GitHub AE es una versión limitada en este momento.

Configuración del aprovisionamiento de usuarios con SCIM para la empresa

En este artículo

Puedes configurar System for Cross-domain Identity Management (SCIM) para GitHub AE, que aprovisiona automáticamente las cuentas de usuario al asignar la aplicación para GitHub AE a un usuario en el proveedor de identidades (IdP).

Quién puede usar esta característica

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

Acerca del aprovisionamiento de usuarios para GitHub AE

GitHub AE utiliza el SSO de SAML para la autenticación de usuarios. Puedes administrar centralmente el acceso a GitHub AE desde un IdP que sea compatible con el estándar de SAML 2.0. Para obtener más información, selecciona "Configurar el inicio de sesión único de SAML para tu empresa".

Tú puedes configurar SCIM a fin de crear o suspender automáticamente cuentas de usuario y conceder acceso para GitHub AE al asignar o anular la asignación de la aplicación en el IdP. Para obtener más información sobre SCIM, consulta System for Cross-domain Identity Management: Protocolo (RFC 7644) en el sitio web de IETF.

Si no configuras el aprovisionamiento de usuarios con SCIM, el IdP no se comunicará con GitHub AE automáticamente al asignar la aplicación a un usuario o anular su asignación. Sin SCIM, GitHub AE crea una cuenta de usuario mediante el aprovisionamiento Just-In-Time (JIT) de SAML la primera vez que alguien navega a GitHub AE e inicia sesión mediante la autenticación a través de su IdP.

Configurar el aprovisionamiento permite a tu IdP comunicarse con tu empresa cuando asignas o anulas la asignación de la aplicación para GitHub AE a un usuario en tu IdP. Cuando asignas la aplicación, tu IdP pedirá que tu empresa cree una cuenta y enviará un correo electrónico de incorporación al usuario. Cuando desasignas la aplicación, tu IdP se comunicará con GitHub AE para invalidad cualquier sesión de SAML e inhabilitar la cuenta del miembro.

Para configurar el aprovisionamiento para tu empresa, debes inhabilitar el aprovisionamiento en GitHub AE y posteriormente instalar y configurar una aplicación de aprovisionamiento en tu IdP.

Acerca de las identidades y las notificaciones

Después de que un administrador de IdP conceda a una persona acceso a tu empresa, el usuario puede autenticarse mediante el IdP para acceder a GitHub AE mediante el inicio de sesión único de SAML.

Durante la autenticación, GitHub AE intenta asociar el usuario con una identidad SAML. De manera predeterminada, GitHub AE compara la notificación NameID del IdP con el nombre de usuario de la cuenta. GitHub AE normaliza el valor de NameID para la comparación. Para obtener más información sobre la normalización del nombre de usuario, consulta "Username considerations for external authentication".

Si no hay ninguna cuenta existente con un nombre de usuario coincidente en la instancia, el usuario no podrá iniciar sesión.

Si GitHub AE identifica correctamente a un usuario del IdP, pero los detalles de la cuenta, como la dirección de correo electrónico, el nombre o el apellido no coinciden, la instancia sobrescribirá los detalles con valores del IdP. Las direcciones de correo electrónico que no sean el correo electrónico principal aprovisionado por SCIM también se eliminarán de la cuenta de usuario.

Proveedores de identidad compatibles

Los IdP siguientes admiten el aprovisionamiento de usuarios con SCIM para GitHub AE.

Nota: GitHub AE la compatibilidad con el inicio de sesión único (SSO) para Okta se encuentra actualmente en beta.

IdPSAMLAprovisionamiento de usuariosMapeo de equipo
Azure Active Directory (Azure AD)
Okta Beta Beta Beta

Para los IdP que son compatibles con el mapeo de equipos, puedes asignar o dejar de asignar la aplicación de GitHub AE a los grupos de usuarios en tu IdP. Luego, estos grupos estarán disponibles para que los propietarios de la organización y los mantenedores de equipos en tu empresa los asignen a los equipos de GitHub AE. Para obtener más información, vea «Asignación de grupos de Okta a equipos».

Requisitos previos

  • Debes configurar el inicio de sesión único de SAML al inicializar GitHub AE. Para obtener más información, vea «Inicializar GitHub AE».

  • Debes tener acceso administrativo en tu IdP para configurar la aplicación para el aprovisionamiento de usuarios para GitHub AE.

Habilitar el aprovisionamiento de usuarios para tu empresa

  1. Mientras tengas una sesión iniciada en tu empresa como propietario de empresa, crea un personal access token con el ámbito admin:enterprise. Para obtener más información, vea «Administración de tokens de acceso personal».

    Notas:

    • A fin de crear el personal access token, te recomendamos utilizar la cuenta para el primer propietario empresarial que creaste durante la inicialización. Para obtener más información, vea «Inicializar GitHub AE».
    • Necesitarás que este personal access token configure la aplicación para SCIM en tu IdP. Almacena el token de manera segura en un administrador de contraseñas hasta que lo necesites nuevamente más adelante en estas instrucciones.

Advertencia: Si la cuenta de usuario para el propietario de la empresa que crea el personal access token se desactiva o desaprovisiona, tu IdP ya no aprovisionará ni desaprovisionará cuentas de usuario para la empresa automáticamente. Otro propietario de empresa debe crear un personal access token y volver a configurar el aprovisionamiento en el IdP.

  1. En la esquina superior derecha de GitHub AE, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  2. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. En "Aprovisionamiento de usuarios de SCIM", selecciona Requerir aprovisionamiento de usuarios de SCIM.

  5. Haga clic en Save(Guardar).

  6. Configura el aprovisionamiento de usuarios en la aplicación para GitHub AE en el IdP.

    Los siguientes IdP proporcionan documentación acerca de cómo configurar el aprovisionamiento para GitHub AE. Si no se lista tu IdP, por favor, contáctalo para solicitar soporte para GitHub AE.

    IdPMás información
    Azure ADTutorial: Configuración de GitHub AE para aprovisionar usuarios automáticamente en Microsoft Docs. Para configurar Azure AD para GitHub AE, consulta "Configurar la autenticación y el aprovisionamiento para tu empresa utilizando Azure AD".
    Okta(beta) Para configurar Okta para GitHub AE, consulta "Configurar la autenticación y aprovisionamiento para tu empresa utilizando Okta".

    La aplicación en tu IdP requiere dos valores para aprovisionar o desaprovisionar las cuentas de usuario en tu empresa.

    ValueOtros nombresDescripciónEjemplo
    ResoluciónURL de inquilinoURL para la API de aprovisionamiento de SCIM para tu empresa en GitHub AEhttps://HOSTNAME/api/v3/scim/v2
    Secreto compartidoPersonal access token, token secretoToekn para que la aplicación en tu IdP realice las tareas de aprovisionamiento en nombre de un propietario de empresaPersonal access token que has creado en el paso 1