Skip to main content

Sobre la compatibilidad con la Directiva de acceso condicional de IdP

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub puede validar el acceso a la empresa y sus recursos mediante la Directiva de acceso condicional (CAP) del IdP.

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulte "Acerca de Enterprise Managed Users".

Note

La compatibilidad de OpenID Connect (OIDC) y la directiva de acceso condicional (CAP) con Enterprise Managed Users solo está disponible para Microsoft Entra ID (anteriormente Azure AD).

Sobre la compatibilidad con las Directivas de acceso condicional

Cuando la empresa usa el inicio de sesión único de OIDC, GitHub usará automáticamente las condiciones IP de la directiva de acceso condicional (CAP) de IdP para validar las interacciones con GitHub, cuando los miembros usan las interfaz de usuario web o cambian las direcciones IP y para cada autenticación con personal access token o una clave SSH asociada a una cuenta de usuario.

Note

La protección CAP para sesiones web se encuentra actualmente en versión preliminar pública y está sujeta a cambios.

Si en tu empresa ya está habilitada la compatibilidad con CAP del proveedor de identidades, puedes optar por la protección ampliada para las sesiones web desde la configuración "Authentication security" de tu empresa. Para habilitar esta característica, la empresa debe tener 1000 o menos miembros, activos o suspendidos.

GitHub Enterprise Cloud admite CAP para cualquier empresa con usuarios administrados donde está habilitado el inicio de sesión único de OIDC. Los propietarios de la empresa pueden optar por usar esta configuración de lista de direcciones IP permitidas en lugar de la lista de direcciones permitidas de GitHub Enterprise Cloud, y pueden hacerlo una vez configurado el inicio de sesión único de OIDC. Para obtener más información sobre las listas de direcciones IP permitidas, consulta Restricción del tráfico de red a la empresa con una lista de direcciones IP permitidas y Administrar las direcciones IP permitidas en tu organización.

  • GitHub Enterprise Cloud aplica las condiciones de la IP del IdP, pero no las condiciones de cumplimiento del dispositivo.
  • Las directivas para la autenticación multifactor solo se aplican en el punto de inicio de sesión al IdP.

Para obtener más información sobre el uso de OIDC con Enterprise Managed Users, consulta Configuración de OIDC para usuarios administrados de Enterprise y Migración de SAML a OIDC.

Acerca de CAP e implementación de claves

Una clave de implementación es una clave SSH que concede acceso a un repositorio individual. Dado que las claves de implementación no realizan operaciones en nombre de un usuario, las condiciones de IP de CAP no se aplican a las solicitudes autenticadas con una clave de implementación. Para más información, consulta Administrar las llaves de despliegue.

Consideraciones sobre integraciones y automatizaciones

GitHub envía la dirección IP de origen al IdP para su validación en el CAP. Para asegurar que las acciones y las aplicaciones no están bloqueadas por el CAP del IdP, habrá que realizar cambios en la configuración.

Warning

Si usas GitHub Enterprise Importer para migrar una organización de tu instancia de GitHub Enterprise Server, asegúrate de usar una cuenta de servicio que esté exenta del CAP de Entra ID; de lo contrario, es posible que se bloquee la migración.

GitHub Actions

Es probable que las acciones que usen un personal access token estén bloqueadas por el CAP del proveedor de identidades. Se recomienda que los personal access token se creen mediante una cuenta de servicio que, después, esté exenta de los controles IP en el CAP del proveedor de identidades.

Si no puedes usar una cuenta de servicio, otra opción para desbloquear acciones que usan personal access token es permitir los intervalos IP usados por GitHub Actions. Para más información, consulta Acerca de las direcciones de IP de GitHub.

GitHub Codespaces

Es posible que GitHub Codespaces no estén disponibles si la empresa usa el inicio de sesión único de OIDC con CAP para restringir el acceso por direcciones IP. Esto se debe a que los codespaces se crean con direcciones IP dinámicas que es probable que el CAP del IdP bloquee. Otras directivas CAP también pueden afectar a la disponibilidad de GitHub Codespaces, en función de la configuración específica de la directiva.

El editor github.dev

El editor github.dev puede no estar disponible si su empresa utiliza OIDC SSO con CAP para restringir el acceso por direcciones IP. Esto se debe a que github.dev se basa en direcciones IP dinámicas que es probable que el CAP de su IdP bloquee. Otras directivas CAP también pueden afectar a la disponibilidad de github.dev, en función de la configuración específica de la directiva.

GitHub Apps y OAuth apps

Cuando las GitHub Apps y las OAuth apps inician la sesión de un usuario realizan solicitudes en su nombre, GitHub envía la dirección IP del servidor de la aplicación al IdP para su validación. Si el CAP del IDP no valida la dirección IP del servidor de la aplicación, se producirá un error en la solicitud.

Cuando las GitHub Apps llaman a las API de GitHub actuando como las propias aplicaciones o como una instalación, estas llamadas no se realizan en nombre de un usuario. Dado que la directiva de acceso condicional (CAP) del IdP ejecuta y aplica directivas a las cuentas de usuario, estas solicitudes de aplicación no se pueden validar con la CAP y siempre se permiten. Para obtener más información sobre la autenticación de las GitHub Apps como las propias aplicaciones o como instalación, consulta Acerca de la autenticación con una aplicación de GitHub.

Puedes contactar con los propietarios de las aplicaciones que quiere usar, pedir sus intervalos IP y configurar el CAP del IdP para permitir el acceso desde esos intervalos IP. Si no puedes contactar con los propietarios, puedes revisar los registros de inicio de sesión de IdP para revisar las direcciones IP que se ven en las solicitudes y, después, permitir enumerar esas direcciones.

Si no quieres permitir todos los intervalos IP para todas las aplicaciones de la empresa, también puedes excluir los GitHub Apps y los OAuth apps autorizados de la lista de permitidos del proveedor de identidades. Si lo haces, estas aplicaciones seguirán funcionando independientemente de la dirección IP de origen. Para más información, consulta Requerir las políticas para los ajustes de seguridad en tu empresa.

Información adicional