Configuración de una organización de GitHub Enterprise Cloud para el inicio de sesión único con el identificador de Microsoft Entra

En este artículo, aprendes cómo integrar una Organización de GitHub Enterprise Cloud con Microsoft Entra ID. Al integrar una organización de GitHub Enterprise Cloud con Microsoft Entra ID, puede:

• Controlar en Microsoft Entra ID quién tiene acceso a la organización de GitHub Enterprise Cloud.
• Administre el acceso a la organización en la nube de GitHub Enterprise en una ubicación central.

Requisitos previos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una organización GitHub creada en GitHub Enterprise Cloud, que requiere el plan de facturación de GitHub Enterprise.

Descripción del escenario

En este artículo, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• GitHub admite el inicio de sesión único iniciado por SP

• GitHub admite el aprovisionamiento de usuarios (invitaciones de la organización) automatizado.

Adición de GitHub desde la galería

Para configurar la integración de GitHub en Microsoft Entra ID, deberá agregar GitHub desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba GitHub en el cuadro de búsqueda.
4. Seleccione GitHub Enterprise Cloud - Organization en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para GitHub

Configure y pruebe el inicio de sesión único de Microsoft Entra con GitHub mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado en GitHub.

Para configurar y probar el inicio de sesión único de Microsoft Entra con GitHub, complete los siguientes pasos:

1. Configuración del inicio de sesión único en Microsoft Entra: para que los usuarios puedan utilizar esta característica.
   1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en GitHub: para configurar los valores de inicio de sesión único en la aplicación.
   1. Creación de un usuario de prueba de GitHub: para tener un homólogo de B.Simon en GitHub que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba del inicio de sesión único, para comprobar si la configuración funciona.

Configuración del SSO de Microsoft Entra

Siga estos pasos para habilitar el inicio de sesión único de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales>GitHub>Inicio de sesión único.

3. En la página Seleccionar un método de inicio de sesión único, elija SAML.

4. En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.

   

5. En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:

   a) En el cuadro de texto Identificador (id. de entidad) , escriba una dirección URL con el siguiente patrón: https://github.com/orgs/<Organization ID>.

   b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: https://github.com/orgs/<Organization ID>/saml/consume

   c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://github.com/orgs/<Organization ID>/sso

   Nota

   Tenga en cuenta que estos no son los valores reales. Tiene que actualizarlos con el identificador, la dirección URL de respuesta y la URL de inicio de sesión reales. Aquí le recomendamos que utilice el valor de cadena único en el identificador. Vaya a la sección de administración de GitHub para recuperar estos valores.

6. La aplicación de GitHub espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token de SAML. La siguiente captura de pantalla muestra la lista de atributos predeterminados, donde Identificador de usuario único (Identificador de nombre) se asigna a user.userprincipalname. La aplicación gitHub espera que el identificador de usuario único (id. de nombre) se asigne con user.mail, por lo que debe editar la asignación de atributos seleccionando el icono Editar y cambiar la asignación de atributos.

   

7. En la página Configurar Single Sign-On con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para bajar el Certificado (Base64) de las opciones disponibles según sus necesidades y guárdelo en su ordenador.

   

8. En la sección Set up GitHub (Configurar GitHub), copie las direcciones URL que necesite.

   

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración del inicio de sesión único de GitHub

1. En otra ventana del explorador web, inicie sesión en el sitio de la organización de GitHub como administrador.

2. Vaya a Configuración y seleccione Seguridad.

   

3. Active la casilla Habilitar autenticación SAML para ver los campos de configuración del inicio de sesión único y siga estos pasos:

   

   a) Copie el valor de Dirección URL de inicio de sesión único y péguelo en el cuadro de texto URL de inicio de sesión de la Configuración básica de SAML.

   b. Copie el valor de Dirección URL del Servicio de consumidor de aserciones y péguelo en el cuadro de texto Dirección URL de respuesta de Configuración básica de SAML.

4. Configure los campos siguientes:

   

   a) En el cuadro de texto URL de inicio de sesión, pegue el valor de la URL de inicio de sesión que copió anteriormente.

   b. En el cuadro de texto Emisor, pegue el valor de Identificador de Microsoft Entra que ha copiado antes.

   c. Abra el certificado descargado de Azure Portal en el Bloc de notas y pegue el contenido en el cuadro de texto Certificado público.

   d. Seleccione el icono Editar para editar el método de firma y el método de síntesis de RSA-SHA1 y SHA1 a RSA-SHA256 y SHA256, como se muestra a continuación.

   e. Actualice la dirección URL del servicio de consumidor de aserciones (URL de respuesta) con respecto a la dirección URL predeterminada, con el fin de que la dirección URL de GitHub coincida con la del registro de aplicaciones de Azure.

   

5. Seleccione Probar la configuración de SAML para confirmar que no haya fallos de validación ni errores durante el SSO.

   

6. Seleccione Guardar.

Nota

El inicio de sesión único en GitHub se autentica en una organización específica de GitHub y no reemplaza la autenticación de GitHub. Por tanto, si la sesión del usuario en github.com ha expirado, puede que se le pida que se autentique con la contraseña o el identificador de GitHub durante el proceso de inicio de sesión único.

Creación de un usuario de prueba en GitHub

El objetivo de esta sección es crear un usuario de prueba llamado Britta Simon en GitHub. GitHub admite el aprovisionamiento automático de usuarios, que está habilitado de forma predeterminada. Aquí puede encontrar más información sobre cómo configurar el aprovisionamiento automático de usuarios.

Para crear un usuario manualmente, siga los pasos siguientes:

1. Inicie sesión en el sitio de la empresa de GitHub como administrador.

2. Seleccione Personas.

   

3. Seleccione Invitar miembro.

   

4. En la página de diálogo Invitar a miembros, realice los siguientes pasos:

   a) En el cuadro de texto Correo electrónico, escriba la dirección de correo electrónico de la cuenta de Britta Simon.

   

   b. Seleccione Enviar invitación.

   

   Nota

   El titular de la cuenta de Microsoft Entra recibirá un mensaje de correo y seguirá un vínculo para confirmar su cuenta antes de que se active.

Prueba del inicio de sesión único

En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Seleccione Probar esta aplicación; esta opción redirige a la dirección URL de inicio de sesión de GitHub, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de GitHub e inicie el flujo de inicio de sesión desde allí.

• Puede usar Mis aplicaciones de Microsoft. Al seleccionar el icono de GitHub en Aplicaciones, esta opción redirige a la dirección URL de inicio de sesión de GitHub. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Contenido relacionado

Una vez que haya configurado GitHub, puede aplicar el control de sesión, que protege su organización, en tiempo real, frente a la filtración e infiltración de información confidencial. El control de sesión procede del acceso condicional. Información sobre cómo aplicar el control de sesión con Microsoft Defender for Cloud Apps.