Acerca de SAML SSO
El SSO de SAML te permite controlar centralmente your GitHub Enterprise Server instance y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita your GitHub Enterprise Server instance en un explorador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a your GitHub Enterprise Server instance. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.
Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para your GitHub Enterprise Server instance se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.
Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en your GitHub Enterprise Server instance. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para obtener más información, consulte "Suspensión y anulación de la suspensión de usuarios".
Proveedores de identidad compatibles
GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Configurar el SSO de SAML
Puedes habilitar o inhabilitar la autenticación de SAML para your GitHub Enterprise Server instance o puedes editar una configuración existente. Puedes ver y editar la configuración de autenticación para GitHub Enterprise Server en la consola de administración. Para más información, vea "Acceso a la consola de administración".
Nota: GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para your GitHub Enterprise Server instance. Para más información, vea "Configuración de una instancia de ensayo".
-
Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .
-
Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.
1. En la barra lateral de la izquierda, haga clic en Management Console .
1. En la barra lateral de la izquierda, haga clic en Autenticación.
-
Seleccione SAML.
-
Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, consulta «Permiso para la autenticación integrada para usuarios fuera del proveedor».
-
Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento
AuthnRequest
de vuelta al IdP.Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que GitHub Enterprise Support lo aconseje.
-
Selecciona Deshabilitar degradación o promoción de administrador si no quieres que el proveedor de SAML determine los derechos de administrador para los usuarios en your GitHub Enterprise Server instance.
-
Opcionalmente, para permitir que your GitHub Enterprise Server instance reciba aserciones cifradas desde el IdP de SAML, selecciona Requerir aserciones cifradas. Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debes proporcionar un certificado público de your GitHub Enterprise Server instance a tu IdP. Para obtener más información, vea "Habilitar aserciones cifradas".
-
En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tengas que configurar your GitHub Enterprise Server instance para usar servidores de nombres internos.
-
También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a your GitHub Enterprise Server instance.
-
En los menús desplegables Método de firma y Método de resumen, elige el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de your GitHub Enterprise Server instance. Especifique el formato con el menú desplegable Name Identifier Format (Formato de identificador de nombre).
-
En Verification certificate (Certificado de verificación), haga clic en Choose file (Elegir archivo) y elija un certificado para validar las respuestas SAML desde el IdP.
-
Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.