Acerca del SSO de SAML para tu instancia de GitHub Enterprise Server
El SSO de SAML permite que las personas se autentiquen y accedan a tu instancia de GitHub Enterprise Server mediante un sistema externo para la administración de identidades.
SAML es un estándar basado en XML para la autenticación y la autorización. Cuando configuras SAML para tu instancia de GitHub Enterprise Server, el sistema de autenticación externo se denomina un "proveedor de identidad" (IdP). Tu instancia actúa como un proveedor de servicios (PS) de SAML. Para obtener más información sobre el estándar SAML, consulta Lenguaje de marcado de aserción de seguridad en Wikipedia.
Nota: Puedes usar SAML o LDAP, pero no ambos.
Cuando se usa SAML o CAS, la autenticación en dos fases no se admite ni se administra en la instancia de GitHub Enterprise Server, pero es posible que un proveedor de autenticación externo sí la admita. No está disponible la implementación de la autenticación de dos factores en organizaciones. Para más información sobre cómo aplicar la autenticación en dos fases en las organizaciones, consulta "Requerir autenticación en dos fases en la organización".
Después de configurar SAML, las personas que usan tu instancia de GitHub Enterprise Server deben usar un personal access token para autenticar solicitudes de API. Para obtener más información, vea «Administración de tokens de acceso personal».
Si quieres permitir la autenticación de ciertos usuarios que no tengan una cuenta en el proveedor de autenticación externo, puedes permitir la autenticación de reserva en las cuentas locales en tu instancia de GitHub Enterprise Server. Para obtener más información, vea «Permitir la autenticación integrada de los usuarios ajenos al proveedor».
Para más información sobre la configuración del inicio de sesión único de SAML en GitHub Enterprise Server, consulta "Configuring SAML single sign-on for your enterprise". Para obtener información sobre cómo configurar la autenticación y el aprovisionamiento de usuarios para tu instancia de GitHub Enterprise Server, consulta los artículos de los IdP individuales en "Uso de SAML para IAM empresarial".
Acerca de la creación de cuentas de usuario
Predeterminadamente, tus IdP no se comunican con GitHub Enterprise Server automáticamente cuando asignas o desasignas la aplicación. GitHub Enterprise Server crea una cuenta de usuario mediante aprovisionamiento Just-in-Time (JIT) de SAML la primera vez que alguien navega a GitHub Enterprise Server e inicia sesión mediante la autenticación con el IdP. Es posible que tenga que notificar manualmente a los usuarios cuando les conceda acceso a GitHub Enterprise Server y desactivar la cuenta del usuario en GitHub Enterprise Server durante la retirada.
Como alternativa, en lugar del aprovisionamiento JIT de SAML, puedes usar SCIM para crear o suspender y conceder o denegar el acceso a tu instancia de GitHub Enterprise Server automáticamente después de asignar o desasignar la aplicación en el IdP. SCIM para GitHub Enterprise Server actualmente se encuentra en versión beta privada y está sujeto a cambios. Para más información, consulta "Configuración del aprovisionamiento de usuarios con SCIM para la empresa".
Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en tu instancia de GitHub Enterprise Server. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para más información, consulta "Suspender y anular suspensión de usuarios".
IdP compatibles
GitHub Enterprise Server es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Microsoft Active Directory Federation Services (ADt FS)
- Microsoft Entra ID (anteriormente conocido como Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Si tu IdP es compatible con confirmaciones cifradas, puedes configurarlas en GitHub Enterprise Server para incrementar la seguridad durante el proceso de autenticación.
GitHub Enterprise Server no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.
Información adicional
- "Uso de SAML para IAM empresarial"
- Wiki de SAML en el sitio web de OASIS
- System for Cross-domain Identity Management: protocolo (RFC 7644) en el sitio web de IETF