Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise

Acerca del inicio de sesión único de SAML para Enterprise Managed Users

Con Enterprise Managed Users, tu empresa utiliza el proveedor de identidades de empresa para autenticar a todos los miembros. En vez de iniciar sesión en GitHub con un nombre de usuario de GitHub y contraseña, los miembros de tu empresa iniciarán sesión con tu IdP.

Enterprise Managed Users es compatible con los siguientes IdP:

• Azure Active Directory (Azure AD)
• Okta
• PingFederate

Después de que configures el SSO de SAML, te recomendamos que almacenes tus códigos de recuperación para que puedas recuperar el acceso a tu empresa en caso de que no esté disponible tu proveedor de identidad.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para obtener más información, vea «Migración de SAML a OIDC».

Configurar el inicio de sesión único de SAML para Enterprise Managed Users

Para configurar el SSO de SAML para tu empresa con usuarios administrados, debes configurar una aplicación en tu IdP y luego configurar tu empresa en GitHub.com. Después de que configures el SSO de SAML, puedes configurar el aprovisionamiento de usuarios.

Para instalar y configurar la aplicación de GitHub Enterprise Managed User en tu IdP, debes tener un inquilino y acceso administrativo en un IdP compatible.

1. Configuración del proveedor de identidades
2. Configurar tu empresa
3. Habilitar el aprovisionamiento

Configurar tu proveedor de identidad

Para configurar tu IdP, sigue las instrucciones que proporciona para configurar la aplicación de GitHub Enterprise Managed User en este.

1. Para instalar la aplicación de GitHub Enterprise Managed User, haz clic en el enlace de tu IdP a continuación:

   • Aplicación de GitHub Enterprise Managed User en Azure Active Directory

   • Aplicación de GitHub Enterprise Managed User en Okta

   • Conector de GitHub Enterprise Managed User en PingFederate

     Para descargar el conector de PingFederate, ve a la pestaña Complementos y selecciona GitHub EMU Connector 1.0.

2. Para configurar la aplicación de GitHub Enterprise Managed User y tu IdP, haz clic en el siguiente enlace y sigue las instrucciones que proporciona tu IdP:

   • Tutorial de Azure Active Directory para Enterprise Managed Users
   • Documentación de Okta para Enterprise Managed Users
   • Documentación de PingFederate para Enterprise Managed Users

3. Así que puedes probar y configurar tu empresa, asígnate o asigna al usuario que configurará el SSO de SAML en GitHub en la aplicación de GitHub Enterprise Managed User en tu IdP.

4. Para habilitar que pueda seguir configurando su empresa en GitHub, ubique y anote la siguiente información desde la aplicación que instaló en su IdP.

   Value	Otros nombres	Descripción
   IdP Sign-On URL	URL de inicio de sesión, URL del IdP	URL de la aplicación en tu IdP
   IdP Identifier URL	Emisor	El identificador del IdP de los proveedores de servicio para la autenticación de SAML
   Certificado de firmado, cifrado en Base64	Certificado público	Certificado público que utiliza el IdP para firmar las solicitudes de autenticación

Configurar tu empresa

Después de que instalas y configuras la aplicación de GitHub Enterprise Managed User en tu proveedor de identidad, puedes configurar tu empresa.

1. Inicia sesión en GitHub.com como el usuario de configuración de la empresa con el nombre de usuario @SHORT-CODE_admin , reemplazando SHORT-CODE por el código corto de tu empresa.

2. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

3. En la lista de empresas, da clic en aquella que quieras ver.

4. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

5. En Configuración, haz clic en Seguridad de autenticación.

6. En "SAML single sign-on" (Inicio de sesión único de SAML), seleccione Require SAML authentication (Requerir autenticación de SAML).

7. En Sign on URL (URL de inicio de sesión), escriba el punto de conexión HTTPS del IdP para las solicitudes de inicio de sesión único que ha anotado al configurar el IdP.

8. En Issuer (Emisor), escriba la dirección URL del emisor de SAML que ha anotado al configurar el IdP para comprobar la autenticidad de los mensajes enviados.

9. En Public Certificate (Certificado público), pegue el certificado que ha anotado al configurar el IdP para comprobar las respuestas de SAML.

10. En el certificado público, a la derecha de los métodos de firma y resumen actuales, haz clic en .

    

11. Selecciona los menús desplegables Método de firma y Método de resumen y después elige el algoritmo de hash que utiliza tu emisor de SAML.

12. Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration (Probar la configuración de SAML) para asegurarse de que la información que ha escrito sea correcta. Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.

13. Haga clic en Save(Guardar).

    Nota: Cuando requiera el inicio de sesión único de SAML para su empresa, el usuario configurador ya no tendrá acceso a la empresa, pero seguirá con la sesión iniciada en GitHub. Únicamente los cuentas de usuario administradas que haya aprovisionado tu IdP tendrán acceso a la empresa.

14. Para asegurarse de que todavía puede acceder a la empresa en caso de que el proveedor de identidades no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

Habilitar el aprovisionamiento

Después de que habilitas el SSO de SAML, habilita el aprovisionamiento. Para obtener más información, vea «Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales».