Skip to main content

Configuring SAML single sign-on and SCIM using Okta

You can use Security Assertion Markup Language (SAML) single sign-on (SSO) and System for Cross-domain Identity Management (SCIM) with Okta to automatically manage access to your organization on GitHub.com.

Who can use this feature

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

About SAML and SCIM with Okta

You can control access to your organization on GitHub.com and other web applications from one central interface by configuring the organization to use SAML SSO and SCIM with Okta, an Identity Provider (IdP).

Nota: Para utilizar el inicio de sesión único de SAML, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, vea "Configuración de una versión de prueba de GitHub Enterprise Cloud".

SAML SSO controls and secures access to organization resources like repositories, issues, and pull requests. SCIM automatically adds, manages, and removes members' access to your organization on GitHub.com when you make changes in Okta. For more information, see "About identity and access management with SAML single sign-on" and "About SCIM for organizations."

After you enable SCIM, the following provisioning features are available for any users that you assign your GitHub Enterprise Cloud application to in Okta.

FeatureDescription
Push New UsersWhen you create a new user in Okta, the user will receive an email to join your organization on GitHub.com.
Push User DeactivationWhen you deactivate a user in Okta, Okta will remove the user from your organization on GitHub.com.
Push Profile UpdatesWhen you update a user's profile in Okta, Okta will update the metadata for the user's membership in your organization on GitHub.com.
Reactivate UsersWhen you reactivate a user in Okta, Okta will send an email invitation for the user to rejoin your organization on GitHub.com.

Alternatively, you can configure SAML SSO for an enterprise using Okta. SCIM for enterprise accounts is only available with Enterprise Managed Users. For more information, see "Configuring SAML single sign-on for your enterprise using Okta" and "Configuring SCIM provisioning for Enterprise Managed Users with Okta."

Adding the GitHub Enterprise Cloud application in Okta

  1. En el nombre de la aplicación, haga clic en Iniciar sesión.

    Pestaña de inicio de sesión

  2. En "SIGN ON METHODS" (MÉTODOS DE INICIO DE SESIÓN), haz clic en View Setup Instructions (Ver instrucciones de configuración).

    Pestaña de inicio de sesión

  3. Enable and test SAML SSO on GitHub using the sign on URL, issuer URL, and public certificates from the "How to Configure SAML 2.0" guide. For more information, see "Enabling and testing SAML single sign-on for your organization."

Configuring access provisioning with SCIM in Okta

Para usar SCIM con tu organización, debes usar una OAuth App propiedad de terceros. La OAuth App la debe autorizar un usuario específico de GitHub y, posteriormente, actuar en nombre de este. Si el usuario que ha autorizado por última vez esta OAuth App abandona la organización o le eliminan de esta, SCIM dejará de funcionar. Para evitar este problema, se recomienda crear una cuenta de usuario dedicada para configurar SCIM. Esta cuenta de usuario debe ser un propietario de la organización y consumirá una licencia.

  1. Sign into GitHub.com using an account that is an organization owner and is ideally used only for SCIM configuration.

  2. To create an active SAML session for your organization, navigate to https://github.com/orgs/ORGANIZATION-NAME/sso. For more information, see "About authentication with SAML single sign-on."

  3. Navigate to Okta.

  4. En la barra lateral izquierda, use la lista desplegable Applications (Aplicaciones) y haga clic en Applications (Aplicaciones).

  5. En la lista de aplicaciones, da clic en la etiqueta para la aplicación que creaste para la organización que utiliza GitHub Enterprise Cloud.

  6. En el nombre de la aplicación, haga clic en Aprovisionamiento. Captura de pantalla de la pestaña "Aprovisionamiento" de la aplicación de Okta

  7. Haga clic en Configurar integración de la API.

  8. Seleccione Habilitar la integración de la API.

  9. Click Authenticate with GitHub Enterprise Cloud - Organization.

  10. To the right of your organization's name, click Grant.

    "Grant" button for authorizing Okta SCIM integration to access organization

  11. Click Authorize OktaOAN.

  12. Haga clic en Save(Guardar).

  13. Para evitar sincronizar los errores y confirmar que tus usuarios tienen habilitado SAML y las identidades enlazadas de SCIM, te recomendamos que audites a los usuarios de tu organizción. Para más información, ve "Solución de problemas de administración de acceso e identidad para la organización".

  14. A la derecha de "Aprovisionamiento en aplicación", haga clic en Editar.

    Captura de pantalla del botón "Editar" para las opciones de aprovisionamiento de la aplicación de Okta

  15. A la derecha de Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios, seleccione Habilitar.

    Captura de pantalla de las casillas "Habilitar" para las opciones "Crear usuarios", "Actualizar atributos de usuario" y "Desactivar usuarios".

  16. Haga clic en Save(Guardar).

Further reading