Configurar el inicio de sesión único de SAML para los usuarios administrados de Enterprise

Puede administrar automáticamente el acceso a su cuenta GitHub empresarial mediante la configuración del inicio de sesión único (SSO) del lenguaje de marcado de aserción de seguridad (SAML).

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulta Acerca de Enterprise Managed Users.

En este artículo

          **Antes** de seguir los pasos descritos en este artículo, asegúrate de que la empresa usa **usuarios administrados** y que has iniciado sesión como el usuario de instalación cuyo nombre de usuario es el código abreviado de tu empresa con el sufijo `_admin`. Puedes comprobar que has iniciado sesión con el usuario correcto comprobando si la vista empresarial tiene la barra de encabezado "Ver como SHORTCODE_admin" en la parte superior de la pantalla. Si ves esto, has iniciado sesión con el usuario correcto y puedse seguir los pasos descritos en este artículo. Para obtener más información sobre el usuario de instalación, consulta [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).

Si su empresa usa cuentas personales, debe seguir un proceso diferente para configurar el inicio de sesión único de SAML. Consulta Configurar el inicio de sesión único de SAML para tu empresa.

Acerca del inicio de sesión único de SAML para Enterprise Managed Users

Con Enterprise Managed Users, el acceso a los recursos de su empresa en GitHub.com o GHE.com debe autenticarse a través del proveedor de identidad (IdP). En lugar de iniciar sesión con un nombre de usuario y una GitHub contraseña, los miembros de su empresa iniciarán sesión a través de su IdP.

Después de que configures el SSO de SAML, te recomendamos que almacenes tus códigos de recuperación para que puedas recuperar el acceso a tu empresa en caso de que no esté disponible tu IdP.

Si actualmente utilizas el inicio de sesión único de SAML para la autenticación y prefieres usar OIDC y beneficiarte de la compatibilidad con CAP, puedes seguir una ruta de migración. Para más información, consulta Migración de SAML a OIDC.

Requisitos previos

  • Comprenda los requisitos de integración y el nivel de compatibilidad de su IdP.

    •           GitHub ofrece una integración de "ruta facilitada" y compatibilidad total si usa un **IdP de partner** tanto para la autenticación como para el aprovisionamiento.
    • Como alternativa, puedes usar cualquier sistema o combinación de sistemas que se ajusten a SAML 2.0 y SCIM 2.0. Sin embargo, la compatibilidad de resolución de problemas con estos sistemas puede ser limitada.

    Para más detalles, consulta Acerca de Enterprise Managed Users.

  • El IdP debe cumplir la especificación SAML 2.0. Consulte Wiki de SAML en el sitio web de OASIS

  • Debe tener acceso administrativo de inquilino al IdP.

  • Si va a configurar el SSO de SAML para una nueva empresa, asegúrese de completar todos los pasos anteriores en el proceso de configuración inicial. Consulta Comenzando con Enterprise Managed Users.

Configuración de SAML SSO para Enterprise Managed Users

Para configurar SAML SSO para empresa con usuarios administrados, debe configurar una aplicación en el IdP y, a continuación, configurar su empresa en GitHub. Después de que configures el SSO de SAML, puedes configurar el aprovisionamiento de usuarios.

  1.        [Configuración del IdP](#configure-your-idp)

  2.        [Configurar tu empresa](#configure-your-enterprise)

  3.        [Habilitación de aprovisionamiento](#enable-provisioning)

Configuración del IdP

  1. Si usa un IdP de partner, para instalar la aplicación GitHub Enterprise Managed User, haga clic en el vínculo de su IdP y entorno.

    Proveedor de identidadesAplicación para GitHub.comAplicación para GHE.com
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed User
           [
       GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) |

    | PingFederate | PingFederate descarga el sitio web (vaya a la pestaña Complementos y seleccione GitHub Conector EMU 1.0). | PingFederate descarga el sitio web (vaya a la pestaña Complementos y seleccione GitHub Conector EMU 1.0). |

  2. Para configurar SAML SSO para Enterprise Managed Users en un IdP de partner, consulte la documentación correspondiente a su IdP y entorno.

    Proveedor de identidadesDocumentación para GitHub.comDocumentación para GHE.com
    Microsoft Entra ID
           [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | 
       [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) |

    | Okta | Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise | Configurar el inicio de sesión único de SAML con Okta para los usuarios administrados de Enterprise | | PingFederate | Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate ("Requisitos previos" y "1"). Configuración de SAML") | Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate ("Requisitos previos" y "1"). Configuración de SAML") |

    Si no usa un IdP de partner, también puede usar la documentación de configuración de SAML para que GitHub cree y configure una aplicación genérica de SAML 2.0 en su IdP. Consulta Referencia de configuración de SAML.

  3. Para probar y configurar su empresa, asígnese a usted mismo o al usuario que configurará SAML SSO para su empresa en GitHub n la aplicación que configuró para Enterprise Managed Users en su IdP.

    Nota:

    Para probar una conexión de autenticación correcta tras la configuración, se debe asignar al menos un usuario al IdP.

  4. Para seguir configurando su empresa en GitHub, localice y anote la siguiente información de la aplicación que instaló en su IdP.

    ValorOtros nombresDescripción
    IdP URL de inicio de sesiónURL de inicio de sesión, URL del IdPURL de la aplicación en tu IdP
    Dirección URL del identificador de IdPEmisorEl identificador del IdP de los proveedores de servicio para la autenticación de SAML
    Certificado de firma, codificado en PEMCertificado públicoCertificado público que utiliza el IdP para firmar las solicitudes de autenticación

Configurar tu empresa

Una vez configurado SAML SSO para Enterprise Managed Users en su IdP, puede configurar su empresa en GitHub.

Después de la configuración inicial de SAML SSO, la única configuración que puede actualizar en GitHub para su configuración de SAML existente es el certificado SAML, que puede realizar cualquier miembro que tenga el rol de propietario de empresa. Si necesitas actualizar la URL de inicio de sesión o del emisor, primero debes inhabilitar el SSO de SAML y luego volver a configurarlo con los ajustes nuevos. Para más información, consulta Deshabilitación de la autenticación para usuarios administrados por Enterprise.

  1. Inicia sesión como el usuario de configuración de la empresa con el nombre de usuario SHORTCODE_admin y reemplazan SHORTCODE por el código corto de tu empresa.

    Nota:

    Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub. La opción habitual de restablecimiento de contraseña proporcionando tu dirección de correo electrónico no funcionará.

  2. Si usas un proveedor de identidades no asociado (un proveedor de identidades distinto de Okta, PingFederate o Entra ID), antes de habilitar SAML, debes actualizar una configuración para poder configurar SCIM mediante la API REST. Consulta Configuración del aprovisionamiento de SCIM para usuarios administrados de empresa.

  3. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  4. En la parte superior de la página, haz clic en Identity provider.

  5. En Identity Provider, haz clic en Single sign-on configuration.

  6. En "Inicio de sesión único de SAML", selecciona Añadir configuración de SAML.

  7. En Sign on URL (URL de inicio de sesión), escribe el punto de conexión HTTPS del IdP para las solicitudes de inicio de sesión único que has anotado al configurar el IdP.

  8. En Issuer (Emisor), escriba la dirección URL del emisor de SAML que ha anotado al configurar el IdP para comprobar la autenticidad de los mensajes enviados.

  9. En Public Certificate (Certificado público), pegue el certificado que ha anotado al configurar el IdP para comprobar las respuestas de SAML.

    Nota:

    GitHub no aplica la expiración de este certificado idP de SAML. Esto significa que, incluso si este certificado expira, la autenticación SAML seguirá funcionando. Sin embargo, GitHubla recomendación es actualizar el certificado antes de que expire. Aceptaremos una respuesta SAML firmada con un certificado expirado, pero no podemos comentar cómo se controlará la expiración del certificado en el nivel de proveedor de identidades. Si el administrador de IdP vuelve a generar el certificado SAML y no lo actualiza en la parte de GitHub, los usuarios encontrarán un error digest mismatch durante los intentos de autenticación SAML debido a la falta de coincidencia del certificado. Consulta Error: Digest mismatch.

  10. En la misma sección Public Certificate, selecciona los menús desplegables Signature Method y Digest Method y después haz clic en el algoritmo de hash que utiliza tu emisor de SAML.

  11. Antes de habilitar el SSO de SAML para la empresa, haga clic en Test SAML configuration (Probar la configuración de SAML) para asegurarse de que la información que ha escrito sea correcta. Esta prueba usa la autenticación iniciada por el proveedor de servicios (iniciada por SP) y debe realizarse correctamente para poder guardar la configuración de SAML.

  12. Haga clic en Save SAML settings (Guardar configuración de SAML).

    Nota:

    Después de requerir SAML SSO para su empresa y guardar la configuración de SAML, el usuario encargado de la configuración seguirá teniendo acceso a la empresa y seguirá conectado a GitHub, junto con el cuentas de usuario administradas aprovisionado por su IdP, quienes también tendrán acceso a la empresa.

  13. Para asegurarse de que todavía puede acceder a su empresa en GitHub en caso de que su IdP no esté disponible en el futuro, haga clic en Descargar, Imprimir o Copiar para guardar los códigos de recuperación. Para más información, consulta Descarga de los códigos de recuperación de inicio de sesión único de la cuenta empresarial.

Habilitación de aprovisionamiento

Después de que habilitas el SSO de SAML, habilita el aprovisionamiento. Para más información, consulta Configuración del aprovisionamiento de SCIM para usuarios administrados de empresa.

Habilitación de colaboradores invitados

Puedes usar el rol de colaborador invitado para conceder acceso limitado a proveedores y contratistas de tu organización. A diferencia de los miembros de empresa, los colaboradores invitados solo tienen acceso a repositorios internos en las organizaciones donde son miembros.

Si usas Entra ID u Okta para la autenticación SAML, es posible que tengas que actualizar la aplicación IdP para usar colaboradores invitados. Para más información, consulta Habilitación de colaboradores invitados.