Acerca de SAML SSO
El SSO de SAML te permite controlar centralmente y asegurar el acceso a tu empresadesde tu IdP de SAML. Cuando un usuario no autenticado vista tu empresa en un buscador, GitHub AE lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica exitosamente con una cuenta en el IdP, éste lo redirige de regreso a tu empresa. GitHub AE valida la respuesta de tu IdP y luego le otorga acceso al usuario.
Después de autenticarse exitosamente en tu IdP, la sesión de SAML del usuario para tu empresa se encuentra activa en el buscador por 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.
Para convertir a una persona en propietario de la empresa, debes delegar el permiso de propiedad en tu IdP. Incluye el atributo de administrator
en la aserción de SAML para la cuenta de usuario en el IdP, con el valor de true
. Para obtener más información acerca de los propietarios de las empresas, consulta la sección "Roles en una empresa".
Predeterminadamente, tus IdP no se comunican con GitHub AE automáticamente cuando asignas o desasignas la aplicación. GitHub AE crea una cuenta de usuario utilizando Just-in-Time (JIT) de SAML aprovisionando la primera vez que alguien navega a GitHub AE e inicia sesión autenticándose con tu IdP. Puede que necesites notificar a los usuarios manualmente cuando les otorgas acceso a GitHub AE, y debes desactivar la cuenta de usuario manualmente en GitHub AE durante el proceso de salida. Puedes utilizar el SCIM para crear o suspender las cuentas de usuario y acceder aGitHub AE automáticamente cuando asignas o dejas de asignar la aplicación en tu IdP. Para obtener más información, consulta la sección "Configurar el aprovisionamiento de usuarios para tu empresa".
Proveedores de identidad compatibles
GitHub AE es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para obtener más información, consulta la sección Wiki de SAML en el sitio web de OASIS.
GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.
- Azure Active Directory (Azure AD)
- Okta (beta)
Habilitar el SSO de SAML
Configurarás la administración de accesos e identidad para GitHub AE al ingresar los detalles para tu IdP de SAML durante la inicialización. Para obtener más información, consulta la sección "Inicializar GitHub AE".
Los siguientes IdP proporcionan documentación sobre cómo configurar el SSO de SAML para GitHub AE. Si no se lista tu IdP, por favor, contáctalo para solicitar soporte para GitHub AE.
IdP | Más información |
---|---|
Azure AD | "Configuring authentication and provisioning for your enterprise using Azure AD" |
Okta | "Configuring authentication and provisioning for your enterprise using Okta" |
During initialization for GitHub AE, you must configure GitHub AE as a SAML service provider (SP) on your IdP. Debes ingresar varios valores únicos en tu IdP para configurar GitHub AE como un SP válido. For more information, see "SAML configuration reference."
Editar la configuración del SSO de SAML
Si los detalles de tu IdP cambian, necesitarás editar la configuración de SSO de SAML para tu empresa. Por ejemplo, si el certificado de tu IdP expira, puedes editar el valor del certificado público.
Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, consulta la sección "Recibir ayuda de Soporte de GitHub".
-
En la esquina superior derecha de GitHub AE, da clic en tu foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
-
En la barra lateral izquierda, haz clic en Security (Seguridad).
-
Debajo de "Inicio de sesión único de SAML", teclea los detalles nuevos de tu IdP.
-
Opcionalmente, da clic en para configurar una firma nueva o método de resumen.
- Utiliza los menús desplegables y elige la nueva firma o método de resumen.
- Utiliza los menús desplegables y elige la nueva firma o método de resumen.
-
Para garantizar que la información que ingresaste es correcta, da clic en Probar la configuración de SAML.
-
Haz clic en Save (guardar).
-
Opcionalmente, para aprovisionar y desaprovisionar automáticamente las cuentas de usuario para tu empresa, vuelve a configurar el aprovisionamiento de usuarios con SCIM. Para obtener más información, consulta la sección "Configurar el aprovisionamiento de usuarios para tu empresa".
Inhabilitar el SSO de SAML
Advertencia: Si inhabilitas el SSO de SAML para tu empresa, los usuarios sin sesiones existentes del SSO de SAML no podrán ingresar en tu empresa. Las sesiones del SSO de SAML en tu empresa finalizan después de 24 horas.
Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, consulta la sección "Recibir ayuda de Soporte de GitHub".
-
En la esquina superior derecha de GitHub AE, da clic en tu foto de perfil y luego en Configuración de empresa.
-
En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
-
En la barra lateral izquierda, haz clic en Security (Seguridad).
-
En "inicio de sesión único SAML", deselecciona Habilitar autenticación SAML.
-
Para inhabilitar el SSO de SAML y requerir el inicio de sesión con la cuenta de usuario integrada que creaste durante la inicialización, da clic en Guardar.