Acerca del inicio de sesión único de SAML para las cuentas empresariales
El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios. Los propietarios de empresa pueden habilitar el SSO de SAML y la autenticación centralizada a través de el IdP de SAML para todas las organizaciones que pertenezcan a su cuenta empresarial. Después de habilitar el SSO de SAML para tu cuenta empresarial, este se requerirá en todas las organizaciones que le pertenezcan a ella. Se les exigirá a todos los miembros que se autentiquen usando SAML SSO para obtener acceso a las organizaciones de las que son miembros, y se les exigirá a los propietarios de empresas que se autentiquen usando SAML SSO cuando accesan a la cuenta de empresa.
Existen consideraciones especiales al habilitar el SSO de SAML en tu cuenta empresarial si cualquiera de las organizaciones que pertenecen a la cuenta empresarial ya se configuraron para utilizar el SSO de SAML.
Cuando configuras el SSO de SAML a nivel de organización, cada organización debe configurarse con un inquilino de SSO único en tu IdP, lo cual significa que tus miembros se asociarán con un registro de identidad único de SAML para cada organización con la cual se hayan autenticado exitosamente. Si configuras el SSO de SAML para que se utilice en su lugar en tu empresa, cada miembro de ella tendrá una identidad de SAML que se utilizará para todas las organizaciones que pertenezcan a la cuenta empresarial.
Después de que configures el SSO de SAML para tu cuenta empresarial, la configuración nueva anulará cualquier configuración de SSO de SAML para las organizaciones que pertenezcan a esta cuenta. Cualquier configuración de sincronización de equipo que haya configurado también se quitará de estas organizaciones.
-
Los miembros de la organización se eliminarán de los equipos de GitHub después de la eliminación de la configuración de sincronización del equipo de la organización.
-
Si tiene previsto volver a habilitar la sincronización de equipos, antes de habilitar el inicio de sesión único de SAML para su empresa, tome nota de la configuración de sincronización del equipo actual en las organizaciones afectadas. Consulte "Administración de la sincronización de equipos para su organización".
Tendrá que volver a agregar los miembros de la organización a los equipos de GitHub después de volver a habilitar la sincronización de equipos.
-
Programe una hora para realizar cambios en la configuración de sincronización del equipo de la organización cuando los usuarios no usen activamente los recursos de la organización. Los cambios en la sincronización de equipos pueden dar lugar a un tiempo de inactividad para los miembros.
No se notificará a los miembros de la empresa cuando un propietario habilite SAML para la cuenta empresarial. Si el SSO de SAML se requirió previamente a nivel organizacional, los miembros no deberían ver una diferencia mayor al navegar directamente a los recursos organizacinales. Se les seguirá pidiendo a los miembros autenticarse por SAML. Si los miembros navegan a los recursos organizacionales a través de su tablero de IdP, necesitarán hacer clic en una sección nueva para la app a nivel empresarial en vez de en la anterior para la de nivel organizacional. Entonces los miembros podrán elegir la organización a la cual quieren navegar.
Cualquier personal access tokens, SSH keys, OAuth apps y GitHub Apps que se hayan autorizado previamente para la organización seguirán autorizadas para esta. Sin embargo, los miembros necesitarán autorizar cualquier PAT, llaves SSH, OAuth apps y GitHub Apps que nunca se hayan autorizado para utilizarse con el SSO de SAML en la organización.
El aprovisionamiento de SCIM no es compatible actualmente cuando el SSO de SAML se configura para una cuenta empresarial. Si actualmente estás utilizando SCIM para una organización que pertenece a tu cuenta empresarial, perderás esta funcionalidad cuando cambies a una configuración a nivel empresarial.
No se te requiere eliminar ninguna configuración de SAML a nivel organizacional antes de configurar el SSO de SAML para tu cuenta empresarial, pero deberías considerar hacerlo. Si en algún momento se inhabilita SAML para la cuenta empresarial en el futuro, cualquier configuración de SAML a nivel organizacional tomará efecto. El eliminar las configuraciones a nivel organizacional puede prevenir problemas inesperados en el futuro.
Para más información sobre la decisión de implementar el inicio de sesión único de SAML en el nivel de organización o empresa, consulta "Acerca de la administración de identidad y de acceso".
Cambiar tu configuración de SAML de una cuenta organizacional a una empresarial
- Requerir el SSO de SAML para tu cuenta empresarial, asegurándote de que todos los miembros organizacionales se asignen o se les de acceso a la app del IdP que se utiliza para la cuenta empresarial. Para obtener más información, vea «Configurar el inicio de sesión único de SAML para tu empresa».
- Si mantuviste activa cualquier configuración de SAML a nivel organizacional, para prevenir la confusión, considera ocultar la sección en las apps a nivel organizacional en tu IdP.
- Notifica a los miembros de tu empresa sobre este cambio.
- Los miembros ya no podrán acceder a las organizaciones si hacen clic en la app de SAML de la organización en el tablero del IdP. Necesitarán utilizar la app nueva que se configuró para la cuenta empresarial.
- Los miembros necesitarán autorizar cualquier PAT o llave SSH que no se hayan autorizado antes para utilizarlos con el SSO de SAML en su organización. Para obtener más información, vea «Autorizar un token de acceso personal para usar con un inicio de sesión único de SAML» y «Autorizar una clave SSH para usar con un inicio único de SAML».
- Los miembros podrían necesitar volver a autorizar las OAuth apps que se autorizaran anteriormente en la organización. Para obtener más información, vea «Acerca de la autenticación con el inicio de sesión único de SAML».