Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Esta versión de GitHub Enterprise se discontinuó el 2020-11-12. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener un mejor desempeño, más seguridad y nuevas características, actualiza a la última versión de GitHub Enterprise. Para obtener ayuda con la actualización, contacta al soporte de GitHub Enterprise.

Usar SAML

SAML es un estándar basado en XML para autenticación y autorización. Servidor de GitHub Enterprise puede actuar como un proveedor de servicios (SP) con tu proveedor de identidad (IdP) SAML interno.

En este artículo

Si quieres autenticar usuarios sin agregarlos a tu proveedor de identidad, puedes configurar la autenticación integrada. Para obtener más información, consulta "Permitir autenticación integrada para usuarios fuera de tu proveedor de identidad".

Servicios SAML admitidos

Ofrecemos soporte limitado para todos los proveedores de identidad que implementan SAML 2.0 estándar. Ofrecemos soporte oficial de estos proveedores de identidad que se han probado internamente:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

GitHub Enterprise no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Consideraciones sobre el nombre de usuario con SAML

Cada nombre de usuario Servidor de GitHub Enterprise lo determina una de las siguientes aserciones en la respuesta SAML, ordenadas por prioridad:

  • El atributo de nombre de usuario personalizado, si está definido y si hay uno.
  • Una aserción http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, si hay una.
  • Una aserción http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress assertion, si hay una.
  • El elemento NameID.

Se requiere el elemento NameID, incluso si hay otros atributos.

Se crea una asignación entre el NameID y el nombre de usuario Servidor de GitHub Enterprise, para que el NameID sea persistente, único y no esté sujeto a cambios durante el ciclo de vida del usuario.

Nota: Si la NameID de un usuario sí cambia en el IdP, el usuario verá un mensaje de error cuando intente ingresar en tu instancia de Servidor de GitHub Enterprise. Para obtener más información, consulta "Error: "Otro usuario ya tiene esta cuenta"".

Los nombres de usuario del Servidor de GitHub Enterprise únicamente pueden contener caracteres alfanuméricos y rayas (-). El Servidor de GitHub Enterprise convertirá en raya cualquier caracter no alfanumérico en el nombre de tu cuenta de usuario. Por ejemplo, un nombre de usuario gregory.st.john se convertirá en gregory-st-john. Nota que los nombres de usuarios normalizados tampoco pueden comenzar o terminar con una raya. Tampoco pueden contener dos rayas seguidas.

Los nombres de usuarios creados a partir de direcciones de correo electrónico se crean con los caracteres normalizados que preceden al caracter @.

Si múltiples cuentas se normalizan en el mismo nombre de usuario de Servidor de GitHub Enterprise, solo se crea la primera cuenta de usuario. Los siguientes usuarios con el mismo nombre de usuario no podrán registrarse.

Esta tabla brinda ejemplos de cómo se normalizan los nombres de usuarios en el Servidor de GitHub Enterprise:

Nombre de usuarioNombre de usuario normalizadoResultado
Ms.Bubblesms-bubblesEl nombre de usuario se crea correctamente.
!Ms.Bubbles-ms-bubblesNo se crea este nombre de usuario debido a que comienza con una raya.
Ms.Bubbles!ms-bubbles-No se crea este nombre de usuario debido a que termina con una raya.
Ms!!Bubblesms--bubblesNo se crea este nombre de usuario debido a que contiene dos rayas seguidas.
Ms!Bubblesms-bubblesNo se crea este nombre de usuario. A pesar de que el nombre de usuario normalizado es válido, ya existía.
Ms.Bubbles@example.comms-bubblesNo se crea este nombre de usuario. A pesar de que el nombre de usuario normalizado es válido, ya existía.

Autenticación de dos factores

Cuando se utiliza SAML o CAS, la autenticación de dos factores no se admite o se administra en el aparato del Servidor de GitHub Enterprise, pero es posible que lo admita un proveedor de autenticación externo. No está disponible la implementación de la autenticación de dos factores en organizaciones. Para obtener más información sobre cómo implementar la autenticación de dos factores, consulta "Requerir autenticación de dos factores en tu organización."

Metadatos SAML

Los metadatos del proveedor de servicios de tu instancia Servidor de GitHub Enterprise están disponible en http(s)://[hostname]/saml/metadata.

Para configurar tu proveedor de identidad de forma manual, la URL del Servicio de consumidor de aserciones (ACS) es http(s)://[hostname]/saml/consume. Esta usa el enlace urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.

Atributos de SAML

Estos atributos están disponibles. Puedes modificar el nombre del atributo en Consola de administración, a excepción del atributo administrator.

Nombre de atributo predeterminadoTipoDescripción
ID del nombreRequeridoUn identificador de usuario persistente. Se puede usar cualquier formato de identificador de nombre persistente. El elemento NameID se usará para un nombre de usuario Servidor de GitHub Enterprise, a menos que se proporcione una de las aserciones alternativas.
administradorOpcionalCuando el valor es "true", el usuario será promovido automáticamente como un administrador. Cualquier otro valor o un valor no existente degradará al usuario a una cuenta de usuario normal.
nombre de usuarioOpcionalEl nombre de usuario Servidor de GitHub Enterprise.
nombre_completoOpcionalEl nombre del usuario que se muestra en su página de perfil. Los usuarios pueden cambiar sus nombres después del aprovisionamiento.
correos electrónicosOpcionalLas direcciones de correo electrónico para el usuario. Se puede especificar más de una.
claves_públicasOpcionalLas claves SSH públicas para el usuario. Se puede especificar más de una.
claves_gpgOpcionalLas claves GPG para el usuario. Se puede especificar más de una.

Configurar parámetros SAML

  1. En la esquina superior derecha de cualquier página, da clic en .

    Ícono de cohete para acceder a las configuraciones de administrador del sitio

  2. En la barra lateral izquierda, haz clic en Consola de administración.

    pestaña Consola de administración en la barra lateral izquierda

  3. En la barra lateral izquierda, da clic en Autenticación.

    Pestaña de autenticación en la barra lateral de configuración

  4. Selecciona SAML.

    Autenticación SAML

  5. Opcionalmente, selecciona Permitir autenticación integrada para invitar a los usuarios a utilizar la autenticación integrada si no pertenecen a el proveedor de identidad de tu instancia de servidor de GitHub Enterprise.

    Seleccionar la casilla de verificación Autenticación integrada SAML

  6. Opcionalmente, para activar el SSO de respuesta no solicitada, selecciona IdP initiated SSO. Por defecto, Servidor de GitHub Enterprise responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con una AuthnRequest de vuelta al IdP.

    SSO del IdP SAML

    Nota: Te recomendamos mantener este valor sin seleccionar. Debes activar esta función solo en el caso inusual que tu implementación SAML no admita el SSO iniciado del proveedor de servicios y que Soporte para GitHub Enterprise lo aconseje.

  7. Selecciona Disable administrator demotion/promotion (Desactivar la degradación/promoción del administrador) si no quieres que tu proveedor de SAML determine los derechos del administrador para los usuarios en tu instancia de servidor de GitHub Enterprise.

    Configuración de administración para desactivar SAML

  8. En el campo URL de inicio de sesión único, escribe la HTTP o el extremo HTTPS en tu IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde tu red interna, es posible que sea necesario configurar tu instancia de servidor de GitHub Enterprise para usar los servidores de nombres internos.

    Autenticación SAML

  9. También puedes escribir tu nombre de emisor de SAML en el campo Emisor. Esto verifica la autenticidad de los mensajes enviados a tu instancia de servidor de GitHub Enterprise.

    Emisor SAML

  10. En los menúes desplegables Método de firma y Método de resumen, elige el algoritmo de hash que usa tu emisor SAML para verificar la integridad de las respuestas desde tu instancia de servidor de GitHub Enterprise. Especifica el formato con el menú desplegable Formato de identificador de nombre.

    Método SAML

  11. Dentro de Verification certificate (Certificado de comprobación), haz clic en Choose File (Elegir archivo) y elige un certificado para validar las respuestas SAML desde el IdP.

    Autenticación SAML

  12. Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

    Nombres de atributo de SAML

Revocar acceso a tu instancia de servidor de GitHub Enterprise

Si eliminas un usuario desde tu proveedor de identidad, también debes suspenderlos de forma manual. De lo contrario, seguirán estando disponibles para autenticarse usando los tokens de acceso o las claves SSH. Para obtener más información, consulta "Suspender y anular suspensión de usuarios".

Requisitos para los mensajes de respuesta

El mensaje de respuesta debe cumplir con los siguientes requisitos:

  • Se debe proporcionar el elemento <Destination> en el documento de respuesta raíz y empatar la URL ACS únicamente cuando dicho documento se firme. Si la aserción está firmada, ésta se ignorará.
  • Siempre deberá proporcionarse el elemento <Audience> como parte del elemento <AudienceRestriction>. Siempre deberá proporcionarse el elemento <Audience> como parte del elemento <AudienceRestriction>. Ésta es la URL para la instancia de Servidor de GitHub Enterprise, tal como https://ghe.corp.example.com.
  • Cada aserción en la respuesta debe estar protegida por una firma digital. Esto se puede lograr firmando cada elemento <Assertion> individual o firmando el elemento <Response>.
  • Un elemento <NameID> se debe proporcionar como parte del elemento <Subject>. Se puede usar cualquier formato de identificador de nombre persistente.
  • El atributo Recipient debe estar presente y establecido en la URL ACS. Por ejemplo:
<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>...</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://ghe.corp.example.com/saml/consume" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
    <saml:AttributeStatement>
      <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...>
        <saml:AttributeValue>monalisa</saml:AttributeValue>
      </saml:Attribute>
    </saml:AttributeStatement>
  </saml:Assertion>
</samlp:Response>

Autenticación SAML

de entidad del Servidor de GitHub Enterprise, se presentará el siguiente mensaje de error en el registro de autenticación: Para obtener más información sobre los requisitos de respuesta de SAML, consulta la sección "Requisitos de mensaje de respuesta".

Error: "Otro usuario ya tiene la cuenta"

Cuando un usuario ingresa en Servidor de GitHub Enterprise por primera vez con la autenticación de SAML, Servidor de GitHub Enterprise crea una cuenta de usuario en la instancia y mapea la NameID de SAML hacia la cuenta.

Cuando el usuario vuelve a ingresar, Servidor de GitHub Enterprise compara el mapeo de la NameID de la cuenta con la respuesta del IdP. Si la NameID en la respuesta del IdP ya no empata con la NameID que Servidor de GitHub Enterprise espera para el usuario, el inicio de sesión fallará. El usuario verá el siguiente mensaje.

Another user already owns the account. Please have your administrator check the authentication log.

The message typically indicates that the person's username or email address has changed on the IdP. For help updating the NameID mapping, contact GitHub Enterprise Support](https://enterprise.githubsupport.com/hc/en-us) o GitHub Premium Support.

Si la respuesta SAML no está firmada o la firma no coincide con los contenidos, se presentará el siguiente mensaje de error en el registro de autenticación:

Si el Recipient no coincide con la URL ACS, se presentará el siguiente mensaje de error en el registro de autenticación:

El destinatario en la respuesta SAML no debe estar en blanco.
El destinatario en la respuesta SAML no era válido.

Ensure that you set the value for Recipient on your IdP to the full ACS URL for your Servidor de GitHub Enterprise instance. Por ejemplo, https://ghe.corp.example.com/saml/consume.

Error: "SAML Response is not signed or has been modified"

If your IdP does not sign the SAML response, or the signature does not match the contents, the following error message will appear in the authentication log.

La respuesta SAML no está firmada o ha sido modificada.

Ensure that you configure signed assertions for the Servidor de GitHub Enterprise application on your IdP.

Error: "Audience is invalid" or "No assertion found"

If the IdP's response has a missing or incorrect value for Audience, the following error message will appear in the authentication log.

La audiencia es no válida. Audience attribute does not match https://YOUR-INSTANCE-URL

Ensure that you set the value for Audience on your IdP to the EntityId for your Servidor de GitHub Enterprise instance, which is the full URL to your Servidor de GitHub Enterprise instance. Por ejemplo, https://ghe.corp.example.com.