Skip to main content

Esta versión de GitHub Enterprise se discontinuará el 2023-01-18. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y proteger el acceso a recursos your GitHub Enterprise Server instance por la configuración de inicio de sesión único de SAML mediante el proveedor de identidades (IdP).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente your GitHub Enterprise Server instance y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita your GitHub Enterprise Server instance en un explorador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a your GitHub Enterprise Server instance. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para your GitHub Enterprise Server instance se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Si eliminas un usuario desde tu proveedor de identidades, también debes suspenderlos de forma manual. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para obtener más información, consulte "Suspensión y anulación de la suspensión de usuarios".

Proveedores de identidad compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurar el SSO de SAML

Puedes habilitar o inhabilitar la autenticación de SAML para your GitHub Enterprise Server instance o puedes editar una configuración existente. Puedes ver y editar la configuración de autenticación para GitHub Enterprise Server en la consola de administración. Para más información, vea "Acceso a la consola de administración".

Nota: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for your GitHub Enterprise Server instance. For more information, see "Setting up a staging instance."

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

    Captura de pantalla del vínculo "Administrador del sitio" 1. En la barra lateral de la izquierda, haga clic en Consola de administración . Pestaña Consola de administración en la barra lateral de la izquierda 1. En la barra lateral de la izquierda, haga clic en Autenticación. Pestaña de autenticación en la barra lateral de configuración

  3. Seleccione SAML.

    Captura de pantalla de la opción para habilitar la autenticación de SAML en la consola de administración

  4. Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, consulta «Permiso para la autenticación integrada para usuarios fuera del proveedor».

    Captura de pantalla de la opción para habilitar la autenticación integrada fuera del IdP de SAML

  5. Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento AuthnRequest de vuelta al IdP.

    Captura de pantalla de la opción para habilitar una respuesta no solicitada iniciada por el IdP

    Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que Soporte técnico para GitHub Enterprise lo aconseje.

  6. Selecciona Deshabilitar degradación o promoción de administrador si no quieres que el proveedor de SAML determine los derechos de administrador para los usuarios en your GitHub Enterprise Server instance.

    Captura de pantalla de la opción para habilitar una opción a fin de respetar el atributo "administrator" desde el IdP para habilitar o inhabilitar los derechos administrativos

  7. En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tengas que configurar your GitHub Enterprise Server instance para usar servidores de nombres internos.

    Captura de pantalla del campo de texto para la URL de inicio de sesión único

  8. También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a your GitHub Enterprise Server instance.

    Captura de pantalla del campo de texto para la URL emisora de SAML

  9. En los menús desplegables Método de firma y Método de resumen, elige el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de your GitHub Enterprise Server instance. Especifique el formato con el menú desplegable Name Identifier Format (Formato de identificador de nombre).

    Captura de pantalla de los menús desplegables para seleccionar la firma y el método de resumen

  10. En Verification certificate (Certificado de verificación), haga clic en Choose file (Elegir archivo) y elija un certificado para validar las respuestas SAML desde el IdP.

    Captura de pantalla del botón para subir el certificado de validación desde un IdP

  11. Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

    Captura de pantalla de los campos para ingresar atributos SAML adicionales

Información adicional