Esta versión de GitHub Enterprise Server se discontinuará el 2026-06-02. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Configurar el inicio de sesión único de SAML para tu empresa

Puede controlar y proteger el acceso a tu instancia de GitHub Enterprise Server de su empresa configurando el inicio de sesión único (SSO) de SAML a través de su proveedor de identidades (IdP).

¿Quién puede utilizar esta característica?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

En este artículo

Acerca de SAML SSO

El SSO con SAML le permite controlar y proteger de forma centralizada el acceso a tu instancia de GitHub Enterprise Server desde su IdP de SAML.

Si un usuario no autenticado intenta iniciar sesión en tu instancia de GitHub Enterprise Server y ha deshabilitado la autenticación integrada, GitHub redirige al usuario al IdP de SAML para la autenticación. Después de que el usuario se autentique correctamente con una cuenta en el IdP, el IdP redirige al usuario de nuevo a tu instancia de GitHub Enterprise Server. GitHub valida la respuesta del IdP y, a continuación, concede acceso al usuario. La sesión SAML del usuario está activa en el explorador durante 24 horas. Después el usuario debe autenticarse nuevamente con tu IdP.

Con el aprovisionamiento JIT, si quitas un usuario del IdP, también debes suspender manualmente la cuenta de ese usuario en tu instancia de GitHub Enterprise Server. De lo contrario, el propietario de la cuenta puede seguir autenticando mediante tokens de acceso o claves SSH. Para más información, consulta Suspender y anular suspensión de usuarios.

Proveedores de identidad compatibles

GitHub es compatible con el SSO de SAML para los IdP que implementen SAML 2.0 estándar. Para más información, vea la wiki de SAML en el sitio web de OASIS.

GitHub admite oficialmente y prueba internamente los siguientes IDP para SAML. Para obtener más información sobre los IdP compatibles con SCIM en GitHub Enterprise Server, consulta Acerca del aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server.

  • Microsoft Active Directory Federation Services (ADt FS)
  • Microsoft Entra ID (anteriormente conocido como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Para obtener más información sobre cómo conectar Entra ID a su empresa, consulte Tutorial: integración de SSO de Microsoft Entra con GitHub Enterprise Server en Microsoft Docs.

Nota:

GitHub no prueba ni valida las aplicaciones de galería del proveedor de identidades (IdP) para su uso en entornos de nube gubernamental, incluidos Microsoft Entra ID Government Cloud y Okta Government Cloud. Los problemas de autenticación y aprovisionamiento de SCIM que implican aplicaciones de galería en estos entornos están fuera GitHubdel ámbito de soporte técnico.

Consideraciones sobre el nombre de usuario con SAML

GitHub normaliza un valor de tu proveedor de autenticación externo para determinar el nombre de usuario de cada nueva cuenta personal en tu instancia de GitHub Enterprise Server. Para obtener más información, consulte Consideraciones sobre el nombre de usuario para la autenticación externa.

Configurar el SSO de SAML

Puede habilitar o deshabilitar la autenticación SAML para tu instancia de GitHub Enterprise Servero puede editar una configuración existente. Puede ver y editar la configuración de autenticación en Consola de administración. Para más información, consulta Administrar la instancia desde la interfaz del usuario web.

Nota:

GitHub recomienda encarecidamente comprobar cualquier nueva configuración para la autenticación en un entorno de ensayo. Una configuración incorrecta podría dar lugar a un tiempo de inactividad para tu instancia de GitHub Enterprise Server. Para más información, consulta Configurar una instancia de preparación.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  3. En la barra lateral " Site admin", haz clic en Consola de administración.

  4. En la barra lateral "Configuración", haga clic en Autenticación.

  5. En "Autenticación", selecciona SAML.

  6. Opcionalmente, para permitir que los usuarios sin una cuenta en el sistema de autenticación externa inicien sesión con la autenticación integrada, selecciona Permitir autenticación integrada. Para más información, consulta Permitir la autenticación integrada de los usuarios ajenos al proveedor.

  7. Opcionalmente, para habilitar la respuesta no solicitada SSO, seleccione SSO iniciado por IdP. De forma predeterminada, GitHub Enterprise Server devolverá al IdP una AuthnRequest en respuesta a una solicitud no solicitada iniciada por el proveedor de identidad (IdP).

    Sugerencia

    Se recomienda mantener este valor sin seleccionar. Debe habilitar esta función solo en el caso excepcional de que su implementación de SAML no sea compatible con el SSO iniciado por el proveedor de servicios, y cuando así se lo indique Soporte técnico para GitHub Enterprise.

  8. Opcionalmente, si no desea que el proveedor de SAML determine los derechos de administrador para los usuarios en tu instancia de GitHub Enterprise Server, seleccione Deshabilitar degradación o promoción del administrador.

  9. Opcionalmente, para permitir tu instancia de GitHub Enterprise Server recibir aserciones cifradas del IdP de SAML, seleccione Requerir aserciones cifradas.

    Debes asegurarte de que tu IdP sea compatible con las aserciones cifradas y que los métodos de transporte de llaves y de cifrado en la consola de administración empaten con los valores configurados en tu IdP. También debe proporcionar a su IdP el certificado público de tu instancia de GitHub Enterprise Server. Para más información, consulta Habilitar las aserciones cifradas.

  10. En el campo Single sign-on URL (URL de inicio de sesión único), escribe el punto de conexión HTTP o HTTPS del IdP para las solicitudes de inicio de sesión único. Este valor lo provee la configuración de tu IdP. Si el host solo está disponible desde la red interna, es posible que tenga que configurar tu instancia de GitHub Enterprise Server para usar servidores de nombres internos.

  11. Opcionalmente, en el campo Issuer, escriba el nombre de su emisor SAML. Esto comprueba la autenticidad de los mensajes enviados a tu instancia de GitHub Enterprise Server.

  12. Seleccione los menús desplegable Método de firma y Método de síntesis y, a continuación, haga clic en el algoritmo hash usado por el emisor de SAML para comprobar la integridad de las solicitudes de tu instancia de GitHub Enterprise Server.

  13. Selecciona el menú desplegable Formato de identificador de nombre y, a continuación, haz clic en un formato.

  14. En "Certificado de verificación", haz clic en Elegir archivo y elige un certificado para validar las respuestas SAML desde el IdP.

    Nota:

    GitHub no aplica la expiración de este certificado idP de SAML. Esto significa que, incluso si este certificado expira, la autenticación SAML seguirá funcionando. Sin embargo, si el administrador de IdP vuelve a generar el certificado SAML y no lo actualiza en GitHub, los usuarios se encontrarán con un error digest mismatch al intentar autenticarse mediante SAML debido a que el certificado no coincide. Consulta Error: Digest mismatch.

  15. En "Atributos de usuario"; modifica los nombres de atributo de SAML para hacerlos coincidir con tu IdP, si es necesario, o acepta los nombres predeterminados.

Información adicional