Tutorial: Integración del inicio de sesión único de Microsoft Entra con cuenta de empresa de GitHub Enterprise Cloud
En este tutorial, obtendrás más información sobre cómo configurar una integración SAML de Microsoft Entra con cuenta de empresa de GitHub Enterprise Cloud. Al integrar cuenta de empresa de GitHub Enterprise Cloud con Microsoft Entra ID, puede:
- Controlar en Microsoft Entra ID quién tiene acceso a una cuenta de GitHub Enterprise y a cualquier organización de la cuenta de empresa.
Requisitos previos
Para empezar, necesita los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Una cuenta de GitHub Enterprise.
- Una cuenta de usuario de GitHub que sea un propietario de la cuenta de empresa.
Descripción del escenario
En este tutorial, configurarás una integración SAML para una cuenta de GitHub Enterprise y probarás la autenticación y el acceso del propietario de la cuenta empresarial y de los miembros de la empresa u organización.
Nota:
La aplicación de GitHub Enterprise Cloud - Enterprise Account
no admite la habilitación del aprovisionamiento automático de SCIM. Si necesita configurar el aprovisionamiento para el entorno de GitHub Enterprise Cloud, SAML debe configurarse en el nivel de organización y el GitHub Enterprise Cloud - Organization
de la aplicación de Microsoft Entra debe usarse en su lugar. Si configura una integración de aprovisionamiento de SAML y SCIM para una empresa que está habilitada para usuarios administrados de empresa (EMU), debe usar GitHub Enterprise Managed User
de la aplicación de Microsoft Entra para integraciones de aprovisionamiento/SAML o GitHub Enterprise Managed User (OIDC)
de la aplicación de Microsoft Entra para integraciones de aprovisionamiento/OIDC.
- GitHub Enterprise Cloud - Enterprise Account admite el SSO iniciado por SP e IDP.
Adición de GitHub Enterprise Cloud - Enterprise Account desde la galería
Para configurar la integración de la cuenta de empresa de GitHub Enterprise Cloud en Microsoft Entra ID, es preciso agregarla desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la Galería, escriba GitHub Enterprise Cloud - Enterprise Account en el cuadro de búsqueda.
- Seleccione GitHub Enterprise Cloud - Enterprise Account en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación, asignar roles y recorrer la configuración de inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único (SSO) de Microsoft Entra para la cuenta de empresa de GitHub Enterprise Cloud
Configure y pruebe el inicio de sesión único (SSO) de Microsoft Entra en la cuenta de empresa de GitHub Enterprise Cloud con un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una vinculación entre un usuario de Microsoft Entra y el usuario correspondiente de la cuenta de empresa de GitHub Enterprise Cloud.
Para configurar y probar el inicio de sesión único (SSO) de Microsoft Entra con la cuenta de empresa de GitHub Enterprise Cloud, siga los pasos que se indican a continuación:
- Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asignación del usuario de Microsoft Entra y la cuenta de usuario de prueba a la aplicación GitHub, para permitir que su cuenta de usuario y el usuario de prueba
B.Simon
usen el inicio de sesión único de Microsoft Entra.
- Habilitación y prueba de SAML para la cuenta de empresa y sus organizaciones , con el fin de configurar las opciones de inicio de sesión único en la aplicación.
- Prueba del inicio de sesión único con otro propietario de la cuenta de empresa o cuenta de miembro de la organización , para determinar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>GitHub Enterprise Cloud: cuenta de empresa>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, siga estos pasos:
a. En el cuadro de texto Identificador (id. de entidad) , escriba una dirección URL con el siguiente patrón:
https://github.com/enterprises/<ENTERPRISE-SLUG>
b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón:
https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume
Si quiere configurar la aplicación en modo iniciado por SP, realice el siguiente paso:
En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón:
https://github.com/enterprises/<ENTERPRISE-SLUG>/sso
Nota:
Reemplace
<ENTERPRISE-SLUG>
por el nombre real de su cuenta de GitHub Enterprise.En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargarlo y guardarlo en el equipo.
En la sección Configurar GitHub Enterprise Cloud - Enterprise Account, copie las direcciones URL adecuadas en función de sus necesidades.
Cree un usuario de prueba de Microsoft Entra
En esta sección, creará un usuario de prueba en Azure Portal llamado B.Simon
.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Vaya aIdentidad>Usuarios>Todos los usuarios.
- Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, siga estos pasos:
- En el campo Nombre para mostrar, escriba
B.Simon
. - En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
- Seleccione Revisar + crear.
- En el campo Nombre para mostrar, escriba
- Seleccione Crear.
Asignación del usuario de Microsoft Entra y la cuenta de usuario de prueba a la aplicación GitHub
En esta sección, va a permitir que B.Simon
y su cuenta de usuario utilicen el inicio de sesión único de Azure al conceder acceso a GitHub Enterprise Cloud - Enterprise Account.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>GitHub Enterprise Cloud: cuenta de empresa.
- En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
- Seleccione Agregar usuario. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon y la cuenta de usuario en la lista de usuarios. A continuación, haga clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Habilitación y prueba de SAML para la cuenta de empresa y sus organizaciones
Para configurar el inicio de sesión único en GitHub Enterprise Cloud - Enterprise Account, siga los pasos indicados en la documentación de GitHub.
- Inicie sesión en GitHub.com con una cuenta de usuario que sea un propietario de la cuenta de empresa.
- Copie el valor del campo
Login URL
en la aplicación y péguelo en el campoSign on URL
de la configuración de SAML para la cuenta de GitHub Enterprise. - Copie el valor del campo
Azure AD Identifier
en la aplicación y péguelo en el campoIssuer
de la configuración de SAML de la cuenta de GitHub Enterprise. - Copie el contenido del archivo Certificate (Base64) que descargó en los pasos anteriores en Azure Portal y péguelos en el campo correspondiente de la configuración de SAML para la cuenta de GitHub Enterprise.
- Haga clic en
Test SAML configuration
y confirme que puede autenticarse correctamente con la cuenta de GitHub Enterprise en Microsoft Entra ID. - Una vez que la comprobación sea satisfactoria, guarde la configuración.
- Después de autenticarse mediante SAML por primera vez desde la cuenta de GitHub Enterprise, se creará una identidad externa vinculada en la cuenta de GitHub Enterprise que asocia la cuenta de usuario de GitHub que ha iniciado sesión a la cuenta de usuario de Microsoft Entra.
Después de habilitar el inicio de sesión único de SAML para su cuenta de GitHub Enterprise, el inicio de sesión único de SAML estará habilitado de forma predeterminada para todas las organizaciones pertenecientes a su cuenta de empresa. Todos los miembros deben autenticarse mediante el inicio de sesión único de SAML para acceder a las organizaciones a las que pertenecen; y los propietarios de empresa deben autenticarse mediante el inicio de sesión único de SAML al acceder a una cuenta de empresa.
Prueba del inicio de sesión único con otro propietario de la cuenta de empresa o cuenta de miembro de la organización
Una vez configurada la integración de SAML para la cuenta de GitHub Enterprise (que también se aplica a las organizaciones de GitHub de la cuenta de empresa), otros propietarios de cuentas de empresa que estén asignados a la aplicación en Microsoft Entra ID deberían poder acceder a la URL de la cuenta de GitHub Enterprise (https://github.com/enterprises/<enterprise account>
), autenticarse mediante SAML y acceder a las directivas y la configuración de la cuenta de GitHub Enterprise.
El propietario de una organización para una cuenta de empresa debería poder invitar a un usuario a unirse a su organización de GitHub. Inicie sesión en GitHub.com con una cuenta de propietario de organización y siga los pasos del artículo para invitar a B.Simon
a la organización. Es necesario crear una cuenta de usuario de GitHub para B.Simon
, si aún no dispone de una.
Para comprobar el acceso a la organización de GitHub en la cuenta de empresa con la cuenta de usuario de prueba de B.Simon
, siga estos pasos:
- Invite a
B.Simon
a una organización de la cuenta de empresa como propietario de la organización. - Inicie sesión en GitHub.com con la cuenta de usuario que desea vincular a la cuenta de usuario de Microsoft Entra de
B.Simon
. - Inicie sesión en Microsoft Entra ID mediante la cuenta de usuario
B.Simon
. - Acceda a la organización de GitHub. Se solicitará al usuario que se autentique mediante SAML. Una vez realizada correctamente la autenticación SAML,
B.Simon
debe poder acceder a los recursos de la organización.
Pasos siguientes
Una vez configurado GitHub Enterprise Cloud - Enterprise Account, puede aplicar el control de sesión, que protege contra la filtración e infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.