Note
SCIM para GitHub Enterprise Server se encuentra actualmente en versión beta pública y está sujeta a cambios. GitHub recomienda realizar pruebas con una instancia de ensayo primero. Consulte "Configurar una instancia de preparación".
Acerca del aprovisionamiento de usuarios para GitHub Enterprise Server
Si usa el inicio de sesión único (SSO) de SAML para tu instancia de GitHub Enterprise Server, podrá configurar SCIM a fin de crear o suspender automáticamente cuentas de usuario y conceder acceso a la instancia al asignar o anular la asignación de la aplicación en el IdP. Para obtener más información sobre SCIM, consulta System for Cross-domain Identity Management: Protocolo (RFC 7644) en el sitio web de IETF.
Si no configuras el aprovisionamiento de usuarios con SCIM, el IdP no se comunicará con GitHub Enterprise Server automáticamente al asignar la aplicación a un usuario o anular su asignación. Sin SCIM, GitHub Enterprise Server crea una cuenta de usuario mediante el aprovisionamiento Just-In-Time (JIT) de SAML la primera vez que alguien navega a GitHub Enterprise Server e inicia sesión mediante la autenticación a través de su IdP.
Para configurar el aprovisionamiento de su empresa, debe habilitar el aprovisionamiento en GitHub Enterprise Server; a continuación, puede instalar y configurar una aplicación de aprovisionamiento en el IdP o configurar manualmente el aprovisionamiento de SCIM mediante los puntos de conexión de la API de REST de GitHub para SCIM.
Proveedores de identidad compatibles
GitHub se asocia con algunos desarrolladores de sistemas de administración de identidades para proporcionar una integración de tipo "paved-path" con GitHub Enterprise Server. A fin de simplificar la configuración y garantizar la compatibilidad completa, utiliza un IdP de asociado único para la autenticación y el aprovisionamiento.
Proveedores de identidad asociados
Los idP siguientes son idP de asociados. Ofrecen una aplicación que puede usar para configurar la autenticación SAML y el aprovisionamiento de SCIM.
- Microsoft Entra ID
- Okta
- PingFederate (beta)
Cuando se usa un único IdP asociado tanto para la autenticación como para el aprovisionamiento, GitHub proporciona soporte para la aplicación en el IdP asociado y la integración del IdP con GitHub. La compatibilidad con PingFederate está en la versión beta.
Otros sistemas de administración de identidades
Si no puede utilizar un único IdP asociado tanto para la autenticación como para el aprovisionamiento, puede utilizar otro sistema de gestión de identidades o una combinación de sistemas. El sistema debe:
- Cumplir las directrices de integración de GitHub.
- Proporcionar autenticación mediante SAML, cumpliendo con la especificación SAML 2.0
- Proporcionar la administración del ciclo de vida del usuario utilizando SCIM, adhiriéndose a la especificación SCIM 2.0 y comunicándose con la API de REST de GitHub (véase "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST")
¿Cómo puedo administrar los ciclos de vida de los usuarios con SCIM?
Con SCIM, puedes administrar el ciclo de vida de las cuentas de usuario desde el IdP:
- Al aprovisionar un nuevo usuario, el IdP solicitará a tu instancia de GitHub Enterprise Server que cree una cuenta y envíe un correo electrónico de incorporación al usuario. Si asigna un grupo a la aplicación en el IdP, el IdP aprovisionará cuentas para todos los miembros del grupo.
- Al actualizar la información asociada a la identidad de un usuario en el IdP, el IdP actualizará la cuenta del usuario en GitHub.
- Cuando anules la asignación del usuario de la aplicación del IdP o desactives la cuenta de un usuario en el IdP, este se pondrá en contacto con GitHub para invalidar las sesiones e inhabilitar la cuenta del miembro. La información de la cuenta inhabilitada se mantiene y el nombre de usuario se cambia por un hash del nombre de usuario original.
- Si reasignas un usuario a la aplicación del IdP o reactivas su cuenta en el IdP, se reactivará la cuenta de usuario y se restaurará el nombre de usuario.
Para configurar la pertenencia a equipos y organizaciones, el acceso a repositorios y los permisos en GitHub Enterprise Server, puedes usar grupos en el IdP. Para obtener más información, vea «Administrar membrecías de equipo con grupos de proveedor de identidad».
Cuando SCIM está habilitado, ya no podrá eliminar, suspender ni promover usuarios aprovisionados con SCIM directamente en GitHub Enterprise Server. Debe administrar estos procesos desde el IdP.
¿Qué ocurrirá con los usuarios existentes en mi instancia?
Si actualmente usa el inicio de sesión único de SAML y habilita SCIM, debe tener en cuenta lo que sucede con los usuarios existentes durante el aprovisionamiento de SCIM.
- Cuando SCIM está habilitado, los usuarios con identidades vinculadas a SAML no podrán iniciar sesión hasta que SCIM aprovisione sus identidades.
- Cuando la instancia recibe una solicitud SCIM, las identidades SCIM se comparan con los usuarios existentes; para ello, se compara el campo SCIM
userNamecon el nombre de usuario de GitHub. Si no existe un nombre de usuario coincidente GitHub crea un nuevo usuario. - Si GitHub identifica correctamente a un usuario del IdP, pero los detalles de la cuenta, como la dirección de correo electrónico, el nombre o el apellido no coinciden, la instancia sobrescribirá los detalles con valores del IdP. Las direcciones de correo electrónico que no sean el correo electrónico principal aprovisionado por SCIM también se eliminarán de la cuenta de usuario.
¿Qué ocurre durante la autenticación SAML?
Después de que un administrador de IdP conceda a una persona acceso a tu instancia de GitHub Enterprise Server, el usuario puede autenticarse mediante el IdP para acceder a GitHub Enterprise Server mediante el inicio de sesión único de SAML.
- Cuando un usuario se autentica a través de SAML, para asociar al usuario con una identidad de SAML, GitHub compara una notificación normalizada
NameIDdel IdP (u otro valor configurado) con el nombre de usuario de la cuenta. Para obtener más información sobre la normalización, consulte "Consideraciones sobre el nombre de usuario para la autenticación externa". - Si no hay ninguna cuenta con un nombre de usuario coincidente en la instancia, el usuario no podrá iniciar sesión.
- Para que esto coincida, GitHub Enterprise Server compara la notificación SAML
NameIddel IdP con el atributo SCIMuserNamepara cada cuenta de usuario aprovisionada por SCIM en la instancia. - Además, en el caso de Entra ID, GitHub Enterprise Server compara el identificador de objeto de la solicitud SAML con un identificador externo SCIM existente.
- Para que esto coincida, GitHub Enterprise Server compara la notificación SAML
- Si el entorno no usa
NameIDpara identificar de manera exclusiva a los usuarios, un administrador de sitio puede configurar atributos de usuario personalizados para la instancia. GitHub Enterprise Server respetará esta asignación cuando se configure SCIM. Para obtener más información sobre la asignación de atributos de usuario, consulta "Configurar el inicio de sesión único de SAML para tu empresa".
¿Qué ocurre si deshabilito SCIM?
SCIM se deshabilitará en la instancia si se produce alguno de los siguientes sucesos.
- La casilla Habilitar configuración de SCIM no está seleccionada en la página "Seguridad de autenticación" en la configuración de empresa.
- El botón de selección SAML no está seleccionado en la sección "Autenticación" de la Consola de administración.
- El Emisor de SAML o el campo Inicio de sesión único se actualiza en la sección "Autenticación" de la Consola de administración.
Si SCIM está deshabilitado en la instancia de:
- Las solicitudes a los puntos de conexión de la API de SCIM en la instancia ya no se realizarán correctamente.
- Los usuarios aprovisionados mediante SCIM permanecerán sin cambios y no se suspenderán.
- Los administradores del sitio podrán administrar el ciclo de vida de los usuarios aprovisionados por SCIM, como la suspensión y eliminación, desde el panel de administración del sitio.
- Los usuarios podrán seguir con el inicio de sesión a través de SAML, si está habilitado.
- Los usuarios se desvincularán de su registro de identidad externo y se eliminará el registro.
Introducción
Para empezar a trabajar con SCIM, tendrá que hacer lo siguiente:
- Complete la configuración inicial, necesaria independientemente del idP que use, en "Configuración del aprovisionamiento de SCIM para administrar usuarios".
- Configure los valores en el IdP.
- Si usa un IdP de asociado para la autenticación y el aprovisionamiento, tendrá que seguir una guía para el IdP.
- De lo contrario, configurará una integración de SCIM con la API de REST, tal como se describe en "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST".