Skip to main content

Acerca de la administración de identidades y acceso con el inicio de sesión único de SAML

Si administras centralmente las identidades y aplicaciones de tus usuarios con un provedor de identidad (IdP), puedes configurar el inicio de sesión único (SSO) del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para proteger los recursos de tu organización en GitHub.

Nota: Para utilizar el inicio de sesión único de SAML, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, vea "Configuración de una versión de prueba de GitHub Enterprise Cloud".

Acerca de SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas que utilizan GitHub Enterprise Cloud una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configura el SSO de SAML, los miembros de su organización continuarán iniciando sesión en sus cuentas personales en GitHub.com. Cuando un miembro acceda a los recursos que no sean públicos dentro de su organización, GitHub lo redireccionará a tu IdP para autenticarse. Después de autenticarse correctamente, su IdP redirecciona a este miembro a GitHub. Para más información, vea "Acerca de la autenticación con el inicio de sesión único de SAML".

Nota: SAML SSO no reemplaza el proceso de inicio de sesión normal para GitHub. A menos que use Enterprise Managed Users, los miembros seguirán iniciando sesión en sus cuentas personales en GitHub.com y cada cuenta personal se vinculará a una identidad externa en el IdP.

Los propietarios de las organizaciones pueden requerir el SSO de SAML para una organización individual o para todas las organizaciones en una cuenta empresarial. Para más información, vea "Configuración del inicio de sesión único de SAML para la empresa".

Notas:

  • La autenticación SAML no es necesaria para que los miembros de la organización realicen operaciones de lectura, como ver, clonar y bifurcar recursos públicos.
  • La autenticación SAML no es necesaria para colaboradores externos. Para más información sobre los colaboradores externos, vea "Roles en una organización".

Antes de habilitar el SSO de SAML para tu organización, necesitarás conectar tu IdP a la misma. Para más información, vea "Conexión del proveedor de identidades a la organización".

En una organización, el SSO de SAML puede inhabilitarse, habilitarse pero no requerirse, o habilitarse y requerirse. Después de habilitar exitosamente el SSO de SAML para tu organización y que sus miembros se autentiquen exitosamente con tu IdP, puedes requerir la configuración del SSO de SAML. Para más información sobre cómo aplicar el inicio de sesión único de SAML para la organización de GitHub, vea "Aplicación del inicio de sesión único de SAML para la organización".

Los miembros deben autenticarse regularmente con tu IdP y obtener acceso a los recursos de tu organización. Tu IdP especifica la duración de este período de inicio de sesión y, generalmente, es de 24 horas. Este requisito de inicio de sesión periódico limita la duración del acceso y requiere que los usuarios se vuelvan a identificar para continuar.

Para acceder a los recursos protegidos de tu organización tulizando la API y Git en la línea de comando, los miembros deberán autorizar y autentificarse con un token de acceso personal o llave SSH. Para más información, vea "Autorización de un token de acceso personal para su uso con el inicio de sesión único de SAML" y "Autorización de una clave SSH para su uso con el inicio de sesión único de SAML".

La primera vez que un miembro utiliza el SSO de SAML para acceder a tu organización, GitHub crea un registro automáticamente, el cual vincula tu organización, la cuenta del miembro en GitHub.com y la cuenta del miembro en tu IdP. Puedes ver y retirar la identidad de SAML que se ha vinculado, activar sesiones, y autorizar las credenciales para los miembros de tu organización o cuenta empresarial. Para más información, vea "Visualización y administración del acceso SAML de un miembro a la organización" y "Visualización y administración del acceso SAML de un usuario a la empresa".

Si los miembros ingresan con una sesión de SSO de SAML cuando crean un nuevo repositorio, la visibilidad predeterminada de dicho repositorio será privada. De lo contrario, la visibilidad predeterminada es pública. Para más información sobre la visibilidad de los repositorios, vea "Acerca de los repositorios".

Los miembros de una organización también deben contar con una sesión activa de SAML para autorizar un OAuth App. Puedes decidir no llevar este requisito si contactas a Soporte de GitHub. GitHub Enterprise Cloud no recomienda que renuncies a este requisito, ya que expondrá a tu organización a un riesgo mayor de que se roben las cuentas y de que exista pérdida de datos.

GitHub Enterprise Cloud no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Servicios SAML admitidos

GitHub Enterprise Cloud es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Algunos IdP admiten acceso de suministro a una organización de GitHub a través de SCIM. Para obtener más información, consulta "Acerca de SCIM para las organizaciones".

No puedes usar esta implementación de SCIM con una cuenta de empresa o con una organization with managed users. Si la empresa está habilitada para Enterprise Managed Users, debes usar otra implementación de SCIM. De lo contrario, SCIM no está disponible en el nivel empresarial. Para obtener más información, consulta "Configuración del aprovisionamiento de SCIM para Enterprise Managed Users".

Agregar miembros a una organización usando SAML SSO

Después de habilitar el inicio de sesión único de SAML, hay varias maneras de agregar nuevos miembros a su organización. Los propietarios de la organización pueden invitar a los miembros de forma manual en GitHub Enterprise Cloud o usando la API. Para más información, vea "Invitación a los usuarios a unirse a la organización" y "Miembros".

Para aprovisionar nuevos usuarios sin una invitación de un propietario de la organización, puede usar la dirección URL https://github.com/orgs/ORGANIZATION/sso/sign_up, reemplazando ORGANIZATION por el nombre de su organización. Por ejemplo, puede configurar el IdP para que cualquiera con acceso al IdP pueda hacer clic en el tablero del IdP para unirse a la organización de GitHub.

Si tu IdP admite SCIM, GitHub puede invitar automáticamente a los miembros para que se unan a tu organización cuando les otorgas acceso en tu IdP. Si eliminas el acceso de un miembro a tu organización de GitHub en tu IdP de SAML, éste se eliminará automáticamente de la organización deGitHub. Para obtener más información, consulta "Acerca de SCIM para las organizaciones".

Puede utilizar la sincronización de equipos para agregar y eliminar automáticamente a los miembros o equipos de la organización mediante un proveedor de identidades. Para más información, vea "Sincronización de un equipo con un grupo de proveedores de identidades".

GitHub Enterprise Cloud no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Información adicional