Acerca de la configuración de SAML
Para utilizar el inicio de sesión único (SSO) de SAML para la autenticación en GitHub Enterprise Server, debes configurar tanto el proveedor de identidades (IdP) de SAML externo como your GitHub Enterprise Server instance. En una configuración de SAML, GitHub Enterprise Server funciona como un proveedor de servicios (SP) de SAML.
Debes especificar valores únicos para el IdP de SAML al configurar el inicio de sesión único de SAML para GitHub Enterprise Server, y también valores únicos de GitHub Enterprise Server en el IdP. Para más información sobre la configuración del inicio de sesión único de SAML para GitHub Enterprise Server, consulta "Configuración del inicio de sesión único de SAML para tu empresa".
Metadatos SAML
Los metadatos del proveedor de servicios para your GitHub Enterprise Server instance están disponibles en http(s)://HOSTNAME/saml/metadata, donde HOSTNAME es el nombre de host de la instancia. GitHub Enterprise Server utiliza el enlace urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.
| Value | Otros nombres | Descripción | Ejemplo |
|---|---|---|---|
| ID de Entidad de SP | URL de SP, restricción de público | URL de nivel superior para GitHub Enterprise Server | http(s)://HOSTNAME |
| URL del Servicio de Consumidor de Aserciones (ACS) del SP | URL de destino, destinatario o respuesta | URL a la que el IdP enviará respuestas de SAML | http(s)://HOSTNAME/saml/consume |
| URL de inicio de sesión único (SSO) del SP | URL en donde el IdP comienza con SSO | http(s)://HOSTNAME/sso |
Atributos de SAML
Los atributos de SAML siguientes están disponibles para GitHub Enterprise Server. Puedes cambiar los nombres de los atributos en la consola de administración, con la excepción del atributo administrator. Para más información, consulta "Acceso a la consola de administración".
| Nombre | ¿Necesario? | Descripción |
|---|---|---|
NameID | Sí | Un identificador de usuario persistente. Se puede usar cualquier formato de identificador de nombre persistente. GitHub Enterprise Server normalizará el elemento NameID para utilizarlo como nombre de usuario a menos que se proporcione una de las aserciones alternativas. Para más información, consulta "Consideraciones sobre el nombre de usuario para la autenticación externa". Nota: Es importante usar un identificador persistente y legible. El uso de un formato de identificador transitorio, como urn:oasis:names:tc:SAML:2.0:nameid-format:transient, volverá a vincular las cuentas en cada inicio de sesión, lo que puede ser perjudicial para la administración de la autorización. |
SessionNotOnOrAfter | No | La fecha en que GitHub Enterprise Server invalida la sesión asociada. Después de la invalidación, la persona se debe autenticar nuevamente para acceder a your GitHub Enterprise Server instance. Para más información, consulta "Duración y tiempo de espera de la sesión". |
A fin de especificar más de un valor para un atributo, use varios elementos <saml2:AttributeValue>.
<saml2:Attribute FriendlyName="public_keys" Name="urn:oid:1.2.840.113549.1.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>ssh-rsa LONG KEY</saml2:AttributeValue>
<saml2:AttributeValue>ssh-rsa LONG KEY 2</saml2:AttributeValue>
</saml2:Attribute>
Requisitos de respuesta de SAML
GitHub Enterprise Server requiere que el mensaje de respuesta del IdP cumpla con los requisitos siguientes.
-
El IdP debe proporcionar el elemento
<Destination>en el documento de respuesta raíz y hacer coincidir la URL de ACS únicamente cuando se firme este documento. Si el IdP firma la aserción, GitHub Enterprise Server la omitirá. -
El IdP siempre debe proporcionar el elemento
<Audience>como parte del elemento<AudienceRestriction>. El valor debe coincidir conEntityIdpara GitHub Enterprise Server. Este valor es la dirección URL en la que accedes a your GitHub Enterprise Server instance, comohttp(s)://HOSTNAME. -
El IdP debe proteger cada aserción de la respuesta con una firma digital. Esto se puede lograr si se firma cada elemento
<Assertion>individual o si se firma el elemento<Response>. -
El IdP debe proporcionar un elemento
<NameID>como parte del elemento<Subject>. Puedes utilizar cualquier formato de identificador de nombre persistente. -
El IdP debe incluir el atributo
Recipient, que se debe establecer en la URL de ACS. En el ejemplo siguiente, se muestra el atributo.<samlp:Response ...> <saml:Assertion ...> <saml:Subject> <saml:NameID ...>...</saml:NameID> <saml:SubjectConfirmation ...> <saml:SubjectConfirmationData Recipient="https://HOSTNAME/saml/consume" .../> </saml:SubjectConfirmation> </saml:Subject> <saml:AttributeStatement> <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...> <saml:AttributeValue>monalisa</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> </saml:Assertion> </samlp:Response>
Duración y tiempo de espera de la sesión
Para evitar que una persona se autentique con el IdP y permanezca autorizada indefinidamente, GitHub Enterprise Server invalida periódicamente la sesión de cada cuenta de usuario con acceso a your GitHub Enterprise Server instance. Después de la invalidación, la persona se debe volver a autenticar con el IdP. De manera predeterminada, si el IdP no declara un valor para el atributo SessionNotOnOrAfter, GitHub Enterprise Server invalida una sesión una semana después de una autenticación correcta con el IdP.
Para personalizar la duración de la sesión, puedes definir el valor del atributo SessionNotOnOrAfter en el IdP. Si defines un valor inferior a 24 horas, GitHub Enterprise Server puede solicitarle a los usuarios que se autentiquen cada vez que GitHub Enterprise Server inicia un redireccionamiento.
Notas:
- Para Azure AD, la directiva de duración configurable para los tokens SAML no controla el tiempo de espera de sesión para GitHub Enterprise Server.
- Actualmente, Okta no envía el atributo
SessionNotOnOrAfterdurante la autenticación SAML con GitHub Enterprise Server. Para más información, ponte en contacto con Okta.