Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y asegurar el acceso a tu instancia de GitHub Enterprise Server si configuras el inicio de sesión único (SSO) de SAML mediante tu proveedor de identidad (IdP).

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente y asegurar el acceso a tu instancia de GitHub Enterprise Serverdesde tu IdP de SAML. Cuando un usuario no autenticado vista tu instancia de GitHub Enterprise Server en un buscador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica exitosamente con una cuenta en el IdP, éste lo redirige de regreso a tu instancia de GitHub Enterprise Server. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse exitosamente en tu IdP, la sesión de SAML del usuario para tu instancia de GitHub Enterprise Server se encuentra activa en el buscador por 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. Para obtener más información, consulta "Suspender y anular suspensión de usuarios".

Proveedores de identidad compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para obtener más información, consulta la sección Wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurar el SSO de SAML

Puedes habilitar o inhabilitar la autenticación de SAML para tu instancia de GitHub Enterprise Server o puedes editar una configuración existente. You can view and edit authentication settings for GitHub Enterprise Server in the management console. Para obtener más información, consulta la sección "Acceder a la consola de administración".

Nota: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for tu instancia de GitHub Enterprise Server. Para obtener más información, consulta "Configurar una instancia de preparación."

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si aún no estás en la página de "Administrador de sitio", en la esquina inferior izquierda, haz clic en Administrador de sitio.

    Captura de pantalla del enlace de "Administrador de sitio"

  3. En la barra lateral izquierda, haz clic en Consola de administración. pestaña Consola de administración en la barra lateral izquierda

  4. En la barra lateral izquierda, da clic en Autenticación. Pestaña de autenticación en la barra lateral de configuración

  5. Selecciona SAML.

    Captura de pantalla de la opción para habilitar la autenticación de SAML en la consola de administración

  6. Opcionalmente, para permitir que las personas sin una cuenta en tu sistema de autenticación externa inicien sesión con una autenticación integrada, selecciona Permitir la autenticación integrada. Para obtener más información, consulta la sección "Permitir la autenticación integrada para los usuarios fuera de tu proveedor".

    Captura de pantalla de la opción para habilitar la autenticación integrada fuera del IdP de SAML

  7. Opcionalmente, para activar el SSO de respuesta no solicitada, selecciona IdP initiated SSO. Por defecto, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con una AuthnRequest de vuelta al IdP.

    Captura de pantalla de la opción para habilitar una respuesta no solicitada iniciada por el IdP

    Nota: Te recomendamos mantener este valor deseleccionado. Deberías habilitar esta característica únicamente en la remota instancia de que tu implementación de SAML no sea compatible con el SSO que inició el proveedor de servicios y cuando lo recomiende Soporte para GitHub Enterprise.

  8. Selecciona Disable administrator demotion/promotion (Desactivar la degradación/promoción del administrador) si no quieres que tu proveedor de SAML determine los derechos del administrador para los usuarios en tu instancia de GitHub Enterprise Server.

    Captura de pantalla de la opción para habilitar una opción para respetar el atributo de "administrator" desde el IdP para habilitar o inhabilitar los derechos administrativos

  9. Opcionalmente, para permitir que tu instancia de GitHub Enterprise Server reciba confirmaciones cifradas desde tu IdP de SAML, selecciona Requerir confirmaciones cifradas. Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debes proporcionar un certificado público de tu instancia de GitHub Enterprise Server a tu IdP. Para obtener más información, consulta la sección "Habilitar las aserciones cifradas".

    Captura de pantalla de la casilla de verificación "Habilitar aserciones cifradas" dentro de la sección de "Autenticación"de la consola de administración

  10. En el campo URL de inicio de sesión único, teclea la terminal HTTP o HTTPS en tu IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo se encuentra disponible en tu red interna, podrías necesitar configurar tu instancia de GitHub Enterprise Server para utilizar servidores de nombres internos.

    Captura de pantalla del campo de texto para la URL de inicio de sesión único

  11. Opcionalmente, en el campo de Emisor, teclea el nombre del emisor SAML. Esto verifica la autenticidad de los mensajes que se envían a tu instancia de GitHub Enterprise Server.

    Captura de pantalla del campo de texto para la URL emisora de SAML

  12. En los menús desplegables de Método de firma y Método de resumen, elige el algoritmo de hash que usa tu emisor SAML para verificar la integridad de las respuestas desde tu instancia de GitHub Enterprise Server. Especifica el formato con el menú desplegable Formato de identificador de nombre.

    Captura de pantalla de los menús desplegables para seleccionar la firma y el método de resumen

  13. Dentro de Verification certificate (Certificado de comprobación), haz clic en Choose File (Elegir archivo) y elige un certificado para validar las respuestas SAML desde el IdP.

    Captura de pantalla del botón para subir el certificado de validación desde un IdP

  14. Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

    Captura de pantalla de los campos para ingresar atributos SAML adicionales

Leer más