Acerca de la administración de acceso e identidad con el inicio de sesión único de SAML

Si administras centralmente las identidades y aplicaciones de tus usuarios con un provedor de identidad (IdP), puedes configurar el inicio de sesión único (SSO) del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para proteger los recursos de tu organización en GitHub.

El inicio de sesión único de SAML se encuentra disponible con Nube de GitHub Enterprise. Para obtener más información, consulta la sección "Productos de GitHub".

Nota: Si tu empresa utiliza Usuarios Administrados de Enterprise, debes seguir un proceso diferente para configurar el inicio de sesión único de SAML. Para obtener más información, consulta la sección "Configurar el inicio de sesión único de SAML para los Usuarios Administrados Empresariales".

Acerca de SAML SSO

El inicio de sesión único (SSO) de SAML proporciona a los propietarios de las organizaciones y empresas en GitHub una forma de controlar y asegurar el acceso a los recursos organizacionales como los repositorios, propuestas y solicitudes de cambios.

Si configuras el SSO de SAML, los miembros de tu organización de GitHub continuarán ingresando en sus cuentas de usuario en GitHub. Cuando un miembro accede a recursos dentro de tu organización que utiliza el SSO de SAML, GitHub lo redirecciona a tu IdP para autenticarse. Después de autenticarse exitosamente, tu IdP redirecciona a este miembro a GitHub, en donde puede acceder a los recursos de tu organización.

Los propietarios de las organizaciones pueden requerir el SSO de SAML para una organización individual o para todas las organizaciones en una cuenta empresarial. Para obtener más información, consulta la sección "Requerir el inicio de sesión único de SAML para las organizaciones de tu cuenta empresarial".

El SSO de SAML requiere Nube de GitHub Enterprise. Para obtener más información sobre cómo puedes probar Nube de GitHub Enterprise gratis, consulta la sección "Configurar una prueba de Nube de GitHub Enterprise".

Nota: No se requiere que los colaboradores externos se autentiquen con un IdP para acceder a los recursos de una organización que cuente con el SSO de SAML. Para obtener más información sobre los colaboradores externos, consulta la sección "Niveles de permiso para una organización".

Antes de habilitar el SSO de SAML para tu organización, necesitarás conectar tu IdP a la misma. Para obtener más información, consulta "Conectar tu proveedor de identidad a tu organización."

En una organización, el SSO de SAML puede inhabilitarse, habilitarse pero no requerirse, o habilitarse y requerirse. Después de habilitar exitosamente el SSO de SAML para tu organización y que sus miembros se autentiquen exitosamente con tu IdP, puedes requerir la configuración del SSO de SAML. Para obtener más información acerca de requerir el SSO de SAML para tu organización en GitHub, consulta la sección "Requerir el inicio de sesión único de SAML para tu organización".

Los miembros deben autenticarse regularmente con tu IdP y obtener acceso a los recursos de tu organización. Tu IdP especifica la duración de este período de inicio de sesión y, generalmente, es de 24 horas. Este requisito de inicio de sesión periódico limita la duración del acceso y requiere que los usuarios se vuelvan a identificar para continuar.

Para acceder a los recursos protegidos de tu organización tulizando la API y Git en la línea de comando, los miembros deberán autorizar y autentificarse con un token de acceso personal o llave SSH. Para obtener más información, consulta la sección "Autorizar un token de acceso personal para su uso con el inicio de sesión único de SAML".

La primera vez que un miembro utilice el SSO de SAML para acceder a tu organización, GitHub creará automáticamente un registro que vinculará a tu organización, la cuenta de GitHub del miembro y la cuenta del miembro en tu IdP. Puedes ver y retirar la identidad de SAML que se ha vinculado, activar sesiones, y autorizar las credenciales para los miembros de tu organización o cuenta empresarial. Para obtener más información, consulta la sección "Visualizar y administrar un acceso de SAML de un miembro a tu organización" y Visualizar y administrar un acceso de SAML de un usuario a tu cuenta empresarial".

Si los miembros ingresan con una sesión de SSO de SAML cuando crean un nuevo repositorio, la visibilidad predeterminada de dicho repositorio será privada. De lo contrario, la visibilidad predeterminada es pública. Para obtener más información sobre la visibilidad de los repositorios, consulta la sección "Acerca de los repositorios".

Los miembros de una organización también deben contar con una sesión activa de SAML para autorizar un App OAuth. Puedes decidir no llevar este requisito si contactas a Soporte de GitHub. GitHub no recomienda que renuncies a este requisito, ya que expondrá a tu organización a un riesgo mayor de que se roben las cuentas y de que exista pérdida de datos.

GitHub no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Servicios SAML admitidos

Ofrecemos soporte limitado para todos los proveedores de identidad que implementan SAML 2.0 estándar. Ofrecemos soporte oficial de estos proveedores de identidad que se han probado internamente:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Algunos IdP admiten acceso de suministro a una organización de GitHub a través de SCIM. El aprovisionamiento y desaprovisionamiento del acceso de los usuarios con SCIM no se encuentra disponible para las cuentas empresariales. Para obtener más información, consulta la sección "Acerca de SCIM".

Agregar miembros a una organización usando SAML SSO

Una vez que activas SAML SSO, hay varias maneras de poder agregar nuevos miembros a tu organización. Los propietarios de la organización pueden invitar a los miembros de forma manual en GitHub o usando la API. Para obtener más información, consulta las secciones "Invitar usuarios a unirse a tu organización" y "Miembros".

Para aprovisionar nuevos usuarios sin una invitación de un propietario de la organización, puedes usar la URL https://github.com/orgs/ORGANIZATION/sso/sign_up, reemplazando ORGANIZATION con el nombre de tu organización. Por ejemplo, puedes configurar tu IdP para que cualquiera con acceso al IdP pueda hacer clic en el tablero del IdP para unirse a tu organización de GitHub.

Si tu IdP admite SCIM, GitHub puede invitar automáticamente a los miembros para que se unan a tu organización cuando les otorgas acceso en tu IdP. Si eliminas el acceso de un miembro a tu organización de GitHub en tu IdP de SAML, éste se eliminará automáticamente de la organización deGitHub. Para obtener más información, consulta la sección "Acerca de SCIM".

Puedes utilizar la sincronización de equipos para eliminar y agregar automáticamente a los miembros de la organización a los equipos mediante un proveedor de identidad. Para obtener más información, consulta la sección "Sincronizar a un equipo con un grupo de proveedor de identidad".

GitHub no es compatible con el cierre de sesión único de SAML. Para terminar una sesión de SAML activa, los usuarios deben salir directamente en tu IdP de SAML.

Leer más

¿Te ayudó este documento?

Política de privacidad

¡Ayúdanos a hacer geniales estos documentos!

Todos los documentos de GitHub son de código abierto. ¿Notas algo que esté mal o que no sea claro? Emite una solicitud de cambios.

Haz una contribución

O, aprende cómo contribuir.