IdP URL de la aplicación en tu IdP IdP Identifier URL Emisor El identificador del IdP de los proveedores de servicio para la autenticación de SAML Certificado de firmado, cifrado en Base64 Certificado público Certificado público que utiliza el IdP para firmar las solicitudes de autenticación
Configurar tu empresa
Después de configurar el SSO de SAML para Enterprise Managed Users en el IdP, puede configurar su empresa en GitHub.
Después de la configuración inicial del SSO de SAML, la única configuración que puede actualizar en GitHub para la configuración de SAML existente es el certificado de SAML. Si necesitas actualizar la URL de inicio de sesión o del emisor, primero debes inhabilitar el SSO de SAML y luego volver a configurarlo con los ajustes nuevos. Para más información, consulta Deshabilitación de la autenticación y aprovisionamiento para usuarios administrados por Enterprise.
-
Inicia sesión como el usuario de configuración de la empresa con el nombre de usuario SHORT-CODE_admin, reemplazando SHORT-CODE por el código corto de tu empresa.
Note
Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub. La opción habitual de restablecimiento de contraseña proporcionando tu dirección de correo electrónico no funcionará.
-
Si usas un proveedor de identidades no asociado (un proveedor de identidades distinto de Okta, PingFederate o Entra ID), antes de habilitar SAML, debes actualizar una configuración para poder configurar SCIM mediante la API REST. Consulta Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales.
-
En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y, a continuación, en Your enterprise.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Identity provider.
-
En Identity Provider, haz clic en Single sign-on configuration.
-
En "SAML single sign-on", selecciona Add SAML configuration.
-
En Sign on URL (URL de inicio de sesión), escribe el punto de conexión HTTPS del IdP para las solicitudes de inicio de sesión único que has anotado al configurar el IdP.
-
En Issuer (Emisor), escriba la dirección URL del emisor de SAML que ha anotado al configurar el IdP para comprobar la autenticidad de los mensajes enviados.
-
En Public Certificate (Certificado público), pegue el certificado que ha anotado al configurar el IdP para comprobar las respuestas de SAML.
-
En Public Certificate, selecciona los menús desplegables Signature Method y Digest Method y después elige el algoritmo de hash que utiliza tu emisor de SAML.
-
Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration (Probar la configuración de SAML) para asegurarse de que la información que ha escrito sea correcta. Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.
-
Haga clic en Save SAML settings (Guardar configuración de SAML).
Note
Después de requerir el inicio de sesión único de SAML para tu empresa y guardar la configuración de SAML, el usuario de configuración seguirá teniendo acceso a la empresa y permanecerá conectado a GitHub junto con los cuentas de usuario administradas aprovisionados por el proveedor de identidades que también tendrán acceso a la empresa.
-
Para asegurarse de que todavía puede acceder a su empresa en GitHub en caso de que su IdP no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».
Habilitación de aprovisionamiento
Después de que habilitas el SSO de SAML, habilita el aprovisionamiento. Para más información, consulta Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales.
Habilitación de colaboradores invitados
Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.
Si usas Entra ID u Okta para la autenticación SAML, es posible que tengas que actualizar la aplicación IdP para usar colaboradores invitados. Para más información, consulta Habilitación de colaboradores invitados.