Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Hacer cumplir los parámetros de seguridad en tu cuenta de empresa

Los propietarios de empresa pueden hacer cumplir determinadas políticas de seguridad para todas las organizaciones que son propiedad de una cuenta de empresa.

Las cuentas empresariales se encuentran disponibles con GitHub Enterprise Cloud y GitHub Enterprise Server. Para obtener más información, consulta la sección "Acerca de las cuentas empresariales".

En este artículo

Requerir autenticación de dos factores para las organizaciones en tu cuenta de empresa

Los propietarios de empresa pueden requerir que los miembros de la organización, gerentes de facturación y colaboradores externos en todas las organizaciones que sean propiedad de una cuenta de empresa usen autenticación de dos factores para proteger sus cuentas personales.

Para requerir la autenticación de dos factores para todas las organizaciones que sean propiedad de tu cuenta de empresa, primero debes habilitar la autenticación de dos factores para tu propia cuenta. Para obtener más información, consulta "Proteger tu cuenta con la autenticación de dos factores (2FA)".

Advertencias:

  • Cuando requieras que se use la autenticación de dos factores para tu cuenta de empresa, los miembros, los colaboradores externos y los gerentes de facturación (incluidas las cuentas bot) en todas las organizaciones que sean propiedad de tu cuenta de empresa que no utilicen 2FA se eliminarán de tu organización y perderán acceso a sus repositorios. También perderán acceso a sus bifurcaciones de los repositorios privados de la organización. Puedes reinstalar sus privilegios de acceso y sus parámetros de configuración si habilitan la autenticación de dos factores para sus cuentas personales dentro de un plazo de tres meses a partir de su eliminación de tu organización. Para obtener más información, consulta "Reinstalar un miembro antiguo de tu organización".
  • Todo propietario de la organización, miembro, gerente de facturación o colaborador externo en cualquiera de las organizaciones que sean propiedad de tu cuenta de empresa será automáticamente eliminado de tu organización si inhabilita la autenticación de dos factores de su cuenta personal una vez que hayas habilitado la autenticación de dos factores requerida.
  • Si eres el único propietario de una cuenta de empresa que requiere autenticación de dos factores, no podrás inhabilitar la 2FA para tu cuenta personal sin inhabilitar la autenticación de dos factores requerida para la cuenta de empresa.

Antes de solicitar el uso de la autenticación de dos factores, te recomendamos notificar a los miembros de la organización, a los colaboradores externos y a los gerentes de facturación y pedirles que configuren la 2FA para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan 2FA en la página Personas de cada organización. Para obtener más información, consulta "Ver si los usuarios en tu organización tienen la 2FA habilitada".

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. En "Autenticación de dos factores", revisa la información sobre cómo modificar los parámetros. Opcionalmente, para ver la configuración actual en todas las organizaciones de la cuenta empresarial antes de requerir alguna configuración adicional, da clic en Ver las configuraciones actuales de tus organizaciones.
    Enlace para visualizar la configuración política actual para todas las organizaciones en el negocio
  5. Debajo de "Two-factor authentication" ¨(Autenticación de dos factores), selecciona Require two-factor authentication for all organizations in your business (Requerir autenticación de dos factores para todas las organizaciones en tu empresa) y luego haz clic en Save (Guardar).
    Casilla de verificación para requerir autenticación de dos factores
  6. Si se lo solicita, lee la información acerca de los miembros y colaboradores externos que serán eliminados de las organizaciones que son propiedad de tu cuenta de empresa. Para confirmar el cambio, escribe el nombre de tu cuenta de empresa y luego haz clic en Eliminar miembros y requerir autenticación de dos factores.
    Cuadro Confirmar aplicación obligatoria de dos factores
  7. Si algún miembro o colaborador externo es eliminado de las organizaciones que son propiedad de tu cuenta de empresa, también te recomendamos enviarle una invitación para reinstalar sus privilegios anteriores y su acceso a tu organización. Cada persona debe habilitar la autenticación de dos factores para poder aceptar tu invitación.

Administrar direcciones IP permitidas para organizaciones en su cuenta de empresa

Los propietarios de empresa pueden restringir el acceso a los activos que pertenezcan a las organizaciones dentro de la cuenta empresarial mediante la configuración de una lista de direcciones IP permitidas. Por ejemplo, puedes permitir el acceso desde la única dirección IP de tu red de oficina. La lista de direcciones IP permitidas bloqueará el acceso mediante la web, las API y Git desde cualquier dirección IP que no se encuentre en ella.

Puedes aprobar el acceso para una dirección IP única o para un rango de ellas utilizando notación CIDR. Para obtener más información, consulta "Notación CIDR" en Wikipedia.

Para aplicar la lista de IP permitidas, primero debes agregar direcciones a la lista, y después habilitarla. Debes agregar tu dirección IP actual o un rango coincidente antes de habilitar la lista de permisos de IP.

También puedes configurar las direcciones IP permitidas para una organización individual. Para obtener más información, consulta "Administrar las direcciones IP permitidas en tu organización".

Agregar una dirección IP permitida

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Debajo de "Dirección IP", teclea una dirección o un rango de ellas, en notación CIDR.
    Campo clave para agregar una dirección IP
  5. Debajo de "Descripción", teclea la descripción de la dirección IP o el rango de ellas que se permitirá.
    Campo clave para agregar un nombre a la dirección IP
  6. Haz clic en Add (Agregar).
    Botón Add allowed ip address (Agregar dirección ip permitida)

Habilitar direcciones IP permitidas

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. En "IP allow list" (Lista de permisos de IP), seleccione Enable IP allow list (Habilitar lista de permisos de IP).
    Realizar una marca de verificación para permitir direcciones IP
  5. Haz clic en Save (Guardar).

Editar una dirección IP permitida

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Debajo de "Lista de IP permitidas", a la derecha de la entrada que quieres editar, da clic en Editar.
    Botón Edit allowed IP address (Editar dirección IP permitida)
  5. Teclea una dirección IP, o rango de direcciones, en notación CIDR.
    Campo clave para agregar una dirección IP
  6. Teclea una descripción del rango de direcciones IP permitidas.
    Campo clave para agregar un nombre a la dirección IP
  7. Haz clic en Update (Actualizar).

Eliminar una dirección IP permitida

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Debajo de "Lista de IP permitidas", a la derecha de la entrada que quieres borrar, da clic en Borrar.
    Botón Delete allowed IP address (Eliminar dirección IP permitida)
  5. Para borrar permanentemente la entrada, da clic en Sí, borrar esta lista de direcciones IP permitidas.
    Botón Permanently delete IP allow list entry (Borrar permanentemente la entrada de la lista de IP permitida)

Utilizar GitHub Actions con una lista de IP permitidas

Advertencia: Si utilzas una lista de IP permitidas y también quisieras utilizar GitHub Actions, debes usar los ejecutores auto-hospedados. Para obtener más información, consulta la sección "Hospedar tus propios ejecutores".

Para permitir que los ejecutores auto-hospedados se comuniquen con GitHub, agrega la dirección o rango de direcciones IP de tus ejecutores auto-hospedados a la lista de IP permitidas. Para obtener más información, consulta "Agregar una dirección IP permitida".

Habilitar el inicio de sesión único de SAML para las organizaciones en tu cuenta de empresa

El SSO de SAML proporciona a los propietarios de organizaciones y empresas en GitHub una manera de controlar y asegurar el acceso a los recursos organizacionales como repositorios, informes de problemas y solicitudes de extracción.Para obtener más información, consulta "Acerca de la administración de identidad y accesos con el inicio de sesión único de SAML".

Los propietarios de empresa pueden habilitar el SSO de SAML y la autenticación centralizada a través de el IdP de SAML para todas las organizaciones que pertenezcan a su cuenta empresarial. Una vez que habilitas SAML SSO para tu cuenta de empresa, SAML SSO se habilita de manera predeterminada para todas las organizaciones que sean propiedad de tu cuenta de empresa. Se les exigirá a todos los miembros que se autentiquen usando SAML SSO para obtener acceso a las organizaciones de las que son miembros, y se les exigirá a los propietarios de empresas que se autentiquen usando SAML SSO cuando accesan a la cuenta de empresa.

Para acceder a los recursos de cada organización en GitHub, el miembro debe tener una sesión activa de SAML en su buscador. Para acceder a los recursos protegidos de cada organización utilizando la API y Git, el miembro debe tener un token de acceso personal o llave de SSH que se le haya autorizado para su uso con la organización. Los propietarios de la empresa pueden ver y revocar la identidad vinculada de un miembro, las sesiones activas, o las credenciales autorizadas en cualquier momento.Para obtener más información, consulta la sección "Visualizar y administrar el acceso de SAML de un usuario a tu cuenta empresarial".

Ofrecemos soporte limitado para todos los proveedores de identidad que implementan SAML 2.0 estándar. Ofrecemos soporte oficial de estos proveedores de identidad que se han probado internamente:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Si estás participando en el beta privado para el aprovisionamiento de usuario para cuentas empresariales, cuando habilites SAML para tu cuenta empresarial, se habilitará predeterminadamente el aprovisionamiento y desaprovisionamiento de SCIM en GitHub. Puedes utilizar el aprovisionamiento para administrar la membrecía de la organización si configuras SCIM en tu IdP.Si no estás participando en el beta privado, SCIM no será compatible para las cuentas empresariales. Para obtener más información, consulta la sección "Administrar el aprovisionamiento de usuarios para las organizaciones en tu cuenta empresarial".

Nota: Habilitar la autenticación con inicio de sesión único de SAML para tu cuenta de empresa reemplazará cualquier configuración de SAML existente al nivel de la organización.

Para obtener información más detallada sobre cómo habilitar el SAML utilizando Okta, consulta la sección "Configurar el inicio de sesión único de SAML y SCIM para tu cuenta empresarial utilizando Okta.

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Opcionalmente, para ver la configuración actual en todas las organizaciones de la cuenta empresarial antes de requerir alguna configuración adicional, da clic en Ver las configuraciones actuales de tus organizaciones.
    Enlace para visualizar la configuración política actual para todas las organizaciones en el negocio
  5. En "inicio de sesión único SAML", selecciona Habilitar autenticación SAML.
    Casilla de verificación para habilitar SAML SSO
  6. En el campo URL de inicio de sesión, escribe el extremo HTTPS de tu IdP para las solicitudes de inicio de sesión único. Este valor se encuentra en la configuración de tu IdP.
    Campo para la URL a la que los miembros serán redireccionados cuando inicien sesión
  7. También puedes escribir tu nombre de emisor de SAML en el campo Emisor. Esto verifica la autenticidad de los mensajes enviados.
    Campo para el nombre del emisor de SAML
  8. En Certificado público, pega un certificado para verificar las respuestas de SAML.
    Campo para el certificado público de tu proveedor de identidad
  9. Para verificar la integridad de las solicitudes de tu emisor de SAML, haz clic en . Luego, en los menús desplegables Método de firma y Método de resumen, elige el algoritmo de hash que usa tu emisor de SAML.
    Menús desplegables para los algoritmos de hash del Método de firma y del Método de resumen usados por tu emisor de SAML
  10. Antes de habilitar SAML SSO para tu empresa, haz clic en Probar la configuración de SAML para asegurarte de que la información que has ingresado sea correcta.
    Botón para probar la configuración de SAML antes de aplicar el uso obligatorio del inicio de sesión único
  11. Haz clic en Save (Guardar).

Administrar el aprovisionamiento de usuarios para las organizaciones en tu cuenta empresarial

Los propietarios de las empresas pueden administrar las membrecías de la organización en una cuenta empresarial directamente desde un proveedor de identidad (IdP).

Nota: El aprovisionamiento de usuario para las cuentas empresariales se encuentra actualmente en un beta privado y está sujeto a cambios. Para solicitar acceso al beta, contacta a nuestro equipo de administración de cuentas.

Si utilizas a Okta como tu IdP, puedes utilizar SCIM para adminsitrar la membrecía de tu organización en tu cuenta empresarial. SCIM invita a las personas o las elimina de una organización en tu cuenta empresarial automáticamente con base en si son miembros del grupo que corresponde a cada organización en tu IdP o no.

Si estás participando en el beta privado para el aprovisionamiento de usuario para cuentas empresariales, cuando habilites SAML para tu cuenta empresarial, se habilitará predeterminadamente el aprovisionamiento y desaprovisionamiento de SCIM en GitHub. Puedes utilizar el aprovisionamiento para administrar la membrecía de la organización si configuras SCIM en tu IdP. Opcionalmente, puedes habilitar el aprovisionamiento de SAML y, por separado, el desaprovisionamiento.

Si configuras SCIM en tu IdP, cada que hagas cambios a una membrecía grupal en tu IdP, éste hará una llamada de SCIM a GitHub para actualizar la membrecía correspondiente de la organización. Si habilitas el aprovisionamiento de SAML, cada que un miembro de la empresa acceda a un recurso que protege tu configuración de SAML en la cuenta de la empresa, esa aserción de SAML activará el aprovisionamiento.

Para cada llamada de SCIM o aserción de SAML, GitHub verificará los grupos de IdP a los cuales pertenece el usuario y realizará las siguientes operaciones:

  • Si el usuario es un miembro de un grupo de IdP que corresponda a una organización que pertenezca a tu cuenta empresarial, y el usuario no es actualmente miembro de dicha organización, agrégalo a la organización (aserción de SAML) o envía una invitación por correo electrónico al usuario para que se una a una organización (llamado de SCIM).
  • Cancela cualquier invitación que exista para que el usuario se una a la organización que pertenece a tu cuenta empresarial.

Para cada llamada de SCIM y, en caso de que habilites el desaprovisionamiento de SAML, en cada aserción de SAML, GitHub también realizará la siguiente operación:

  • Si el usuario no es un miembro de un grupo de IdP que corresponde a una organización que pertenezca a tu cuenta empresarial y éste es un miembro actual de dicha organización, elimina al usuario de la organización.

Si el desaprovisionamiento eleimina al último propietario que queda en una organización, ésta quedará sin propietario. Los propietarios de las empresas pueden asumir la propiedad de las organizaciones sin propietario. Para obtener más información, consulta la sección "Administrar las organizaciones sin dueño en tu cuenta empresarial".

Para habilitar el aprovisionamiento de usuarios en tu cuenta empresarial utilizandoOkta, consulta la sección "Configurar el inicio de sesión único de SAML y SCIM para tu cuenta empresarial utilizando Okta".

Administrar la sincronización de equipos para las organizaciones en tu cuenta empresarial

Los propietarios de las empresas pueden habilitar la sincronización de equipos entre un IdP y GitHub para permitir a los propietarios de las organizaciones y a los mantenedores de equipo conectar a los equipos en las organizaciones que pertenezcan a tu cuenta empresarial con los grupos de IdP.

Cuando sincronizas un equipo de GitHub con un grupo de IdP, los cambios a este grupo se reflejan automáticamente en GitHub, reduciendo la necesidad de hacer actualizaciones manuales y scripts personalizados. Puedes utilizar un IdP con la sincronización de equipos para gestionar las tareas administrativas tales como el incorporar miembros nuevos, otorgar permisos nuevos para hacer movimientos dentro de una organización, y eliminar el acceso de un miembro a la organización.

Puedes utilizar la sincronización de equipos con tu cuenta empresarial con Azure AD.

Después de que habilites la sincronización de equipos, los mantenedores de equipo y propietarios de organización pueden conectar los equipos a un grupo de IdP en GitHub o a través de la API. Para obtener más información, consulta las secciones "Sincronizar un equipo con un grupo de proveedor de identidad" y "Sincronización de equipo".

Advertencia: Cuando inhabilitas la sincronización de equipos, cualquier miembro del equipo que se haya asignado al equipo de GitHub a través de un grupo de IdP se eliminará del mismo y podría perder acceso a los repositorios.

También puedes configurar y administrar la sincronización de equipos para una organización individual. Para obtener más información, consulta la sección Administrar la sincronización de equipos para tu organización".

Prerrequisitos

Antes de que puedas habilitar la sincronización de equipos para tu cuenta empresarial:

Administrar la sincronización de equipos para Azure AD

Para habilitar la sincronización de equipo para Azure AD, tu instalación de Azure AD necesita los siguientes permisos:

  • Lectura de todos los perfiles completos de usuarios
  • Inicio de sesión y lectura del perfil de usuario
  • Lectura de los datos del directorio
  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Confirma que el SSO de SAML esté habilitado. Para obtener más información, consulta "Administrar el inicio de sesión único de SAML para tu organización".
  5. Debajo de "Sincronización de equipo", da clic en Habilitar para Azure AD.
    Botón para habilitar la sincronización de equipo en la página de configuraciones de seguridad
  6. Para confirmar la sincronización de equipo:
    • Si tienes acceso IdP, haz clic en Enable team synchronization (Habilitar sincronización de equipo). Serás redireccionado a la página de SSO de SAML de tu proveedor de identidad y se te solicitará que selecciones tu cuenta y revises los permisos requeridos.
    • Si no tienes acceso de IdP, copia el vínculo de redirección de IdP y compártelo con tu administrador de IdP para continuar habilitando la sincronización de equipo.
      Botón para habilitar el redireccionamiento de la sincronización de equipo
  7. Revisa la información del organismo proveedor de identidad al cual quieres conectar tu cuenta empresarial, posteriormente, da clic en Aprovar.
    Solicitud pendiente para habilitar la sincronización de equipo a un locatario IdP específico con la opción de aprobar o cancelar la solicitud
  8. Para inhabilitar la sincronización de equipos, da clic en Inhabilitar la sincronización de equipos.
    Inhabilita la sincronización de equipo

Administrar las autoridades de los certificados de SSH de tu cuenta de empresa

Los propietarios de empresa pueden agregar y eliminar las autoridades de los certificados de SSH de una cuenta de empresa (CA).

Al agregar una CA de SSH a tu cuenta de empresa, puedes permitir que los miembros de cualquier organización que sea propiedad de tu cuenta de empresa acceda a los repositorios de esa organización usando los certificados de SSH proporcionados por ti. Puedes solicitar que los miembros usen certificados SSH para acceder a los recursos de la organización,.Para obtener más información, consulta "Acerca de las autoridades de certificados de SSH".

Agregar una autoridad de certificado de SSH

Cuando emites cada uno de los certificados de cliente, debes incluir una extensión que especifique para cuál usuario de GitHub es cada uno de ellos. Para obtener más información, consulta Acerca de las autoridades de certificación de SSH".

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. A la derecha de "Autoridades de Certificados SSH", da clic en Nueva Autoridad.
    Botón de nueva autoridad
  5. Debajo de "Llave", pega tu llave SSH pública.
    Campo de llave para agregar autoridad
  6. Da clic en Agregar Autoridad.
  7. Opcionalmente, para requerir que los miembros utilicen certificados SSH, selecciona Requerir Certificados SSH y después da clic en Guardar.
    Casilla de Requerir Certificado SSH y botón de guardar

Eliminar una autoridad de certificado de SSH

La eliminación de un CA no se puede deshacer. Si deseas usar la misma CA en el futuro, deberás cargarla nuevamente.

  1. Visita la cuenta de tu empresa en https://github.com/enterprises/ENTERPRISE-NAME, reemplazando ENTERPRISE-NAME por el nombre de la cuenta de tu empresa.
  2. En la barra lateral de la cuenta de empresa, haz clic en Settings (Configuraciones).
    Pestaña Settings (Configuraciones) en la barra lateral de la cuenta de empresa
  3. En la barra lateral izquierda, haz clic en Security (Seguridad).
    Pestaña Security (Seguridad) en la barra lateral de parámetros de la cuenta de empresa
  4. Debajo de "Autoridades de Certificados SSH", a la derecha la autoridad que quieras borrar, da clic en Borrar.
    Botón de borrar
  5. Lee la advertencia y después da clic en Entiendo, por favor borra esta Autoridad.
    Botón de confirmación de borrado

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos