Skip to main content

Configurar el inicio de sesión único de SAML para tu empresa

Puedes controlar y proteger el acceso a recursos tu empresa en GitHub AE por la configuración de inicio de sesión único de SAML mediante el proveedor de identidades (IdP).

Who can use this feature

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

Acerca de SAML SSO

El SSO de SAML te permite controlar centralmente your enterprise y proteger el acceso desde tu IdP de SAML. Cuando un usuario no autenticado visita your enterprise en un explorador, GitHub AE lo redirigirá a tu IdP de SAML para autenticarse. Después de que el usuario se autentica correctamente con una cuenta en el IdP, este lo redirige de regreso a your enterprise. GitHub AE valida la respuesta de tu IdP y luego le otorga acceso al usuario.

Después de autenticarse correctamente en tu IdP, la sesión de SAML del usuario para your enterprise se encuentra activa en el explorador durante 24 horas. Después de 24 horas, el usuario debe autenticarse nuevamente con tu IdP.

Para convertir a una persona en propietario de la empresa, debes delegar el permiso de propiedad en tu IdP. Si usas Azure AD y SCIM, asigna el rol de propietario de empresa al usuario. Para otros proveedores de identidades, incluye el atributo administrator en la aserción de SAML para la cuenta de usuario en el IdP con el valor de true. Para obtener más información sobre los propietarios de empresas, consulta "Roles en una empresa". Para más información sobre la autenticación y el aprovisionamiento mediante Azure AD, consulta: "Configuración de la autenticación y el aprovisionamiento para la empresa mediante Azure AD."

By default, your IdP does not communicate with GitHub AE automatically when you assign or unassign the application. GitHub AE creates a user account using SAML Just-in-Time (JIT) provisioning the first time someone navigates to GitHub AE and signs in by authenticating through your IdP. You may need to manually notify users when you grant access to GitHub AE, and you must manually deactivate the user account on GitHub AE during offboarding.

Alternatively, instead of SAML JIT provisioning, you can use SCIM to create or suspend user accounts and grant or deny access to your enterprise automatically after you assign or unassign the application on your IdP. Para obtener más información, consulte "Configuración del aprovisionamiento de usuarios para la empresa".

Proveedores de identidad compatibles

GitHub AE es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub es oficialmente compatible con y prueba internamente los siguientes IdP.

  • Azure Active Directory (Azure AD)
  • Okta (beta)

Habilitar el SSO de SAML

Configurarás la administración de accesos e identidad para GitHub AE al ingresar los detalles para tu IdP de SAML durante la inicialización. Para más información, vea "Inicialización de GitHub AE".

Los siguientes IdP proporcionan documentación sobre cómo configurar el SSO de SAML para GitHub AE. Si no se lista tu IdP, por favor, contáctalo para solicitar soporte para GitHub AE.

IdPMás información
Azure AD"Configuración de la autenticación y el aprovisionamiento de la empresa mediante Azure AD"
Okta"Configuración de la autenticación y el aprovisionamiento de la empresa mediante Okta"

Durante la inicialización de GitHub AE, debes configurar GitHub AE como un proveedor de servicios (SP) de SAML en tu IdP. Debes ingresar varios valores únicos en tu IdP para configurar GitHub AE como un SP válido. Para obtener más información, consulta "Referencia de configuración de SAML".

Editar la configuración del SSO de SAML

Si los detalles de tu IdP cambian, tendrás que editar la configuración de SSO de SAML para your enterprise. Por ejemplo, si el certificado de tu IdP expira, puedes editar el valor del certificado público.

Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, consulta "Recepción de ayuda de Soporte de GitHub".

  1. En la esquina superior derecha de GitHub AE, haga clic en la foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil de GitHub AE 1. En la barra lateral de la cuenta de empresa, haga clic en Configuración. Pestaña Configuración en la barra lateral de la cuenta de empresa

  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  3. Debajo de "Inicio de sesión único de SAML", teclea los detalles nuevos de tu IdP. Campos de entrada de texto con los detalles del IdP para la configuración del SSO de SAML de una empresa

  4. Opcionalmente, da clic en para configurar una firma nueva o método de resumen. Icono de edición para cambiar la firma y el método de resumen

    • Utiliza los menús desplegables y elige la nueva firma o método de resumen. Menús desplegables para elegir una firma o un método de resumen nuevos
  5. Para asegurarse de que la información especificada es correcta, haga clic en Test SAML configuration. Botón "Test SAML configuration"

  6. Haga clic en Save(Guardar). Botón "Save" de la configuración del inicio de sesión único de SAML

  7. Opcionalmente, para aprovisionar y desaprovisionar automáticamente las cuentas de usuario para your enterprise, vuelve a configurar el aprovisionamiento de usuarios con SCIM. Para obtener más información, consulte "Configuración del aprovisionamiento de usuarios para la empresa".

Inhabilitar el SSO de SAML

Advertencia: Si deshabilitas el SSO de SAML para your enterprise, los usuarios sin sesiones existentes de inicio de sesión único de SAML no podrán iniciar sesión en your enterprise. Las sesiones del SSO de SAML en your enterprise finalizan después de 24 horas.

Nota: Si no puedes ingresar a tu empresa porque GitHub AE no puede comunicarse con tu IdP de SAML, puedes contactar a Soporte de GitHub, quien te ayudará a acceder a GitHub AE para actualizar la configuración del SSO de SAML. Para obtener más información, consulta "Recepción de ayuda de Soporte de GitHub".

  1. En la esquina superior derecha de GitHub AE, haga clic en la foto de perfil y luego en Configuración de empresa. "Configuración de empresa" en el menú desplegable de la foto de perfil de GitHub AE 1. En la barra lateral de la cuenta de empresa, haga clic en Configuración. Pestaña Configuración en la barra lateral de la cuenta de empresa
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar
  3. En "SAML single sign-on", seleccione Enable SAML authentication. Casilla de verificación de "Enable SAML authentication"
  4. Para deshabilitar el SSO de SAML y requerir el inicio de sesión con la cuenta de usuario integrada que creó durante la inicialización, haga clic en Save. Botón "Save" de la configuración del inicio de sesión único de SAML