Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise

Puedes administrar el acceso a tu cuenta empresarial automáticamente en GitHub si configuras el Inicio de Sesión Único (SSO) de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML).

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulte "Acerca de Enterprise Managed Users".

En este artículo

Antes de seguir los pasos descritos en este artículo, asegúrese de que la empresa usa usuarios administrados. Para ello, compruebe si la vista de empresa tiene la barra de encabezado "Usuarios administrados por NOMBRE DE CUENTA" en la parte superior de la pantalla. Si ve esto, la empresa utiliza usuarios administrados y puede seguir los pasos descritos en este artículo.

Si su empresa usa cuentas personales, debe seguir un proceso diferente para configurar el inicio de sesión único de SAML. Consulte "Configurar el inicio de sesión único de SAML para tu empresa".

Sobre el SSO de SAML de Enterprise Managed Users

Con Enterprise Managed Users, el acceso a los recursos de tu empresa en GitHub.com o GHE.com debe autenticarse a través de tu proveedor de identidades (IdP). En lugar de iniciar sesión con un nombre de usuario y contraseña de GitHub, los miembros de tu empresa iniciarán sesión a través de tu IdP.

Después de que configures el SSO de SAML, te recomendamos que almacenes tus códigos de recuperación para que puedas recuperar el acceso a tu empresa en caso de que no esté disponible tu IdP.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Requisitos previos

  • Comprenda los requisitos de integración y el nivel de compatibilidad de su IdP.

    • GitHub ofrece una integración de «ruta de acceso asfaltada» y compatibilidad completa si se usa un IdP de asociado para la autenticación y el aprovisionamiento.
    • Como alternativa, puedes usar cualquier sistema o combinación de sistemas que se ajusten a SAML 2.0 y SCIM 2.0. Sin embargo, la compatibilidad de resolución de problemas con estos sistemas puede ser limitada.

    Para más detalles, consulta "Acerca de Enterprise Managed Users".

  • El IdP debe cumplir la especificación SAML 2.0. Consulte Wiki de SAML en el sitio web de OASIS

  • Debe tener acceso administrativo de inquilino al IdP.

  • Si va a configurar el SSO de SAML para una nueva empresa, asegúrese de completar todos los pasos anteriores en el proceso de configuración inicial. Consulte "Introducción a Enterprise Managed Users".

Configure el SSO de SAML de Enterprise Managed Users

Para configurar el SSO de SAML para su empresa con usuarios administrados, debe configurar una aplicación en su IdP y luego configurar su empresa en GitHub. Después de que configures el SSO de SAML, puedes configurar el aprovisionamiento de usuarios.

  1. Configuración del IdP
  2. Configurar tu empresa
  3. Habilitación de aprovisionamiento

Configuración del IdP

  1. Si utilizas un IdP asociado, para instalar la aplicación GitHub Enterprise Managed User, haz clic en el enlace correspondiente a tu IdP y entorno.

    Proveedor de identidadesAplicación para GitHub.comAplicación para GHE.com
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed UserGitHub Enterprise Managed User - ghe.com
    PingFederateSitio web de descargas de PingFederate (ve a la pestaña Complementos y selecciona GitHub EMU Connector 1.0).Sitio web de descargas de PingFederate (ve a la pestaña Complementos y selecciona GitHub EMU Connector 1.0).

  2. Para configurar el SSO de SAML para Enterprise Managed Users en un IdP asociado, lee la documentación pertinente para tu IdP y entorno.

    Proveedor de identidadesDocumentación para GitHub.comDocumentación para GHE.com
    Microsoft Entra IDMicrosoft LearnMicrosoft Learn
    Okta"Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise""Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise"
    PingFederate"Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate" (Secciones "Requisitos previos" y "1. Configuración de SAML")"Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate" (Secciones "Requisitos previos" y "1. Configuración de SAML")

    Si no usas un IdP de asociado, puedes usar la referencia de configuración de SAML de GitHub Enterprise Cloud para crear y configurar una aplicación SAML 2.0 genérica en el IdP. Consulte "Referencia de configuración de SAML".

  3. Para probar y configurar la empresa, asígnese a sí mismo o al usuario que configurará el SSO de SAML para su empresa en GitHub a la aplicación que configuró para Enterprise Managed Users en el IdP.

    Note

    Para probar una conexión de autenticación correcta tras la configuración, se debe asignar al menos un usuario al IdP.

  4. Para seguir configurando su empresa en GitHub, ubique y anote la siguiente información desde la aplicación que instaló en su IdP.

    ValueOtros nombresDescripción
    IdP Sign-On URLURL de inicio de sesión, URL del IdPURL de la aplicación en tu IdP
    IdP Identifier URLEmisorEl identificador del IdP de los proveedores de servicio para la autenticación de SAML
    Certificado de firmado, cifrado en Base64Certificado públicoCertificado público que utiliza el IdP para firmar las solicitudes de autenticación

Configurar tu empresa

Después de configurar el SSO de SAML para Enterprise Managed Users en el IdP, puede configurar su empresa en GitHub.

Después de la configuración inicial del SSO de SAML, la única configuración que puede actualizar en GitHub para la configuración de SAML existente es el certificado de SAML. Si necesitas actualizar la URL de inicio de sesión o del emisor, primero debes inhabilitar el SSO de SAML y luego volver a configurarlo con los ajustes nuevos. Para obtener más información, vea «Deshabilitación de la autenticación y aprovisionamiento para usuarios administrados por Enterprise».

  1. Inicia sesión como el usuario de configuración de la empresa con el nombre de usuario SHORT-CODE_admin, reemplazando SHORT-CODE por el código corto de tu empresa.

    Note

    Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub. La opción habitual de restablecimiento de contraseña proporcionando tu dirección de correo electrónico no funcionará.

  2. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y, a continuación, en Your enterprise.

  3. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En Configuración, haz clic en Seguridad de autenticación.

  5. En "SAML single sign-on" (Inicio de sesión único de SAML), seleccione Require SAML authentication (Requerir autenticación de SAML).

  6. En Sign on URL (URL de inicio de sesión), escribe el punto de conexión HTTPS del IdP para las solicitudes de inicio de sesión único que has anotado al configurar el IdP.

  7. En Issuer (Emisor), escriba la dirección URL del emisor de SAML que ha anotado al configurar el IdP para comprobar la autenticidad de los mensajes enviados.

  8. En Public Certificate (Certificado público), pegue el certificado que ha anotado al configurar el IdP para comprobar las respuestas de SAML.

  9. En el certificado público, a la derecha de los métodos de firma y resumen actuales, haz clic en .

    Captura de pantalla del método de firma actual y el método de resumen en la configuración de SAML. El icono de lápiz está resaltado con un contorno naranja.

  10. Selecciona los menús desplegables Método de firma y Método de resumen y después elige el algoritmo de hash que utiliza tu emisor de SAML.

  11. Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration (Probar la configuración de SAML) para asegurarse de que la información que ha escrito sea correcta. Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.

  12. Haga clic en Save(Guardar).

    Note

    Después de requerir el inicio de sesión único de SAML para tu empresa y guardar la configuración de SAML, el usuario de configuración seguirá teniendo acceso a la empresa y permanecerá conectado a GitHub junto con los cuentas de usuario administradas aprovisionados por el proveedor de identidades que también tendrán acceso a la empresa.

  13. Para asegurarse de que todavía puede acceder a su empresa en GitHub en caso de que su IdP no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

Habilitación de aprovisionamiento

Después de que habilitas el SSO de SAML, habilita el aprovisionamiento. Para obtener más información, vea «Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales».

Habilitación de colaboradores invitados

Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.

Si usas Entra ID u Okta para la autenticación SAML, es posible que tengas que actualizar la aplicación IdP para usar colaboradores invitados. Para obtener más información, vea «Habilitación de colaboradores invitados».