Skip to main content

Sincronizar un equipo con un grupo de proveedor de identidad

Puedes sincronizar un equipo de GitHub Enterprise Cloud con un grupo de proveedor de identidad (IdP) compatible para agregar y eliminar miembros del grupo automáticamente.

¿Quién puede utilizar esta característica?

Organization owners and team maintainers can synchronize a GitHub team with an IdP group.

Nota: Si la empresa usa Enterprise Managed Users, no es necesario usar la sincronización de equipos. En su lugar, puede administrar la pertenencia al equipo a través de la configuración de SCIM que creó al configurar la empresa. Para obtener más información, vea «Administrar membrecías de equipo con grupos de proveedor de identidad».

Acerca de la sincronización de equipo

Si la sincronización del equipo está habilitada para la organización o cuenta empresarial, puedes sincronizar un equipo de GitHub con un grupo de IdP. Cuando sincronizas un equipo de GitHub con un grupo de IdP, los cambios de pertenencia a este grupo se reflejan automáticamente en GitHub Enterprise Cloud, lo que reduce la necesidad de hacer actualizaciones manuales y scripts personalizados. Para obtener más información, vea "Administración de la sincronización de equipos para su organización" y "Administración de la sincronización de equipos para organizaciones de su empresa".

Puedes conectar hasta cinco grupos de IdP a un equipo de GitHub Enterprise Cloud.Puedes asignar un grupo de IdP a varios equipos de GitHub Enterprise Cloud.

La sincronización de equipos no es compatible con grupos de IdP con más de 5000 miembros.

Una vez que un equipo de GitHub se conecta a un grupo de IdP, tu administrador de IdP debe hacer cambios en la membrecía del equipo a través del proveedor de identidad. No puedes administrar las membrecías de equipo en GitHub Enterprise Cloud ni utilizando la API.

Si tu organización pertenece a una cuenta empresarial, habilitar la sincronización de equipos para esta cuenta empresarial anulará la configuración de sincronización de equipos a nivel organizacional. Para obtener más información, vea «Administración de la sincronización de equipos para organizaciones de su empresa».

La sincronización de equipos no es un servicio de aprovisionamiento de usuarios y no invita a los que no son miembros a unirse a organizaciones en la mayoría de los casos. Esto significa que un usuario solo se agregará correctamente a un equipo si ya es miembro de la organización. Sin embargo, opcionalmente, puede permitir que la sincronización de equipos vuelva a invitar a los usuarios que anteriormente eran miembros de la organización y que se quitaron posteriormente. Para obtener más información, consulte "Administración de la sincronización de equipos para su organización" y "Administración de la sincronización de equipos para organizaciones de su empresa".

Todos los cambios de membrecía que se hagan a través de tu IdP aparecerán en la bitácora de auditoría en GitHub Enterprise Cloud como cambios realizados por el bot de sicnronización de equipos. La sincronización de equipos capturará la información de grupo del IdP al menos una vez cada hora y reflejará los cambios en la pertenencia al grupo IdP en GitHub Enterprise Cloud. Conectar un equipo a un grupo IdP puede eliminar a algunos miembros del equipo. Para obtener más información, consulta "Requisitos para los miembros de los equipos sincronizados".

Los equipos padre no pueden sincronizarse con los grupos de IdP. Si el equipo que quieres conectar a un grupo de IdP es un equipo padre, te recomendamos crear un equipo nuevo o eliminar las relaciones anidadas que hacen de tu equipo un equipo padre. Para más información, consulte "Acerca de los equipos," "Crear un equipo" y "Mover un equipo en la jerarquía de tu organización".

Para administrar el acceso de un repositorio para cualquier equipo de GitHub, incluyendo los equipos conectados a un grupo de IdP debes hacer cambios con GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de los equipos» y «Administrar el acceso de equipo a un repositorio de la organización».

También puedes administrar la sincronización de equipos con la API. Para más información, consulta "Puntos de conexión de la API de REST para la sincronización de equipos".

Requisitos para los miembros de los equipos sincronizados

Después de conectar un equipo a un grupo IdP, la sincronización de equipos agregará a cada miembro del grupo de IdP al equipo correspondiente en GitHub Enterprise Cloud solo si:

  • Si no se permite la sincronización de equipos para invitar a usuarios que no son miembros de la organización, la persona ya es miembro de la organización en GitHub Enterprise Cloud.
  • La persona ya ha iniciado sesión con su cuenta personal en GitHub Enterprise Cloud y se ha autenticado por lo menos una vez en la cuenta de la organización o la empresa mediante el inicio de sesión único SAML.
  • La identidad de SSO de la persona es miembro del grupo de IdP.

Los equipos o miembros del grupo existentes que no cumplan con estos criterios se eliminarán automáticamente del equipo en GitHub Enterprise Cloud y perderán acceso a los repositorios. El revocar la identidad ligada a un usuario también eliminará a dicho usuario de cualquier equipo que se encuentre mapeado en los grupos de IdP. Para obtener más información, vea «Visualización y administración del acceso SAML de un miembro a su organización» y «Visualizar y administrar el acceso de SAML de un usuario a tu empresa».

Puedes volver a agregar automáticamente a aquellos miembros del equipo que hayas eliminado una vez que se autentiquen en la cuenta empresarial u organizacional utilizando el SSO y así se migren al grupo de IdP conectado.

Para evitar eliminar miembros del equipo accidentalmente, te recomendamos requerir el SSO de SAML en tu cuenta organizacional o empresarial mediante la creación de nuevos equipos para sincronizar datos de membrecías y revisar la membrecía del grupo de IdP antes de que sincronices a los equipos existentes. Para obtener más información, vea «Hacer cumplir el inicio de sesión único de SAML para tu organización» y «Configurar el inicio de sesión único de SAML para tu empresa».

Requisitos previos

Para conectar un equipo en GitHub Enterprise Cloud a un grupo de IdP, el equipo ya debe existir en la organización. Incluso si el aprovisionamiento SCIM está configurado, la creación de un grupo en el IdP no crea automáticamente un equipo en GitHub Enterprise Cloud.

Antes de poder conectar a un equipo de GitHub Enterprise Cloud con un grupo de IdP, un propietario de empresa u organización debe habilitar la sincronización de equipos para tu cuenta empresarial o de la organización. Para obtener más información, vea «Administración de la sincronización de equipos para su organización» y «Administración de la sincronización de equipos para organizaciones de su empresa».

Para evitar el eliminar miembros del equipo accidentalmente, visita el protal administrativo para tu IdP y confirma que cada miembro actual del equipo también se encuentre en los grupos de IdP que quieras conectar a este equipo. Si no tienes este acceso a tu proveedor de identidad, puedes comunicarte con tu administrador de IdP.

Debes autenticarte utilizando el SSO de SAML. Para obtener más información, vea «Autenticación con inicio de sesión único de SAML».

Conectar un grupo de IdP a tu equipo

Cuando conectas un grupo de IdP a un equipo de GitHub Enterprise Cloud, todos los usuarios en el grupo se agregan automáticamente al equipo.

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Haz clic en el nombre de tu organización.

  3. En el nombre de la organización, haz clic en Equipos.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de personas y "Equipos", está resaltada en naranja oscuro.

  4. Haga clic en el nombre del equipo.

  5. En la parte superior de la página del equipo, haz clic en Configuración.

    Captura de pantalla del encabezado de la página de un equipo. Una pestaña, etiquetada con un icono de engranaje y "Configuración", tiene un contorno naranja oscuro.

  6. En "Grupos del Proveedor de Identidad", seleccione el menú desplegable Seleccionar grupos y haga clic en hasta 5 grupos de proveedor de identidades.

  7. Haga clic en Guardar cambios.

Desconectar un grupo de IdP de un equipo

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Haz clic en el nombre de tu organización.

  3. En el nombre de la organización, haz clic en Equipos.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de personas y "Equipos", está resaltada en naranja oscuro.

  4. Haga clic en el nombre del equipo.

  5. En la parte superior de la página del equipo, haz clic en Configuración.

    Captura de pantalla del encabezado de la página de un equipo. Una pestaña, etiquetada con un icono de engranaje y "Configuración", tiene un contorno naranja oscuro.

  6. Debajo de "Grupos de proveedor de identidades", a la derecha del grupo de IdP que desee desconectar, haga clic en .

  7. Haga clic en Guardar cambios.