Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Configurar el inicio de sesión único de SAML para tu empresa

In this article

Puedes controlar y proteger el acceso a recursos your GitHub Enterprise Server instance por la configuración de inicio de sesión único de SAML mediante el proveedor de identidades (IdP).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente your GitHub Enterprise Server instance y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita your GitHub Enterprise Server instance en un explorador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a your GitHub Enterprise Server instance. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para your GitHub Enterprise Server instance se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en your GitHub Enterprise Server instance. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para obtener más información, consulte "Suspensión y anulación de la suspensión de usuarios".

Proveedores de identidad compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurar el SSO de SAML

Puedes habilitar o inhabilitar la autenticación de SAML para your GitHub Enterprise Server instance o puedes editar una configuración existente. Puedes ver y editar la configuración de autenticación para GitHub Enterprise Server en la consola de administración. Para más información, vea "Acceso a la consola de administración".

Nota: GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para your GitHub Enterprise Server instance. Para más información, vea "Configuración de una instancia de ensayo".

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

    Captura de pantalla del vínculo "Administrador del sitio" 1. En la barra lateral de la izquierda, haga clic en Management Console . Pestaña Management Console en la barra lateral de la izquierda 1. En la barra lateral de la izquierda, haga clic en Autenticación. Pestaña de autenticación en la barra lateral de configuración

  3. Seleccione SAML.

    Captura de pantalla de la opción para habilitar la autenticación de SAML en la consola de administración

  4. Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, consulta «Permiso para la autenticación integrada para usuarios fuera del proveedor».

    Captura de pantalla de la opción para habilitar la autenticación integrada fuera del IdP de SAML

  5. Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento AuthnRequest de vuelta al IdP.

    Captura de pantalla de la opción para habilitar una respuesta no solicitada iniciada por el IdP

    Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que GitHub Enterprise Support lo aconseje.

  6. Selecciona Deshabilitar degradación o promoción de administrador si no quieres que el proveedor de SAML determine los derechos de administrador para los usuarios en your GitHub Enterprise Server instance.

    Captura de pantalla de la opción para habilitar una opción a fin de respetar el atributo "administrator" desde el IdP para habilitar o inhabilitar los derechos administrativos

  7. Opcionalmente, para permitir que your GitHub Enterprise Server instance reciba aserciones cifradas desde el IdP de SAML, selecciona Requerir aserciones cifradas. Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debes proporcionar un certificado público de your GitHub Enterprise Server instance a tu IdP. Para obtener más información, vea "Habilitar aserciones cifradas".

    Captura de pantalla de la casilla "Habilitar aserciones cifradas" en la sección "Autenticación" de la consola de administración

  8. En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tengas que configurar your GitHub Enterprise Server instance para usar servidores de nombres internos.

    Captura de pantalla del campo de texto para la URL de inicio de sesión único

  9. También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a your GitHub Enterprise Server instance.

    Captura de pantalla del campo de texto para la URL emisora de SAML

  10. En los menús desplegables Método de firma y Método de resumen, elige el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de your GitHub Enterprise Server instance. Especifique el formato con el menú desplegable Name Identifier Format (Formato de identificador de nombre).

    Captura de pantalla de los menús desplegables para seleccionar la firma y el método de resumen

  11. En Verification certificate (Certificado de verificación), haga clic en Choose file (Elegir archivo) y elija un certificado para validar las respuestas SAML desde el IdP.

    Captura de pantalla del botón para subir el certificado de validación desde un IdP

  12. Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

    Captura de pantalla de los campos para ingresar atributos SAML adicionales

Información adicional