Configuración de la autenticación de y aprovisionamiento con Okta

Aprende a configurar Okta para comunicarte con tu empresa.

¿Quién puede utilizar esta característica?

Site administrators with admin access to the IdP

En este artículo

Note

SCIM para GitHub Enterprise Server se encuentra actualmente en beta y está sujeto a cambios. GitHub recomienda realizar pruebas con una instancia de ensayo primero. Consulta Configurar una instancia de preparación.

Acerca del aprovisionamiento con Okta

Si usas Okta como IdP, puede usar la aplicación de Okta para aprovisionar cuentas de usuario, administrar la pertenencia a empresas y equipos de organizaciones de tu empresa. Okta es un IdP de asociado, por lo que puede simplificar la configuración de autenticación y aprovisionamiento mediante la aplicación Okta para administrar el inicio de sesión único de SAML y el aprovisionamiento de SCIM en GitHub Enterprise Server.

Como alternativa, si solo vas a usar Okta para la autenticación SAML y quieres usar otro IdP para el aprovisionamiento, puede integrar con la API de REST de GitHub para SCIM. Para más información, consulta Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST.

Características admitidas

GitHub Enterprise Server admite las siguientes características de aprovisionamiento para Okta.

CaracterísticaDescripción
Subir Usuarios NuevosLos usuarios que se asignan a GitHub en Okta se crean automáticamente en la empresa en GitHub.
Subir la Actualización de PerfilLas actualizaciones que se hacen al perfil del usuario en Oktan se subirán a GitHub.
Grupos de SubidaLos Grupos en Okta que se hayan asignado a GitHub's como Grupos de push se crearán automáticamente en la empresa en GitHub.
Subir Desactivaciones de UsuariosEl desasignar al usuario de GitHub's en Okta lo inhabilitará en GitHub. El usuario no podrá iniciar sesión, pero la información del usuario se mantendrá.
Reactivar UsuariosLos usuarios de Okta cuyas cuentas de Okta se reactiven y quienes se asignen de nuevo a GitHub's en Okta se habilitarán.

Requisitos previos

Se aplican los requisitos previos generales para usar SCIM en GitHub Enterprise Server. Consulta la sección "Requisitos previos" en Configuración del aprovisionamiento de SCIM para administrar usuarios.

Además:

  • Para configurar SCIM, debe haber completado los pasos del 1 al 4 de Configuración del aprovisionamiento de SCIM para administrar usuarios.

    • Necesitará personal access token (classic) que se creó para que el usuario de configuración autentique las solicitudes de Okta.

  • Debes usar la aplicación de Okta para la autenticación y el aprovisionamiento.

  • Tu producto Okta debe ser compatible con System for Cross-domain Identity Management (SCIM). Para obtener más información, revisa la documentación de Okta o ponte en contacto con el equipo de soporte técnico de Okta.

1. Configuración de SAML

Antes de iniciar esta sección, asegúrate de que has seguido los pasos 1 y 2 de "Configuración del aprovisionamiento de SCIM para administrar usuarios.

En Okta

  1. Ve a la aplicación GitHub Enterprise Server en Okta.

  2. Haga clic en Agregar integración.

  3. En la configuración general de la dirección URL base, escriba la dirección URL de host (https://HOSTNAME.com) de GitHub Enterprise Server.

  4. Haga clic en la pestaña Sign On (Iniciar sesión).

  5. Asegúrese de que el campo "Detalles de credenciales" coincida con lo siguiente.

    • "Formato de nombre de usuario de la aplicación": nombre de usuario de Okta
    • "Actualizar el nombre de usuario de la aplicación en": Crear y actualizar
    • "Revelación de contraseña": deseleccionada

  6. En la sección "Certificados de firma de SAML", descargue el certificado seleccionando Acciones y, a continuación, haga clic en Descargar certificado.

  7. En el lado derecho de la página, haga clic en Ver instrucciones de configuración de SAML.

  8. Anote la dirección URL de inicio de sesión y la dirección URL del emisor.

En GitHub Enterprise Server

  1. Inicie sesión en tu instancia de GitHub Enterprise Server como usuario con acceso a la Consola de administración.
  2. Configure SAML con la información recopilada. Consulta Configurar el inicio de sesión único de SAML para tu empresa.

2. Configuración de SCIM

Después de configurar SAML, puedes pasar a la configuración del aprovisionamiento.

Antes de iniciar esta sección, asegúrate de que has seguido los pasos 1 a 4 en Configuración del aprovisionamiento de SCIM para administrar usuarios.

  1. Navega a tu aplicación de GitHub Enterprise Managed User en Okta.

  2. Haga clic en el Provisioning ficha.

  3. En el menú de configuración, haga clic en Integration (Integración).

  4. Haga clic en Edit (Editar) para realizar cambios.

  5. Haga clic en Configurar la integración de API.

  6. En el campo "API Token", escribe el personal access token (classic) que pertenece al usuario de configuración.

    Note

    "Importar grupos" no es compatible con GitHub. La selección o deselección de la casilla no afecta a la configuración.

  7. Haga clic en Test API Credentials (Probar credenciales de API). Si la prueba tiene éxito, se mostrará un mensaje de verificación en la parte superior de la pantalla.

  8. Para guardar el token, haga clic en Save (Guardar).

  9. En el menú de configuración, haga clic en To App (En la aplicación).

  10. A la derecha de "Provisioning to App" (Aprovisionar en la aplicación), para permitir que se realicen cambios, haga clic en Edit (Editar).

  11. Selecciona Habilitar a la derecha de Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios.

  12. Para finalizar la configuración del aprovisionamiento, haga clic en Save (Guardar).

Cuando haya terminado de configurar SCIM, puede deshabilitar algunas de las opciones de SAML que habilitó en el proceso de configuración. Consulta Configuración del aprovisionamiento de SCIM para administrar usuarios.

¿Cómo puedo asignar usuarios y grupos?

Después de haber configurado la autenticación y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub asignando usuarios o grupos a la aplicación relevante en tu IdP.

Note

Un administrador de sitio puede tener habilitados los límites de velocidad de API en la instancia. Si superas estos umbrales, los intentos de aprovisionar usuarios pueden producir un error de "límite de velocidad". Puedes revisar los registros de IdP para confirmar si se ha producido un error en las operaciones de envío de cambios o de aprovisionamiento de SCIM que se han intentado realizar debido a un error de límite de frecuencia. La respuesta a un intento de aprovisionamiento con errores dependerá del IdP. Para más información, consulta Solución de problemas de administración de acceso e identidad para la empresa.

También puedes administrar automáticamente la pertenencia a organizaciones agregando grupos a la pestaña de "Push Groups" en Okta. Cuando el grupo se aprovisione con éxito, este estará disponible para conectarse a los equipos en las organizaciones de la empresa. Para más información sobre la administración de equipos, consulta Administrar membrecías de equipo con grupos de proveedor de identidad.

Cuando se asignan usuarios, es posible utilizar el atributo "Roles" en la aplicación del IdP para configurar el rol de un usuario de la empresa. Para más información sobre los roles disponibles para asignar, consulta Roles en una empresa.

Note

Solo puedes establecer el atributo "Roles" para un usuario individual, no para un grupo. Si quiere establecer roles para todos los miembros de un grupo asignado a la aplicación en Okta, debe utilizar el atributo "Roles" para cada miembro del grupo, individualmente.

¿Cómo puedo desaprovisionar usuarios y grupos?

Para quitar un usuario o un grupo de GitHub, quítalo tanto de la pestaña "Asignaciones" como de la pestaña "Grupos de inserción" en Okta. En el caso de los usuarios, asegúrate de se quiten de todos los grupos en la pestaña "Grupos de inserción".