Acerca de SAML SSO
El SSO de SAML te permite controlar centralmente y asegurar el acceso a tu instancia de GitHub Enterprise Serverdesde tu IdP de SAML. Cuando un usuario no autenticado vista tu instancia de GitHub Enterprise Server en un buscador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica exitosamente con una cuenta en el IdP, éste lo redirige de regreso a tu instancia de GitHub Enterprise Server. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.
Después de autenticarse exitosamente en tu IdP, la sesión de SAML del usuario para tu instancia de GitHub Enterprise Server se encuentra activa en el buscador por 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.
If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. Para obtener más información, consulta "Suspender y anular suspensión de usuarios".
Proveedores de identidad compatibles
GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para obtener más información, consulta la sección Wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Configurar el SSO de SAML
Puedes habilitar o inhabilitar la autenticación de SAML para tu instancia de GitHub Enterprise Server o puedes editar una configuración existente. You can view and edit authentication settings for GitHub Enterprise Server in the management console. Para obtener más información, consulta la sección "Acceder a la consola de administración".
Nota: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for tu instancia de GitHub Enterprise Server. Para obtener más información, consulta "Configurar una instancia de preparación."
-
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .
-
Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.
-
En la barra lateral izquierda, haz clic en Consola de administración.
-
En la barra lateral izquierda, da clic en Autenticación.
-
Selecciona SAML.
-
Opcionalmente, para permitir que las personas sin una cuenta en tu sistema de autenticación externa inicien sesión con una autenticación integrada, selecciona Permitir la autenticación integrada. Para obtener más información, consulta la sección "Permitir la autenticación integrada para los usuarios fuera de tu proveedor".
-
Opcionalmente, para activar el SSO de respuesta no solicitada, selecciona IdP initiated SSO. Por defecto, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con una
AuthnRequest
de vuelta al IdP.Nota: Te recomendamos mantener este valor deseleccionado. Deberías habilitar esta característica únicamente en la remota instancia de que tu implementación de SAML no sea compatible con el SSO que inició el proveedor de servicios y cuando lo recomiende Soporte para GitHub Enterprise.
-
Selecciona Disable administrator demotion/promotion (Desactivar la degradación/promoción del administrador) si no quieres que tu proveedor de SAML determine los derechos del administrador para los usuarios en tu instancia de GitHub Enterprise Server.
-
En el campo URL de inicio de sesión único, teclea la terminal HTTP o HTTPS en tu IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo se encuentra disponible en tu red interna, podrías necesitar configurar tu instancia de GitHub Enterprise Server para utilizar servidores de nombres internos.
-
Opcionalmente, en el campo de Emisor, teclea el nombre del emisor SAML. Esto verifica la autenticidad de los mensajes que se envían a tu instancia de GitHub Enterprise Server.
-
En los menús desplegables de Método de firma y Método de resumen, elige el algoritmo de hash que usa tu emisor SAML para verificar la integridad de las respuestas desde tu instancia de GitHub Enterprise Server. Especifica el formato con el menú desplegable Formato de identificador de nombre.
-
Dentro de Verification certificate (Certificado de comprobación), haz clic en Choose File (Elegir archivo) y elige un certificado para validar las respuestas SAML desde el IdP.
-
Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.