Acerca de Enterprise Managed Users

Learn how your enterprise can manage the lifecycle and authentication of users on GitHub from your identity provider (IdP).

En este artículo

Con Enterprise Managed Users, administra el ciclo de vida y la autenticación de sus usuarios en GitHub desde un sistema externo de administración de identidades, o IdP:

  • Su IdP aprovisiona nuevas cuentas de usuario en GitHub, con acceso a su empresa.
  • Los usuarios deben autenticarse en su IdP para acceder a los recursos de su empresa en GitHub.
  • Usted controla los nombres de usuario, los datos del perfil, la pertenencia a la organización y el acceso al repositorio desde su IdP.
  • Si la empresa usa el inicio de sesión único de OIDC, GitHub validará el acceso a la empresa y sus recursos mediante la Directiva de acceso condicional (CAP) del IdP. Consulte "About support for your IdP's Conditional Access Policy".
  • Cuentas de usuario administradas no puede crear contenido público ni colaborar fuera de la empresa. Consulte "Capacidades y restricciones de las cuentas de usuario administradas".

Note

Enterprise Managed Users no es la mejor solución para cada cliente. Para determinar si es adecuado para su empresa, consulte "Elección de un tipo de empresa para GitHub Enterprise Cloud".

Sistemas de administración de identidades

GitHub se asocia con algunos desarrolladores de sistemas de administración de identidades para proporcionar una integración de tipo "paved-path" con Enterprise Managed Users. A fin de simplificar la configuración y garantizar la compatibilidad completa, utiliza un IdP de asociado único para la autenticación y el aprovisionamiento.

Proveedores de identidad asociados

Los IdP asociados proporcionan autenticación mediante SAML u OIDC, y proporcionan aprovisionamiento con el System for Cross-domain Identity Management (SCIM).

IdP de asociadoSAMLOIDCSCIM
Entra ID
Okta
PingFederate

Cuando se usa un único IdP asociado tanto para la autenticación como para el aprovisionamiento, GitHub proporciona soporte para la aplicación en el IdP asociado y la integración del IdP con GitHub.

Otros sistemas de administración de identidades

Si no puede utilizar un único IdP asociado tanto para la autenticación como para el aprovisionamiento, puede utilizar otro sistema de gestión de identidades o una combinación de sistemas. El sistema debe:

  • Cumplir las directrices de integración de GitHub.
  • Proporcionar autenticación mediante SAML, cumpliendo con la especificación SAML 2.0
  • Proporcionar la administración del ciclo de vida del usuario utilizando SCIM, adhiriéndose a la especificación SCIM 2.0 y comunicándose con la API de REST de GitHub (véase "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST")

Note

El aprovisionamiento de usuarios con el esquema SCIM público de GitHub está en versión beta pública y sujeta a cambios.

GitHub no admite expresamente la mezcla y combinación de IdP asociados para la autenticación y el aprovisionamiento y no prueba todos los sistemas de administración de identidades. Es posible que el equipo de asistencia de GitHub no pueda ayudarle con problemas relacionados con sistemas mixtos o no probados. Si necesita ayuda, debe consultar la documentación del sistema, el equipo de soporte técnico u otros recursos.

Nombres de usuario e información de perfil

GitHub crea automáticamente un nombre de usuario para cada promotor normalizando un identificador proporcionado por su IdP. Si se eliminan las partes únicas del identificador durante la normalización, puede producirse un conflicto. Consulte "Consideraciones sobre el nombre de usuario para la autenticación externa".

El nombre de perfil y dirección de correo electrónico de un cuenta de usuario administrada lo proporciona el IdP.

  • Los Cuentas de usuario administradas no pueden cambiar su nombre de perfil ni la dirección de correo electrónico en GitHub.
  • El IdP solo puede proporcionar una dirección de correo electrónico.
  • El cambio de la dirección de correo electrónico de un usuario en su IdP desvinculará al usuario del historial de contribuciones asociado a la antigua dirección de correo electrónico.

Administración de roles y acceso

En su IdP, puede asignar a cada cuenta de usuario administrada un rol papel en su empresa, como miembro, propietario o colaborador invitado. Consulte "Roles en una empresa".

Las pertenencias a la organización (y el acceso al repositorio) pueden administrarse manualmente, o puede actualizar las pertenencias automáticamente utilizando grupos IdP. Consulte "Administrar membrecías de equipo con grupos de proveedor de identidad".

Autenticación para cuentas de usuario administradas

Las ubicaciones en las que cuentas de usuario administradas puede autenticarse en GitHub dependen de cómo configure la autenticación (SAML u OIDC). Consulte "Autenticarte con Enterprise Managed Users".

De forma predeterminada, cuando un usuario no autenticado intenta acceder a su empresa, GitHub muestra un error 404. Opcionalmente, puede activar en su lugar los redireccionamientos automáticos al inicio de sesión único (SSO). Consulte "Requerir las políticas para los ajustes de seguridad en tu empresa".

Información adicional