Acerca de SAML SSO
El SSO de SAML te permite controlar centralmente y asegurar el acceso a your GitHub Enterprise Server instancedesde tu IdP de SAML. Cuando un usuario no autenticado vista your GitHub Enterprise Server instance en un buscador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica exitosamente con una cuenta en el IdP, éste lo redirige de regreso a your GitHub Enterprise Server instance. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.
Después de autenticarse exitosamente en tu IdP, la sesión de SAML del usuario para your GitHub Enterprise Server instance se encuentra activa en el buscador por 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.
Si eliminas un usuario desde tu proveedor de identidades, también debes suspenderlos de forma manual. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para obtener más información, consulte "Suspensión y anulación de la suspensión de usuarios".
Proveedores de identidad compatibles
GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure� AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Configurar el SSO de SAML
Puedes habilitar o inhabilitar la autenticación de SAML para your GitHub Enterprise Server instance o puedes editar una configuración existente. Puedes ver y editar la configuración de autenticación para GitHub Enterprise Server en la consola de administración. Para más información, vea "Acceso a la consola de administración".
Nota: GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para your GitHub Enterprise Server instance. Para más información, vea "Configuración de una instancia de ensayo".
-
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .
-
Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.
1. En la barra lateral de la izquierda, haga clic en Consola de administración . 1. En la barra lateral de la izquierda, haga clic en Autenticación.
-
Seleccione SAML.
-
Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, consulta «Permiso para la autenticación integrada para usuarios fuera del proveedor».
-
Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento
AuthnRequest
de vuelta al IdP.Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que Soporte técnico para GitHub� Enterprise lo aconseje.
-
Seleccione Disable administrator demotion/promotion (Deshabilitar degradación o promoción de administrador) si no quiere que el proveedor de SAML determine los derechos de administrador para los usuarios en your GitHub Enterprise Server instance.
-
En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tenga que configurar your GitHub Enterprise Server instance para usar servidores de nombres internos.
-
También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a your GitHub Enterprise Server instance.
-
En los menús desplegables Signature Method (Método de firma) y Digest Method (Método de resumen), elija el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de your GitHub Enterprise Server instance. Especifique el formato con el menú desplegable Name Identifier Format (Formato de identificador de nombre).
-
En Verification certificate (Certificado de verificación), haga clic en Choose file (Elegir archivo) y elija un certificado para validar las respuestas SAML desde el IdP.
-
Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.