Skip to main content

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y proteger el acceso a recursos tu instancia de GitHub Enterprise Server por la configuración de inicio de sesión único (SSO) de SAML mediante el proveedor de identidades (IdP).

¿Quién puede utilizar esta característica?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente tu instancia de GitHub Enterprise Server y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita tu instancia de GitHub Enterprise Server en un explorador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a tu instancia de GitHub Enterprise Server. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para tu instancia de GitHub Enterprise Server se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en tu instancia de GitHub Enterprise Server. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para más información, consulta "Suspender y anular suspensión de usuarios".

Proveedores de identidad compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Microsoft Active Directory Federation Services (ADt FS)
  • Microsoft Entra ID (anteriormente conocido como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Para más información sobre la conexión de Entra ID a tu empresa, consulta Tutorial: Integración del SSO de Microsoft Entra con GitHub Enterprise Server en Microsoft Docs.

Consideraciones sobre el nombre de usuario con SAML

GitHub Enterprise Server normaliza un valor de su proveedor de autenticación externo para determinar el nombre de usuario de cada nueva cuenta personal en tu instancia de GitHub Enterprise Server. Para más información, consulta "Consideraciones sobre el nombre de usuario para la autenticación externa".

Configurar el SSO de SAML

Puedes habilitar o inhabilitar la autenticación de SAML para tu instancia de GitHub Enterprise Server o puedes editar una configuración existente. Puedes ver y editar los ajustes de autenticación de GitHub Enterprise Server en la Consola de administración. Para obtener más información, vea «Administrar la instancia desde la interfaz del usuario web».

Nota: GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Configurar una instancia de preparación».

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haga clic en .

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  3. En la barra lateral " Administrador del sitio", haz clic en Consola de administración .

  4. En la barra lateral "Configuración", haga clic en Autenticación.

  5. En "Autenticación", selecciona SAML.

  6. Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, vea «Permitir la autenticación integrada de los usuarios ajenos al proveedor».

  7. Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento AuthnRequest de vuelta al IdP.

    Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que Soporte técnico para GitHub Enterprise lo aconseje.

  8. Opcionalmente, si no quieres que el proveedor de SAML determine los derechos de administrador para los usuarios en tu instancia de GitHub Enterprise Server, selecciona Deshabilitar degradación o promoción de administrador.

  9. Opcionalmente, para permitir que tu instancia de GitHub Enterprise Server reciba aserciones cifradas desde el IdP de SAML, selecciona Requerir aserciones cifradas.

    Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debes proporcionar un certificado público de tu instancia de GitHub Enterprise Server a tu IdP. Para obtener más información, vea «Habilitar las aserciones cifradas».

  10. En el campo "URL de inicio de sesión único", escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tengas que configurar tu instancia de GitHub Enterprise Server para usar servidores de nombres internos.

  11. También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a tu instancia de GitHub Enterprise Server.

  12. Selecciona los menús desplegables Método de firma y Método de resumen y, a continuación, haz clic en el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de tu instancia de GitHub Enterprise Server.

  13. Selecciona el menú desplegable Formato de identificador de nombre y, a continuación, haz clic en un formato.

  14. En "Certificado de verificación", haz clic en Elegir archivo y elige un certificado para validar las respuestas SAML desde el IdP.

  15. En "Atributos de usuario"; modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

Información adicional