Skip to main content

Acerca de la administración de acceso e identidad con el inicio de sesión único de SAML

Si administras centralmente las identidades y aplicaciones de tus usuarios con un provedor de identidad (IdP), puedes configurar el inicio de sesión único (SSO) del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para proteger los recursos de tu organización en GitHub.

Nota: Si tu empresa utiliza Usuarios Administrados de Enterprise, debes seguir un proceso diferente para configurar el inicio de sesión único de SAML. Para obtener más información, consulta la sección "Configurar el inicio de sesión único de SAML para los Usuarios Administrados Empresariales".

Acerca de SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configuras el SSO de SAML, los miembros de tu organización continuarán ingresando en sus cuentas de usuario en GitHub.com. Cuando un miembro acceda a los recursos que no sean públicos dentro de tu organización y que utilicen el SSO de SAML, GitHub lo redireccionará a tu IdP para autenticarse. Después de autenticarse exitosamente, tu IdP redirecciona a este miembro a GitHub, en donde puede acceder a los recursos de tu organización.

Nota: Los miembros organizacionales pueden realizar operaciones de lectura tales como ver, clonar y bifurcar los recursos públicos que pertenecen a tu organización, incluso si no tienen una sesión de SAML válida.

Los propietarios de las organizaciones pueden requerir el SSO de SAML para una organización individual o para todas las organizaciones en una cuenta empresarial. Para obtener más información, consulta la sección "Configurar el inicio de sesión único de SAML para tu empresa".

Nota: No se requiere que los colaboradores externos se autentiquen con un IdP para acceder a los recursos de una organización que cuente con el SSO de SAML. Para obtener más información sobre los colaboradores externos, consulta la sección "Roles en una organización".

Antes de habilitar el SSO de SAML para tu organización, necesitarás conectar tu IdP a la misma. Para obtener más información, consulta "Conectar tu proveedor de identidad a tu organización."

En una organización, el SSO de SAML puede inhabilitarse, habilitarse pero no requerirse, o habilitarse y requerirse. Después de habilitar exitosamente el SSO de SAML para tu organización y que sus miembros se autentiquen exitosamente con tu IdP, puedes requerir la configuración del SSO de SAML. Para obtener más información acerca de requerir el SSO de SAML para tu organización en GitHub, consulta la sección "Requerir el inicio de sesión único de SAML para tu organización".

Los miembros deben autenticarse regularmente con tu IdP y obtener acceso a los recursos de tu organización. Tu IdP especifica la duración de este período de inicio de sesión y, generalmente, es de 24 horas. Este requisito de inicio de sesión periódico limita la duración del acceso y requiere que los usuarios se vuelvan a identificar para continuar.

Para acceder a los recursos protegidos de tu organización tulizando la API y Git en la línea de comando, los miembros deberán autorizar y autentificarse con un token de acceso personal o llave SSH. Para obtener más información, consulta las secciones "Autorizar que un token de acceso personal se utilice con el inicio de sesión único de SAML" y "Autorizar a una llave SSH para que se utilice con el inicio de sesión único de SAML".

La primera vez que un miembro utiliza el SSO de SAML para acceder a tu organización, GitHub crea un registro automáticamente, el cual vincula tu organización, la cuenta del miembro en GitHub.com y la cuenta del miembro en tu IdP. Puedes ver y retirar la identidad de SAML que se ha vinculado, activar sesiones, y autorizar las credenciales para los miembros de tu organización o cuenta empresarial. Para obtener más información, consulta la sección "Visualizar y administrar un acceso de SAML de un miembro a tu organización" y Visualizar y administrar un acceso de SAML de un usuario a tu cuenta empresarial".

Si los miembros ingresan con una sesión de SSO de SAML cuando crean un nuevo repositorio, la visibilidad predeterminada de dicho repositorio será privada. De lo contrario, la visibilidad predeterminada es pública. Para obtener más información sobre la visibilidad de los repositorios, consulta la sección "Acerca de los repositorios".

Los miembros de una organización también deben contar con una sesión activa de SAML para autorizar un App OAuth. Puedes decidir no llevar este requisito si contactas a Soporte de GitHub. GitHub Enterprise Cloud no recomienda que renuncies a este requisito, ya que expondrá a tu organización a un riesgo mayor de que se roben las cuentas y de que exista pérdida de datos.

GitHub Enterprise Cloud no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Servicios SAML admitidos

GitHub Enterprise Cloud es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para obtener más información, consulta la sección Wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Algunos IdP admiten acceso de suministro a una organización de GitHub a través de SCIM. El aprovisionamiento y desaprovisionamiento del acceso de los usuarios con SCIM no se encuentra disponible para las cuentas empresariales. Para obtener más información, consulta la sección "Acerca de SCIM".

Agregar miembros a una organización usando SAML SSO

Una vez que activas SAML SSO, hay varias maneras de poder agregar nuevos miembros a tu organización. Los propietarios de la organización pueden invitar a los miembros de forma manual en GitHub Enterprise Cloud o usando la API. Para obtener más información, consulta las secciones "Invitar usuarios a unirse a tu organización" y "Miembros".

Para aprovisionar nuevos usuarios sin una invitación de un propietario de la organización, puedes usar la URL https://github.com/orgs/ORGANIZATION/sso/sign_up, reemplazando ORGANIZATION con el nombre de tu organización. Por ejemplo, puedes configurar tu IdP para que cualquiera con acceso al IdP pueda hacer clic en el tablero del IdP para unirse a tu organización de GitHub.

Si tu IdP admite SCIM, GitHub puede invitar automáticamente a los miembros para que se unan a tu organización cuando les otorgas acceso en tu IdP. Si eliminas el acceso de un miembro a tu organización de GitHub en tu IdP de SAML, éste se eliminará automáticamente de la organización deGitHub. Para obtener más información, consulta la sección "Acerca de SCIM".

Puedes utilizar la sincronización de equipos para agregar y eliminar automáticamente a los miembros o equipos de la organización mediante un proveedor de identidad. Para obtener más información, consulta la sección "Sincronizar a un equipo con un grupo de proveedor de identidad."

GitHub Enterprise Cloud no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Leer más