Skip to main content

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar el acceso seguro a your GitHub Enterprise Server instance si la configuración del inicio de sesión único (SSO) de SAML mediante tu proveedor de identidad (IdP).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente y asegurar el acceso a your GitHub Enterprise Server instancedesde tu IdP de SAML. Cuando un usuario no autenticado vista your GitHub Enterprise Server instance en un buscador, GitHub Enterprise Server lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica exitosamente con una cuenta en el IdP, éste lo redirige de regreso a your GitHub Enterprise Server instance. GitHub Enterprise Server valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse exitosamente en tu IdP, la sesión de SAML del usuario para your GitHub Enterprise Server instance se encuentra activa en el buscador por 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Si eliminas un usuario desde tu proveedor de identidades, también debes suspenderlos de forma manual. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para obtener más información, consulte "Suspensión y anulación de la suspensión de usuarios".

Proveedores de identidad compatibles

GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurar el SSO de SAML

Puedes habilitar o inhabilitar la autenticación de SAML para your GitHub Enterprise Server instance o puedes editar una configuración existente. Puedes ver y editar la configuración de autenticación para GitHub Enterprise Server en la consola de administración. Para más información, vea "Acceso a la consola de administración".

Nota: GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para your GitHub Enterprise Server instance. Para más información, vea "Configuración de una instancia de ensayo".

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

    Captura de pantalla del icono de cohete para acceder a los ajustes administrativos

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

    Captura de pantalla del vínculo "Administrador del sitio" 1. En la barra lateral de la izquierda, haga clic en Consola de administración . Pestaña Consola de administración en la barra lateral de la izquierda 1. En la barra lateral de la izquierda, haga clic en Autenticación. Pestaña de autenticación en la barra lateral de configuración

  3. Seleccione SAML.

    Captura de pantalla de la opción para habilitar la autenticación de SAML en la consola de administración

  4. Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para obtener más información, consulta «Permiso para la autenticación integrada para usuarios fuera del proveedor».

    Captura de pantalla de la opción para habilitar la autenticación integrada fuera del IdP de SAML

  5. Opcionalmente, para habilitar el inicio de sesión único de respuesta no solicitado, seleccione IdP initiated SSO (SSO iniciado de IdP). De manera predeterminada, GitHub Enterprise Server responderá a una solicitud iniciada por un proveedor de identidad (IdP) no solicitada con un elemento AuthnRequest de vuelta al IdP.

    Captura de pantalla de la opción para habilitar una respuesta no solicitada iniciada por el IdP

    Nota: Se recomienda mantener este valor sin seleccionar. Debe activar esta característica solo en el caso inusual que su implementación SAML no admita el SSO iniciado del proveedor de servicios y que Soporte técnico para GitHub Enterprise lo aconseje.

  6. Seleccione Disable administrator demotion/promotion (Deshabilitar degradación o promoción de administrador) si no quiere que el proveedor de SAML determine los derechos de administrador para los usuarios en your GitHub Enterprise Server instance.

    Captura de pantalla de la opción para habilitar una opción a fin de respetar el atributo "administrator" desde el IdP para habilitar o inhabilitar los derechos administrativos

  7. Opcionalmente, para permitir que your GitHub Enterprise Server instance reciba aserciones cifradas desde el IdP de SAML, seleccione Require encrypted assertions (Requerir aserciones cifradas). Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debes proporcionar un certificado público de your GitHub Enterprise Server instance a tu IdP. Para obtener más información, vea "Habilitar aserciones cifradas".

    Captura de pantalla de la casilla "Habilitar aserciones cifradas" en la sección "Autenticación" de la consola de administración

  8. En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tenga que configurar your GitHub Enterprise Server instance para usar servidores de nombres internos.

    Captura de pantalla del campo de texto para la URL de inicio de sesión único

  9. También puede escribir su nombre de emisor SAML en el campo Issuer (Emisor). Esto verifica la autenticidad de los mensajes que se envían a your GitHub Enterprise Server instance.

    Captura de pantalla del campo de texto para la URL emisora de SAML

  10. En los menús desplegables Signature Method (Método de firma) y Digest Method (Método de resumen), elija el algoritmo hash que usa el emisor de SAML para comprobar la integridad de las solicitudes de your GitHub Enterprise Server instance. Especifique el formato con el menú desplegable Name Identifier Format (Formato de identificador de nombre).

    Captura de pantalla de los menús desplegables para seleccionar la firma y el método de resumen

  11. En Verification certificate (Certificado de verificación), haga clic en Choose file (Elegir archivo) y elija un certificado para validar las respuestas SAML desde el IdP.

    Captura de pantalla del botón para subir el certificado de validación desde un IdP

  12. Modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

    Captura de pantalla de los campos para ingresar atributos SAML adicionales

Información adicional