Skip to main content

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y proteger el acceso a recursos como repositorios, problemas y solicitudes de incorporación de cambios dentro de las organizaciones de tu empresa por que exige inicio de sesión único de SAML mediante el proveedor de identidades (IdP).

Who can use this feature

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Nota: Si en la empresa se usa Enterprise Managed Users, debe seguir otro proceso para configurar el inicio de sesión único de SAML. Para más información, vea "Configuración del inicio de sesión único de SAML para usuarios administrados de la empresa".

Acerca de SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configura el SSO de SAML, los miembros de su organización continuarán iniciando sesión en sus cuentas personales en GitHub.com. Cuando un miembro acceda a la mayoría de los recursos de su organización, GitHub lo redireccionará a su IdP para autenticarse. Después de autenticarse correctamente, su IdP redirecciona a este miembro a GitHub. Para más información, vea "Acerca de la autenticación con el inicio de sesión único de SAML".

Nota: SAML SSO no reemplaza el proceso de inicio de sesión normal para GitHub. A menos que use Enterprise Managed Users, los miembros seguirán iniciando sesión en sus cuentas personales en GitHub.com y cada cuenta personal se vinculará a una identidad externa en el IdP.

Para más información, vea "Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML".

Los propietarios de empresa pueden habilitar el SSO de SAML y la autenticación centralizada a través de el IdP de SAML para todas las organizaciones que pertenezcan a su cuenta empresarial. Después de habilitar el SSO de SAML para tu cuenta empresarial, este se requerirá en todas las organizaciones que le pertenezcan a ella. Se les exigirá a todos los miembros que se autentiquen usando SAML SSO para obtener acceso a las organizaciones de las que son miembros, y se les exigirá a los propietarios de empresas que se autentiquen usando SAML SSO cuando accesan a la cuenta de empresa.

To access each organization's resources on GitHub Enterprise Cloud, the member must have an active SAML session in their browser. To access each organization's protected resources using the API and Git, the member must use a personal access token or SSH key that the member has authorized for use with the organization. Enterprise owners can view and revoke a member's linked identity, active sessions, or authorized credentials at any time. Para obtener más información, consulte "Visualizar y administrar el acceso de SAML de un usuario a su cuenta empresarial".

Cuando el SSO de SAML está deshabilitado, todas las identidades externas vinculadas se eliminan de GitHub Enterprise Cloud.

Después de habilitar el inicio de sesión único de SAML, es posible que sea necesario revocar y volver a aplicar las autorizaciones de OAuth App y GitHub App para que tengan acceso a la organización. Para obtener más información, consulta "Autorización de OAuth Apps."

Proveedores de identidad compatibles

GitHub Enterprise Cloud es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Consideraciones sobre el nombre de usuario con SAML

Si usas Enterprise Managed Users, GitHub Enterprise Cloud normalizes a value from your IdP to determine the username for each new personal account in your enterprise on GitHub.com. Para obtener más información, consulta "Consideraciones sobre el nombre de usuario para la autenticación externa".

Requerir el inicio de sesión único de SAML para las organizaciones en tu cuenta empresarial

Cuando requieres el SSO de SAML para tu empresa, la configuración empresarial se superpondrá a cualquier configuración de SAML que exista a nivel organizacional. Existen consideraciones especiales al habilitar el SSO de SAML en tu cuenta empresarial si cualquiera de las organizaciones que pertenecen a la cuenta empresarial ya se configuraron para utilizar el SSO de SAML. Para obtener más información, consulte "Cambio de la configuración de SAML de una organización a una cuenta de empresa".

Cuando requieres el SSO de SAML para una organización, GitHub elimina cualquier miembro de la organización que no se haya autenticado con éxito en tu IdP de SAML. Cuando requieres el SSO de SAML para tu empresa, GitHub no elimina a los miembros de dicha empresa que no se hayan autenticado exitosamente con tu IdP de SAML. La siguiente vez que un miembro acceda a los recursos empresariales, este deberá autenticarse con tu IdP de SAML.

Para obtener información más detallada sobre cómo habilitar SAML mediante Okta, consulte "Configurar el inicio de sesión rápido de SAML para tu cuenta empresarial utilizando Okta".

  1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises. "Your enterprises" en el menú desplegable de la imagen de perfil en GitHub Enterprise Cloud

  2. En la lista de empresas, da clic en aquella que quieras ver. Nombre de una empresa en la lista de sus empresas

  3. En la barra lateral de la cuenta de empresa, haga clic en Configuración. Pestaña Configuración en la barra lateral de la cuenta de empresa

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. Opcionalmente, para ver la configuración actual en todas las organizaciones de la cuenta empresarial antes de cambiar el valor, haga clic en Ver las configuraciones actuales de las organizaciones. Vínculo para ver la configuración de directiva actual para todas las organizaciones de la empresa

  6. En "SAML single sign-on", seleccione Require SAML authentication. Casilla de verificación para habilitar el SSO de SAML

  7. En el campo Sign on URL, escriba el punto de conexión HTTPS de su proveedor de identidades para las solicitudes de inicio de sesión único. Este valor se encuentra en la configuración de tu IdP. Campo de la URL a la que los miembros serán redirigidos cuando inicien sesión

  8. Opcionalmente, en el campo Issuer, escriba la dirección URL del emisor de SAML para comprobar la autenticidad de los mensajes enviados. Campo para el nombre del emisor de SAML

  9. En Public Certificate, copie un certificado para verificar las respuestas SAML. Campo para el certificado público del proveedor de identidades

  10. Para comprobar la integridad de las solicitudes del emisor de SAML, haga clic en . Posteriormente, en los menús desplegables de "Método de firma" y "Método de resumen", elige el algoritmo de hash que utiliza tu emisor de SAML. Menús desplegables para los algoritmos de hash del método de firma y del método de resumen usados por el emisor de SAML

  11. Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration para asegurarse de que la información que ha escrito sea correcta. Botón para probar la configuración de SAML antes de aplicarla

  12. Haga clic en Save(Guardar).

  13. Para asegurarse de que todavía puede acceder a la empresa en caso de que el proveedor de identidades no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para más información, consulta "Descarga de los códigos de recuperación de inicio de sesión único de la cuenta empresarial".

    Captura de pantalla de los botones para descargar, imprimir o copiar tus códigos de recuperación

Información adicional