Skip to main content

GitHub AE es una versión limitada en este momento.

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y proteger el acceso a recursos tu empresa en GitHub AE por la configuración de inicio de sesión único de SAML mediante el proveedor de identidades (IdP).

Quién puede usar esta característica

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente tu empresa y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita tu empresa en un explorador, GitHub AE lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a tu empresa. GitHub AE valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para tu empresa se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Para convertir a una persona en propietario de la empresa, debes delegar el permiso de propiedad en tu IdP. Si usas Azure AD y SCIM, asigna el rol de propietario de empresa al usuario. Para otros proveedores de identidades, incluye el atributo administrator en la aserción de SAML para la cuenta de usuario en el IdP con el valor de true. Para obtener más información sobre los propietarios de empresas, consulte "Roles en una empresa". Para más información sobre la autenticación y el aprovisionamiento mediante Azure AD, consulta "Configurar la autenticación y el aprovisionamiento para tu empresa utilizando Azure AD".

Predeterminadamente, tus IdP no se comunican con GitHub AE automáticamente cuando asignas o desasignas la aplicación. GitHub AE crea una cuenta de usuario mediante aprovisionamiento Just-in-Time (JIT) de SAML la primera vez que alguien navega a GitHub AE e inicia sesión mediante la autenticación con el IdP. Es posible que tenga que notificar manualmente a los usuarios cuando les conceda acceso a GitHub AE y desactivar la cuenta del usuario en GitHub AE durante la retirada.

Como alternativa, en lugar del aprovisionamiento JIT de SAML, puedes usar SCIM para crear o suspender y conceder o denegar el acceso a tu empresa automáticamente después de asignar o desasignar la aplicación en el IdP. Para más información, consulta "Configuración del aprovisionamiento de usuarios con SCIM para la empresa".

Proveedores de identidad compatibles

GitHub AE es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Azure Active Directory (Azure AD)
  • Okta (beta)

Para más información sobre cómo conectar Azure AD a la empresa, consulta Tutorial: Integración de Azure Active Directory SSO con GitHub Enterprise Cloud: Cuenta Enterprise en Microsoft Docs.

Consideraciones sobre el nombre de usuario con SAML

GitHub AE normaliza un valor de tu IdP para determinar el nombre de usuario de cada nueva cuenta personal en GitHub AE. Para más información, consulta "Username considerations for external authentication".

Habilitar el SSO de SAML

Configurarás la administración de accesos e identidad para GitHub AE al ingresar los detalles para tu IdP de SAML durante la inicialización. Para obtener más información, vea «Inicializar GitHub AE».

Los siguientes IdP proporcionan documentación sobre cómo configurar el SSO de SAML para GitHub AE. Si no se lista tu IdP, por favor, contáctalo para solicitar soporte para GitHub AE.

IdPMás información
Azure AD"Configurar la autenticación y el aprovisionamiento para tu empresa utilizando Azure AD"
Okta"Configurar la autenticación y aprovisionamiento para tu empresa utilizando Okta"

Durante la inicialización de GitHub AE, debes configurar GitHub AE como un proveedor de servicios (SP) de SAML en tu IdP. Debes ingresar varios valores únicos en tu IdP para configurar GitHub AE como un SP válido. Para obtener más información, vea «Referencia de configuración de SAML».

Editar la configuración del SSO de SAML

Si los detalles de tu IdP cambian, tendrás que editar la configuración de SSO de SAML para tu empresa. Por ejemplo, si el certificado de tu IdP expira, puedes editar el valor del certificado público.

Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, vea «Contactar al Soporte de GitHub».

  1. En la esquina superior derecha de GitHub AE, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  2. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. Debajo de "Inicio de sesión único de SAML", teclea los detalles nuevos de tu IdP.

  5. En el certificado público, a la derecha de los métodos de firma y resumen actuales, haz clic en .

    Captura de pantalla del método de firma actual y el método de resumen en la configuración de SAML. El icono de lápiz está resaltado con un contorno naranja.

  6. Selecciona los menús desplegables Método de firma y Método de resumen y después elige el algoritmo de hash que utiliza tu emisor de SAML.

  7. Para asegurarse de que la información especificada es correcta, haga clic en Test SAML configuration.

  8. Haga clic en Save(Guardar).

  9. Opcionalmente, para aprovisionar y desaprovisionar automáticamente las cuentas de usuario para tu empresa, vuelve a configurar el aprovisionamiento de usuarios con SCIM. Para obtener más información, vea «Configuración del aprovisionamiento de usuarios con SCIM para la empresa».

Inhabilitar el SSO de SAML

Advertencia: Si deshabilitas el SSO de SAML para tu empresa, los usuarios sin sesiones existentes de inicio de sesión único de SAML no podrán iniciar sesión en tu empresa. Las sesiones del SSO de SAML en tu empresa finalizan después de 24 horas.

Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, vea «Contactar al Soporte de GitHub».

  1. En la esquina superior derecha de GitHub AE, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  2. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. En "Inicio de sesión único de SAML", selecciona Habilitar autenticación SAML.

  5. Para deshabilitar el SSO de SAML y requerir el inicio de sesión con la cuenta de usuario integrada que creó durante la inicialización, haga clic en Save.