Skip to main content

Acerca de SAML para IAM empresarial

Puedes usar el inicio de sesión único (SSO) de SAML para administrar de forma centralizada el acceso a tu instancia de GitHub Enterprise Server.

Acerca del inicio de sesión único de SAML para tu empresa

El SSO de SAML permite que las personas se autentiquen y accedan a tu instancia de GitHub Enterprise Server mediante un sistema externo para la administración de identidades.

SAML es un estándar basado en XML para la autenticación y la autorización. Cuando configuras SAML para tu instancia de GitHub Enterprise Server, el sistema de autenticación externo se denomina un "proveedor de identidad" (IdP). Tu instancia actúa como un proveedor de servicios (PS) de SAML. Para obtener más información sobre el estándar SAML, consulta Lenguaje de marcado de aserción de seguridad en Wikipedia.

Nota: Puedes usar SAML o LDAP, pero no ambos.

Cuando se usa SAML o CAS, la autenticación en dos fases no se admite ni se administra en la instancia de GitHub Enterprise Server, pero es posible que un proveedor de autenticación externo sí la admita. No está disponible la implementación de la autenticación de dos factores en organizaciones. Para más información sobre cómo aplicar la autenticación en dos fases en las organizaciones, consulta "Requerir autenticación en dos fases en la organización".

Después de configurar SAML, las personas que usan tu instancia de GitHub Enterprise Server deben usar un personal access token para autenticar solicitudes de API. Para obtener más información, vea «Administración de tokens de acceso personal».

Si quieres permitir la autenticación de ciertos usuarios que no tengan una cuenta en el proveedor de autenticación externo, puedes permitir la autenticación de reserva en las cuentas locales en tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Permitir la autenticación integrada de los usuarios ajenos al proveedor».

Para obtener más información sobre del SSO de SAML en GitHub Enterprise Server, consulte "Configurar el inicio de sesión único de SAML para tu empresa".

Acerca de la creación de cuentas de usuario

Predeterminadamente, tus IdP no se comunican con GitHub Enterprise Server automáticamente cuando asignas o desasignas la aplicación. GitHub Enterprise Server crea una cuenta de usuario mediante aprovisionamiento Just-in-Time (JIT) de SAML la primera vez que alguien navega a GitHub Enterprise Server e inicia sesión mediante la autenticación con el IdP. Es posible que tenga que notificar manualmente a los usuarios cuando les conceda acceso a GitHub Enterprise Server y desactivar la cuenta del usuario en GitHub Enterprise Server durante la retirada.

Como alternativa, en lugar de la provisión SAML JIT, puede utilizar SCIM para crear o suspender cuentas de usuario y conceder o denegar el acceso a tu instancia de GitHub Enterprise Server automáticamente después de asignar o desasignar la aplicación en su IdP. SCIM para GitHub Enterprise Server se encuentra actualmente en public beta y está sujeto a cambios. Para más información, consulta "Acerca de cómo el aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server".

Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en tu instancia de GitHub Enterprise Server. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para más información, consulta "Suspender y anular suspensión de usuarios".

IdP compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Microsoft Active Directory Federation Services (ADt FS)
  • Microsoft Entra ID (anteriormente conocido como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Si tu IdP es compatible con confirmaciones cifradas, puedes configurarlas en GitHub Enterprise Server para incrementar la seguridad durante el proceso de autenticación.

GitHub Enterprise Server no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Información adicional