Acerca del SSO de SAML para tu instancia de GitHub Enterprise Server
El SSO de SAML permite que las personas se autentiquen y accedan a tu instancia de GitHub Enterprise Server mediante un sistema externo para la administración de identidades.
SAML es un estándar basado en XML para la autenticación y la autorización. Cuando configuras SAML para tu instancia de GitHub Enterprise Server, el sistema de autenticación externo se denomina un "proveedor de identidad" (IdP). Tu instancia actúa como un proveedor de servicios (PS) de SAML. Para obtener más información sobre el estándar SAML, consulta Lenguaje de marcado de aserción de seguridad en Wikipedia.
Nota: Puedes usar SAML o LDAP, pero no ambos.
Tus IdP no se comunican con GitHub Enterprise Server automáticamente cuando asignas o desasignas la aplicación. GitHub Enterprise Server crea una cuenta de usuario mediante el aprovisionamiento Just-In-Time (JIT) de SAML la primera vez que alguien navega a GitHub Enterprise Server e inicia sesión mediante la autenticación a través de su IdP. Es posible que tengas que notificar manualmente a los usuarios al conceder acceso a GitHub Enterprise Server.
Cuando se usa SAML o CAS, la autenticación en dos fases no se admite ni se administra en la instancia de GitHub Enterprise Server, pero es posible que un proveedor de autenticación externo sí la admita. No está disponible la implementación de la autenticación de dos factores en organizaciones. Para más información sobre cómo aplicar la autenticación en dos fases en las organizaciones, consulta "Requerir autenticación en dos fases en la organización".
Después de configurar SAML, las personas que usan tu instancia de GitHub Enterprise Server deben usar un personal access token para autenticar solicitudes de API. Para obtener más información, vea «Creación de un token de acceso personal».
Si quieres permitir la autenticación de ciertos usuarios que no tengan una cuenta en el proveedor de autenticación externo, puedes permitir la autenticación de reserva en las cuentas locales en tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Permitir la autenticación integrada de los usuarios ajenos al proveedor».
Para más información sobre la configuración del inicio de sesión único de SAML en GitHub Enterprise Server, consulta "Configuring SAML single sign-on for your enterprise".
IdP compatibles
GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Si tu IdP es compatible con confirmaciones cifradas, puedes configurarlas en GitHub Enterprise Server para incrementar la seguridad durante el proceso de autenticación.
GitHub Enterprise Server no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.
Información adicional
- Wiki de SAML en el sitio web OASIS