Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El objetivo de este artículo es mostrar los pasos que debe realizar en GitHub y Microsoft Entra ID para automatizar el aprovisionamiento de la pertenencia a la organización de GitHub Enterprise Cloud.
Nota:
La integración del aprovisionamiento de Microsoft Entra se basa en la API de GitHub SCIM, que está disponible para los clientes de la nube de GitHub Enterprise en el plan de facturación de GitHub Enterprise.
Requisitos previos
En el escenario descrito en este artículo se supone que ya tiene los siguientes elementos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
- Uno de los siguientes roles:
- Una organización GitHub creada en GitHub Enterprise Cloud, que requiere el plan de facturación de GitHub Enterprise.
- Una cuenta de usuario de GitHub con permisos de administrador para la organización
- SAML configurado para la organización en la nube de GitHub Enterprise
- Asegúrese de que se ha proporcionado acceso de OAuth para su organización, tal como se describe aquí
- El aprovisionamiento de SCIM para una sola organización solo se admite cuando SSO está habilitado en el nivel de organización
Nota:
Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.
Asignación de usuarios a GitHub
Microsoft Entra ID usa un concepto denominado "asignaciones" para determinar qué usuarios deben obtener acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de cuentas de usuario, solo se sincronizan los usuarios o grupos que se han "asignado" a una aplicación en Microsoft Entra ID.
Antes de configurar y habilitar el servicio de aprovisionamiento, debe decidir qué usuarios o grupos de Microsoft Entra ID representan a los usuarios que necesitan acceso a su organización de GitHub. Una vez decidido, puede asignar estos usuarios siguiendo estas instrucciones:
Para más información, consulte Asignar un usuario o grupo a una aplicación empresarial.
Sugerencias importantes para asignar usuarios a GitHub
Se recomienda asignar un único usuario de Microsoft Entra a GitHub para probar la configuración de aprovisionamiento. Más tarde, se pueden asignar otros usuarios o grupos.
Al asignar un usuario a GitHub, debe seleccionar el rol Usuario u otro válido específico de la aplicación (si está disponible) en el cuadro de diálogo de asignación. El rol Acceso predeterminado no funciona para realizar el aprovisionamiento y estos usuarios se omiten.
Configuración del aprovisionamiento de usuarios en GitHub
Esta sección le guía a través de la conexión de su instancia de Microsoft Entra ID a la API de aprovisionamiento SCIM de GitHub para automatizar el aprovisionamiento de la pertenencia a la organización de GitHub. Esta integración, que aprovecha una aplicación de OAuth, agrega, administra y quita automáticamente el acceso de los miembros a una organización de GitHub Enterprise Cloud en función de la asignación de usuarios y grupos en Microsoft Entra ID. Cuando los usuarios se aprovisionan en una organización de GitHub mediante SCIM, se envía una invitación por correo electrónico a la dirección de correo electrónico del usuario.
Configuración del aprovisionamiento automático de cuentas de usuario para GitHub en Microsoft Entra ID
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Navegue a Entra ID>Aplicaciones empresariales.
Si ya ha configurado GitHub para el inicio de sesión único, busque la instancia de GitHub mediante el campo de búsqueda.
Seleccione la instancia de GitHub y, luego, la pestaña Aprovisionamiento.
Establezca el modo de aprovisionamiento en Automático.
En Azure Portal, escriba la dirección URL del inquilino y seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a su organización de GitHub. Si se produce un error en la conexión, asegúrese de que la cuenta de GitHub tiene permisos de administrador y URL de inquilino se ha escrito correctamente, vuelva a intentar el paso "Autorizar" (puede constituir URL de inquilino por regla:
https://api.github.com/scim/v2/organizations/<Organization_name>
, puede encontrar las organizaciones en su cuenta de GitHub: Configuración>Organizaciones).En la sección Credenciales de administrador , seleccione Autorizar. Con esta operación se abre un cuadro de diálogo de autorización de GitHub en una nueva ventana del explorador. Tenga en cuenta que debe asegurarse de que está aprobado para autorizar el acceso. Siga las instrucciones descritas aquí.
En esa nueva ventana, inicie sesión en GitHub con su cuenta de administrador. En el cuadro de diálogo de autorización resultante, seleccione la organización de GitHub para la que desea habilitar el aprovisionamiento y, a continuación, seleccione Autorizar. Cuando termina, vuelva a Azure Portal para completar la configuración de aprovisionamiento.
Escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error de aprovisionamiento en el campo Correo electrónico de notificación y active la casilla "Enviar una notificación por correo electrónico cuando se produzca un error".
Haga clic en Guardar.
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con GitHub.
En la sección Asignaciones de atributos, revise los atributos de usuario de Microsoft Entra ID que se sincronizan con GitHub. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con las cuentas de usuario de GitHub con el objetivo de realizar operaciones de actualización. no habilite la configuración de precedencia de coincidencia para los otros atributos predeterminados de la sección Aprovisionamiento porque pueden producirse errores. Para confirmar los cambios, seleccione Guardar.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para GitHub, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.
Haga clic en Guardar.
Esta operación inicia la sincronización inicial de todos los usuarios y grupos asignados a GitHub en la sección Usuarios y grupos. La sincronización inicial tarda más tiempo en realizarse que las posteriores, que se producen aproximadamente cada 40 minutos si se está ejecutando el servicio. Puede usar la sección Detalles de sincronización para supervisar el progreso y hacer clic en los vínculos a los registros de actividad de aprovisionamiento, que describen todas las acciones que ha llevado a cabo el servicio de aprovisionamiento.
Para más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
Recursos adicionales
- Administración del aprovisionamiento de cuentas de usuario para aplicaciones empresariales
- ¿Qué es el acceso a la aplicación y el inicio de sesión único con Microsoft Entra ID?