Skip to main content

Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML

Si administras centralmente las identidades y aplicaciones de tus usuarios con un provedor de identidad (IdP), puedes configurar el inicio de sesión único (SSO) del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para proteger los recursos de tu organización en GitHub.

Note

Para utilizar el inicio de sesión único de SAML, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, vea "Configuración de una versión de prueba de GitHub Enterprise Cloud".

Acerca de SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configura el SSO de SAML, los miembros de su organización continuarán iniciando sesión en sus cuentas personales en GitHub.com. Cuando un miembro acceda a la mayoría de los recursos de su organización, GitHub lo redireccionará a su IdP para autenticarse. Después de autenticarse correctamente, su IdP redirecciona a este miembro a GitHub. Para obtener más información, vea «Acerca de la autenticación con el inicio de sesión único de SAML».

Note

El inicio de sesión único de SAML no reemplaza al proceso de inicio de sesión normal de GitHub. A menos que use Enterprise Managed Users, los miembros seguirán iniciando sesión en sus cuentas personales en GitHub.com y cada cuenta personal se vinculará a una identidad externa en el IdP.

La autenticación de IdP no es necesaria para acceder a repositorios públicos de determinadas maneras:

  • Visualización de la página de información general del repositorio y el contenido del archivo en GitHub
  • Bifurcación del repositorio
  • Realización de operaciones de lectura a través de Git, como clonación del repositorio

La autenticación es necesaria para otro acceso a repositorios públicos, como ver problemas, solicitudes de incorporación de cambios, proyectos y versiones.

Note

La autenticación SAML no es necesaria para colaboradores externos. Para más información sobre los colaboradores externos, consulta "Roles en una organización".

Los propietarios de las organizaciones pueden requerir el SSO de SAML para una organización individual o para todas las organizaciones en una cuenta empresarial. Para más información, consulta Acerca de la administración de identidad y de acceso y Configurar el inicio de sesión único de SAML para tu empresa.

Antes de habilitar el SSO de SAML para tu organización, necesitarás conectar tu IdP a la misma. Para más información, consulta Conectar tu proveedor de identidad con tu organización.

En una organización, el SSO de SAML puede inhabilitarse, habilitarse pero no requerirse, o habilitarse y requerirse. Después de habilitar exitosamente el SSO de SAML para tu organización y que sus miembros se autentiquen exitosamente con tu IdP, puedes requerir la configuración del SSO de SAML. Para más información sobre cómo aplicar el inicio de sesión único de SAML para la organización de GitHub, consulta Hacer cumplir el inicio de sesión único de SAML para tu organización.

Los miembros deben autenticarse regularmente con tu IdP y obtener acceso a los recursos de tu organización. Tu IdP especifica la duración de este período de inicio de sesión y, generalmente, es de 24 horas. Este requisito de inicio de sesión periódico limita la duración del acceso y requiere que los usuarios se vuelvan a identificar para continuar.

Para acceder a los recursos protegidos de tu organización mediante la API y Git en la línea de comandos, los miembros deberán autorizar y autentificarse con un personal access token o clave SSH. Para más información, consulta Autorizar un token de acceso personal para usar con un inicio de sesión único de SAML y Autorizar una clave SSH para usar con un inicio único de SAML.

La primera vez que un miembro utiliza el SSO de SAML para acceder a la organización, GitHub crea automáticamente un registro que vincula la organización, la cuenta del miembro en GitHub y la cuenta del miembro en el IdP. Puedes ver y retirar la identidad de SAML que se ha vinculado, activar sesiones, y autorizar las credenciales para los miembros de tu organización o cuenta empresarial. Para más información, consulta Visualización y administración del acceso SAML de un miembro a su organización y Visualizar y administrar el acceso de SAML de un usuario a tu empresa.

Si los miembros ingresan con una sesión de SSO de SAML cuando crean un nuevo repositorio, la visibilidad predeterminada de dicho repositorio será privada. De lo contrario, la visibilidad predeterminada es pública. Para más información sobre la visibilidad de los repositorios, consulta Acerca de los repositorios.

Los miembros de una organización también deben contar con una sesión activa de SAML para autorizar un OAuth app. Puedes decidir no llevar este requisito si contactas a con nosotros a través del Soporte técnico de GitHub. GitHub Enterprise Cloud no recomienda que renuncies a este requisito, ya que expondrá a tu organización a un riesgo mayor de que se roben las cuentas y de que exista pérdida de datos.

GitHub Enterprise Cloud no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Servicios SAML admitidos

GitHub Enterprise Cloud es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Microsoft Active Directory Federation Services (ADt FS)
  • Microsoft Entra ID (anteriormente conocido como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Algunos IdP admiten acceso de suministro a una organización de GitHub a través de SCIM. Para más información, consulta Acerca de SCIM para las organizaciones.

No puedes usar esta implementación de SCIM con una cuenta de empresa o con una organización con usuarios administrados. Si la empresa está habilitada para Enterprise Managed Users, debes usar otra implementación de SCIM. De lo contrario, SCIM no está disponible en el nivel empresarial. Para obtener más información, vea «Configuración del aprovisionamiento de SCIM para usuarios administrados empresariales».

Agregar miembros a una organización usando SAML SSO

Después de habilitar el inicio de sesión único de SAML, hay varias maneras de agregar nuevos miembros a su organización. Los propietarios de la organización pueden invitar a los miembros de forma manual en GitHub Enterprise Cloud o usando la API. Para más información, consulta Invitar a los usuarios a unirse a su organización y Puntos de conexión de API REST para organizaciones.

Para aprovisionar nuevos usuarios sin una invitación de un propietario de la organización, puede usar la dirección URL https://github.com/orgs/ORGANIZATION/sso/sign_up, reemplazando ORGANIZATION por el nombre de su organización. Por ejemplo, puede configurar el IdP para que cualquiera con acceso al IdP pueda hacer clic en el tablero del IdP para unirse a la organización de GitHub.

Note

El aprovisionamiento de nuevos usuarios a través de https://github.com/orgs/ORGANIZATION/sso/sign_up solo se admite cuando el inicio de sesión único de SAML está configurado a nivel de organización y no a nivel de cuenta empresarial. Para más información sobre el inicio de sesión único de SAML para cuentas empresariales, consulta Acerca de SAML para IAM empresarial.

Si tu IdP admite SCIM, GitHub puede invitar automáticamente a los miembros para que se unan a tu organización cuando les otorgas acceso en tu IdP. Si eliminas el acceso de un miembro a tu organización de GitHub en tu IdP de SAML, éste se eliminará automáticamente de la organización deGitHub. Para más información, consulta Acerca de SCIM para las organizaciones.

Puedes utilizar la sincronización de equipos para agregar y eliminar automáticamente a los miembros o equipos de la organización mediante un proveedor de identidades. Para más información, vea "Sincronización de un equipo con un grupo de proveedores de identidades".

Si una organización supera los 100 000 miembros, algunas experiencias de interfaz de usuario y funcionalidad de API pueden verse degradadas.

Información adicional