Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise

Puedes administrar el acceso a tu cuenta empresarial automáticamente en GitHub si configuras el Inicio de Sesión Único (SSO) de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML).

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulte "Acerca de Enterprise Managed Users".

En este artículo

Antes de seguir los pasos descritos en este artículo, asegúrese de que la empresa usa usuarios administrados. Para ello, compruebe si la vista de empresa tiene la barra de encabezado "Usuarios administrados por NOMBRE DE CUENTA" en la parte superior de la pantalla. Si ve esto, la empresa utiliza usuarios administrados y puede seguir los pasos descritos en este artículo.

Si su empresa usa cuentas personales, debe seguir un proceso diferente para configurar el inicio de sesión único de SAML. Consulte "Configurar el inicio de sesión único de SAML para tu empresa".

Sobre el SSO de SAML de Enterprise Managed Users

Con Enterprise Managed Users, el acceso a los recursos de la empresa en GitHub debe autenticarse a través del proveedor de identidades (IdP). En vez de iniciar sesión en GitHub con un nombre de usuario de GitHub y contraseña, los miembros de tu empresa iniciarán sesión con tu IdP.

Después de que configures el SSO de SAML, te recomendamos que almacenes tus códigos de recuperación para que puedas recuperar el acceso a tu empresa en caso de que no esté disponible tu IdP.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Requisitos previos

  • Comprenda los requisitos de integración y el nivel de compatibilidad de su IdP.

    • GitHub ofrece una integración de «ruta de acceso asfaltada» y compatibilidad completa si se usa un IdP de asociado para la autenticación y el aprovisionamiento.
    • Como alternativa, puedes usar cualquier sistema o combinación de sistemas que se ajusten a SAML 2.0 y SCIM 2.0. Sin embargo, la compatibilidad de resolución de problemas con estos sistemas puede ser limitada.

    Para más detalles, consulta "Acerca de Enterprise Managed Users".

  • El IdP debe cumplir la especificación SAML 2.0. Consulte Wiki de SAML en el sitio web de OASIS

  • Debe tener acceso administrativo de inquilino al IdP.

  • Si va a configurar el SSO de SAML para una nueva empresa, asegúrese de completar todos los pasos anteriores en el proceso de configuración inicial. Consulte "Introducción a Enterprise Managed Users".

Configure el SSO de SAML de Enterprise Managed Users

Para configurar el SSO de SAML para su empresa con usuarios administrados, debe configurar una aplicación en su IdP y luego configurar su empresa en GitHub. Después de que configures el SSO de SAML, puedes configurar el aprovisionamiento de usuarios.

  1. Configuración del IdP
  2. Configurar tu empresa
  3. Habilitación de aprovisionamiento

Configuración del IdP

  1. Si usa un IdP de asociado y quiere instalar la aplicación GitHub Enterprise Managed User, haga clic en uno de los vínculos siguientes.

  2. Para configurar el SSO de SAML para Enterprise Managed Users en el IdP, lee la siguiente documentación. Si no usas un IdP de asociado, puedes usar la referencia de configuración de SAML de GitHub Enterprise Cloud para crear y configurar una aplicación SAML 2.0 genérica en el IdP.

  3. Para probar y configurar la empresa, asígnese a sí mismo o al usuario que configurará el SSO de SAML para su empresa en GitHub a la aplicación que configuró para Enterprise Managed Users en el IdP.

    Note

    Para probar una conexión de autenticación correcta tras la configuración, se debe asignar al menos un usuario al IdP.

  4. Para seguir configurando su empresa en GitHub, ubique y anote la siguiente información desde la aplicación que instaló en su IdP.

    ValueOtros nombresDescripción
    IdP Sign-On URLURL de inicio de sesión, URL del IdPURL de la aplicación en tu IdP
    IdP Identifier URLEmisorEl identificador del IdP de los proveedores de servicio para la autenticación de SAML
    Certificado de firmado, cifrado en Base64Certificado públicoCertificado público que utiliza el IdP para firmar las solicitudes de autenticación

Configurar tu empresa

Después de configurar el SSO de SAML para Enterprise Managed Users en el IdP, puede configurar su empresa en GitHub.

Después de la configuración inicial del SSO de SAML, la única configuración que puede actualizar en GitHub para la configuración de SAML existente es el certificado de SAML. Si necesitas actualizar la URL de inicio de sesión o del emisor, primero debes inhabilitar el SSO de SAML y luego volver a configurarlo con los ajustes nuevos. Para obtener más información, vea «Deshabilitación de la autenticación y aprovisionamiento para usuarios administrados por Enterprise».

  1. Inicia sesión en GitHub.com como el usuario de configuración de la empresa con el nombre de usuario SHORT-CODE_admin, reemplazando SHORT-CODE por el código corto de tu empresa.

    Nota: Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub. La opción habitual de restablecimiento de contraseña proporcionando tu dirección de correo electrónico no funcionará.

  2. En la esquina superior derecha de GitHub, haga clic en su foto de perfil y, a continuación, en Sus empresas.

  3. En la lista de empresas, da clic en aquella que quieras ver. 1. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En Configuración, haz clic en Seguridad de autenticación.

  5. En "SAML single sign-on" (Inicio de sesión único de SAML), seleccione Require SAML authentication (Requerir autenticación de SAML).

  6. En Sign on URL (URL de inicio de sesión), escribe el punto de conexión HTTPS del IdP para las solicitudes de inicio de sesión único que has anotado al configurar el IdP.

  7. En Issuer (Emisor), escriba la dirección URL del emisor de SAML que ha anotado al configurar el IdP para comprobar la autenticidad de los mensajes enviados.

  8. En Public Certificate (Certificado público), pegue el certificado que ha anotado al configurar el IdP para comprobar las respuestas de SAML.

  9. En el certificado público, a la derecha de los métodos de firma y resumen actuales, haz clic en .

    Captura de pantalla del método de firma actual y el método de resumen en la configuración de SAML. El icono de lápiz está resaltado con un contorno naranja.

  10. Selecciona los menús desplegables Método de firma y Método de resumen y después elige el algoritmo de hash que utiliza tu emisor de SAML.

  11. Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration (Probar la configuración de SAML) para asegurarse de que la información que ha escrito sea correcta. Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.

  12. Haga clic en Save(Guardar).

    Nota: Después de requerir el inicio de sesión único de SAML para tu empresa y guardar la configuración de SAML, el usuario de configuración seguirá teniendo acceso a la empresa y permanecerá conectado a GitHub junto con los cuentas de usuario administradas aprovisionados por el IdP que también tendrán acceso a la empresa.

  13. Para asegurarse de que todavía puede acceder a su empresa en GitHub en caso de que su IdP no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

Habilitación de aprovisionamiento

Después de que habilitas el SSO de SAML, habilita el aprovisionamiento. Para obtener más información, vea «Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales».

Habilitación de colaboradores invitados

Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.

Si usas Entra ID u Okta para la autenticación SAML, es posible que tengas que actualizar la aplicación IdP para usar colaboradores invitados. Para obtener más información, vea «Habilitación de colaboradores invitados».