Administrar la sincronización de equipos para tu organización

Nota: Si tu empresa utiliza Usuarios Administrados de Enterprise, no puedes utilizar la sincronización de equipos y, en su lugar, debes configurar SCIM para administrar la membrecía con tu proveedor de identidad. Para obtener más información, consulta la sección "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".

Acerca de la sincronización de equipo

Puedes habilitar la sincronización de equipos entre tu IdP y GitHub Enterprise Cloud para permitir a los propietarios de la organización y a los mantenedores de equipo conectar equipos en tu organización con grupos de IdP.

Cuando sincronizas un equipo de GitHub con un grupo de IdP, los cambios a este grupo se reflejan automáticamente en GitHub Enterprise Cloud, reduciendo la necesidad de hacer actualizaciones manuales y scripts personalizados. Puedes utilizar un IdP con la sincronización de equipos para gestionar las tareas administrativas tales como el incorporar miembros nuevos, otorgar permisos nuevos para hacer movimientos dentro de una organización, y eliminar el acceso de un miembro a la organización.

Note: To use SAML single sign-on, your organization must use Nube de GitHub Enterprise. Para obtener más información sobre cómo puedes probar Nube de GitHub Enterprise gratis, consulta la sección "Configurar una prueba de Nube de GitHub Enterprise".

Puedes utilizar la sincronización de equipos con los IdP compatibles.

Azure AD
Okta

Después de que habilites la sincronización de equipos, los mantenedores de equipo y propietarios de organización pueden conectar los equipos a un grupo de IdP en GitHub o a través de la API. Para obtener más información, consulta las secciones "Sincronizar un equipo con un grupo de proveedor de identidad" y "Sincronización de equipo".

También puedes habilitar la sincronización de equipos para las organizaciones que pertenezcan a tu cuenta empresarial. Para obtener más información, consulta la sección "Administrar la sincronización de equipos para las organizaciones de tu empresa.

Si tu organización pertenece a una cuenta empresarial, el habilitar la sincronización de equipo o el aprovisionamiento de SCIM para la cuenta empresarial anulará tus ajustes de sincronización de equipos a nivel organizacional. Para obtener más información, consulta las secciones "Administrar la sincronización de equipos para las organizaciones de tu cuenta empresarial" y "Configurar el aprovisionamiento de SCIM para los Usuarios Administrados Empresariales".

Límites de uso

Hay límites de uso para la característica de sincronización de equipos. El exceder estos límites ocasionará una degradación del rendimiento y podrá causar fallas de sincronización.

Cantidad máxima de miembros en un equipo de GitHub: 5,000
Cantidad máxima de miembros en una organización de GitHub: 10,000
Cantidad máxima de equipos en una organización de GitHub: 1,500

Habilitar la sincronización de equipo

Los pasos para habilitar la sincronización de equipos dependen del IdP que quieras utilizar. Existen prerrequisitos aplicables a cada IdP para habilitar la sincronización de equipos. Cada IdP individual tiene prerrequisitos adicionales.

Prerrequisitos

Para habilitar la sincronización de equipos con cualquier IdP, debes obtener acceso administrativo con tu IdP o trabajar con tu administrador de IdP para configurar la integración y los grupos de IdP. La persona que configura tus grupos e integración de IdP debe tener alguno de los permisos requeridos.

IdP	Permisos requeridos
Azure AD	Administrador global Administrador de Rol Privilegiado
Okta	Usuario de servicio con permisos administrativos de solo lectura

Debes habilitar el inicio de sesión único de SAML para tu organización y tu IdP compatible. Para obtener más información, consulta la sección "Requerir el inicio de sesión único de SAML en tu organización".

Debes tener una identidad de SAML vinculada. Para crear una identidad vinculada, debes autenticarte a tu organización utilizando el SSO de SAML y el IdP compatible por lo menos una vez. Para obtener más información, consulta "Acerca de la autenticación con el inicio de sesión único de SAML".

Tus ajustes de SAML deben contener una URL de IdP válida para el campo emisor.

Campo de emisor de SAML

Habilitar la sincronización de equipos para Azure AD

Para habilitar la sincronización de equipo para Azure AD, tu instalación de Azure AD necesita los siguientes permisos.

Lectura de todos los perfiles completos de usuarios
Inicio de sesión y lectura del perfil de usuario
Lectura de los datos del directorio

En la esquina superior derecha de GitHub.com, haz clic en tu foto de perfil y luego en Tus organizaciones.
Junto a la organización, haz clic en Configuración.
En la sección de "Seguridad" de la barra lateral, haz clic en Seguridad de autenticación.
Confirma que se habilitó el SSO de SAML en tu organización. Para obtener más información, consulta "Administrar el inicio de sesión único de SAML para tu organización".
Debajo de "Sincronización de equipo", da clic en Habilitar para Azure AD.
Confirma la sincronización de equipos.
- Si tienes acceso IdP, haz clic en Enable team synchronization (Habilitar sincronización de equipo). Serás redireccionado a la página de SSO de SAML de tu proveedor de identidad y se te solicitará que selecciones tu cuenta y revises los permisos requeridos.
- Si no tienes acceso de IdP, copia el vínculo de redirección de IdP y compártelo con tu administrador de IdP para continuar habilitando la sincronización de equipo.
Revisa la información de locatario del proveedor de identidad que deseas conectar a tu organización, después haz clic en Approve (Aprobar).

Habilitar la sincronización de equipos para Okta

La sincronización de equipos de Okta requiere que ya se hayan configurado el SAML y SCIM con Okta en tu organización.

Para evitar los errores potenciales de sincronización de equipos, de recomendamos que confirmes que las entidades de SCIM enlazadas se hayan configurado correctamente para los miembros de la organización que son miembros de tus grupos selectos de Okta antes de habilitar la sincronización de equipos en GitHub.

Si un miembro de la organización no tiene una identidad de SCIM enlazada, entonces la sincronización de equipos no funcionará como lo esperas y el usuario podría no agregarse o eliminarse de los equipos de acuerdo con lo esperado. Si cualquiera de estos usuarios no se encuentran en la identidad enlazada de SCIM, necesitarás volver a aprovisionarlos.

Para obtener ayuda para aprovisionar usuarios que no tengan una identidad de SCIM enlazada, consulta la sección "Solución de problemas para la administración de identidad y acceso".

Antes de habilitar la sincronización de equipos para Okta, tú o tu administrador de IdP deben:

Configurar la integración con SAML, SSO y SCIM en tu organización utilizando Okta. Para obtener más información, consulta la sección "Configurar el inicio de sesión único de SAML y SCIM utilizando Okta".
Proporcionar la URL del inquilino para tu instancia de Okta.
Generar un token de SSWS válido con permisos administrativos de solo lectura para tu instalación de Okta como usuario de servicio. Para obtener más información, consulta la sección Crear el token y Usuarios de servicio en la documentación de Okta.

En la esquina superior derecha de GitHub.com, haz clic en tu foto de perfil y luego en Tus organizaciones.
Junto a la organización, haz clic en Configuración.
En la sección de "Seguridad" de la barra lateral, haz clic en Seguridad de autenticación.
Confirma que se habilitó el SSO de SAML en tu organización. Para obtener más información, consulta "Administrar el inicio de sesión único de SAML para tu organización".
Te recomendamos confirmar que tus usuarios tienen habilitado SAML y tienen una identidad de SCIM enlazada para evitar errores de aprovisionamiento potenciales. Para obtener ayuda para auditar a tus usuarios, consulta la sección "Auditar usuarios para encontrar metadatos de SCIM ausentes". Para ayudarte a resolver identidades de SCIM no enlazadas, consulta la sección "Solucionar problemas administración de identidad y de acceso".
Considera requerir SAML en tu organización para garantizar que los miembros de ella enlacen sus identidades de SAML y de SCIM. Para obtener más información, consulta la sección "Requerir el inicio de sesión único de SAML en tu organización".
Debajo de "Sincronización de equipo", da clic en Habilitar para Okta.
Debajo del nombre de tu organización, teclea un token SSWS válido y la URL de tu instancia de Okta.
Revisa la información de locatario del proveedor de identidad que deseas conectar a tu organización, después da clic en Crear.

Inhabilitar la sincronización de equipo

Advertencia: Cuando inhabilitas la sincronización de equipos, cualquier miembro del equipo que se haya asignado al equipo de GitHub a través de un grupo de IdP se eliminará del mismo y podría perder acceso a los repositorios.

En la esquina superior derecha de GitHub.com, haz clic en tu foto de perfil y luego en Tus organizaciones.
Junto a la organización, haz clic en Configuración.
En la sección de "Seguridad" de la barra lateral, haz clic en Seguridad de autenticación.
Dentro de "Team synchronization" (Sincronización de equipo), haz clic en Disable team synchronization (Inhabilitar la sincronización de equipo).