Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

¿Quién puede utilizar esta característica?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

En este artículo

Nota: Si en la empresa se usa Enterprise Managed Users, debe seguir otro proceso para configurar el inicio de sesión único de SAML. Para obtener más información, vea «Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise».

About SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configura el SSO de SAML, los miembros de su organización continuarán iniciando sesión en sus cuentas personales en GitHub.com. Cuando un miembro acceda a la mayoría de los recursos de su organización, GitHub lo redireccionará a su IdP para autenticarse. Después de autenticarse correctamente, su IdP redirecciona a este miembro a GitHub. Para obtener más información, vea «Acerca de la autenticación con el inicio de sesión único de SAML».

Nota: SAML SSO no reemplaza el proceso de inicio de sesión normal para GitHub. A menos que use Enterprise Managed Users, los miembros seguirán iniciando sesión en sus cuentas personales en GitHub.com y cada cuenta personal se vinculará a una identidad externa en el IdP.

For more information, see "Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML."

Los propietarios de empresa pueden habilitar el SSO de SAML y la autenticación centralizada a través de el IdP de SAML para todas las organizaciones que pertenezcan a su cuenta empresarial. Después de habilitar el SSO de SAML para tu cuenta empresarial, este se requerirá en todas las organizaciones que le pertenezcan a ella. Se les exigirá a todos los miembros que se autentiquen usando SAML SSO para obtener acceso a las organizaciones de las que son miembros, y se les exigirá a los propietarios de empresas que se autentiquen usando SAML SSO cuando accesan a la cuenta de empresa.

Para acceder a los recursos de cada organización en GitHub Enterprise Cloud, el miembro debe tener una sesión activa de SAML en su buscador. Para acceder a los recursos protegidos de cada organización con la API y Git, el miembro debe usar un personal access token o una clave SSH que se le haya autorizado para usar con la organización. Los propietarios de la empresa pueden ver y revocar la identidad vinculada de un miembro, las sesiones activas, o las credenciales autorizadas en cualquier momento. For more information, see "Visualizar y administrar el acceso de SAML de un usuario a tu empresa."

Nota: No se puede configurar SCIM para la cuenta empresarial a menos que la cuenta se haya creado para usar Enterprise Managed Users. Para obtener más información, vea «Acerca de Enterprise Managed Users».

Si no usas Enterprise Managed Users y quieres utilizar el aprovisionamiento de SCIM, debes configurar el inicio de sesión único de SAML a nivel de organización y no empresarial. Para obtener más información, vea «Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML».

Cuando el SSO de SAML está deshabilitado, todas las identidades externas vinculadas se eliminan de GitHub Enterprise Cloud.

Después de habilitar el inicio de sesión único de SAML, es posible que sea necesario revocar y volver a aplicar las autorizaciones de OAuth app y GitHub App para que tengan acceso a la organización. Para obtener más información, vea «Autorización de aplicaciones de OAuth».

Supported identity providers

GitHub Enterprise Cloud es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Microsoft Active Directory Federation Services (ADt FS)
  • Microsoft Entra ID (anteriormente conocido como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

For more information about connecting Microsoft Entra ID (previously known as Azure AD) to your enterprise, see Tutorial: Microsoft Entra SSO integration with GitHub Enterprise Cloud - Enterprise Account in Microsoft Docs.

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. Existen consideraciones especiales al habilitar el SSO de SAML en tu cuenta empresarial si cualquiera de las organizaciones que pertenecen a la cuenta empresarial ya se configuraron para utilizar el SSO de SAML. For more information, see "Cambiar tu configuración de SAML de una cuenta organizacional a una empresarial."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "Configurar el inicio de sesión único de SAML para tu empresa utilizando Okta."

  1. En la esquina superior derecha de GitHub, haga clic en su foto de perfil y, a continuación, en Sus empresas.

  2. En la lista de empresas, da clic en aquella que quieras ver.

  3. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En Configuración, haz clic en Seguridad de autenticación.

  5. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en Ver las configuraciones actuales de las organizaciones.

    Captura de pantalla de una directiva en la configuración de la empresa. Un vínculo con la etiqueta "Ver las configuraciones actuales de las organizaciones" está resaltado con un contorno naranja.

  6. Under "SAML single sign-on", select Require SAML authentication.

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration.

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages.

  9. Under Public Certificate, paste a certificate to verify SAML responses. This is the public key corresponding to the private key used to sign SAML responses.

    To find the certificate, refer to the documentation for your IdP. Some IdPs call this an X.509 certificate.

  10. En el certificado público, a la derecha de los métodos de firma y resumen actuales, haz clic en .

    Captura de pantalla del método de firma actual y el método de resumen en la configuración de SAML. El icono de lápiz está resaltado con un contorno naranja.

  11. Selecciona los menús desplegables Método de firma y Método de resumen y después elige el algoritmo de hash que utiliza tu emisor de SAML.

  12. Before enabling SAML SSO for your enterprise, to ensure that the information you've entered is correct, click Test SAML configuration . Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.

  13. Click Save.

  14. Para asegurarte de que todavía puedes acceder a tu empresa en GitHub.com en caso de que tu IdP no esté disponible en el futuro, haz clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para obtener más información, vea «Descarga de los códigos de recuperación de inicio de sesión único de la cuenta de la empresa».

Further reading