Configuración del aprovisionamiento de SCIM para usuarios administrados de empresa

Puede gestionar el ciclo de vida de las cuentas de usuario de su empresa desde su proveedor de identidades (IdP) mediante el Sistema para la Gestión de Identidades entre Dominios (SCIM).

¿Quién puede utilizar esta característica?

Enterprise Managed Users está disponible para las cuentas empresariales nuevas que usan GitHub Enterprise Cloud. Consulta Acerca de Enterprise Managed Users.

En este artículo

Para crear, administrar y desactivar cuentas de usuario para los miembros de su empresa en GitHub, el IdP debe implementar SCIM para la comunicación con GitHub. SCIM es una especificación abierta para la administración de identidades de usuario entre sistemas. Distintos IdP proporcionan experiencias diferentes para la configuración del aprovisionamiento de SCIM.

Si usa un IdP de asociado, puedes simplificar la configuración del aprovisionamiento de SCIM mediante la aplicación del IdP de asociado. Si no usa un IdP de asociado para el aprovisionamiento, puede implementar SCIM mediante llamadas a la API de REST de GitHub para SCIM. Para obtener más información, consulta Acerca de Enterprise Managed Users.

Acerca de la administración del ciclo de vida de los usuarios con SCIM

Con SCIM, puedes administrar el ciclo de vida de las cuentas de usuario desde el IdP:

  • Después de configurar el aprovisionamiento para Enterprise Managed Users, el IdP usa SCIM para aprovisionar las cuentas de usuario en GitHub.com y agregar las cuentas a su empresa. Si asigna un grupo a la aplicación en el IdP, el IdP aprovisionará cuentas para todos los miembros del grupo.
  • Al actualizar la información asociada a la identidad de un usuario en el IdP, el IdP actualizará la cuenta del usuario en GitHub.
  • Cuando anules la asignación del usuario de la aplicación del IdP o desactives la cuenta de un usuario en el IdP, este se pondrá en contacto con GitHub para invalidar las sesiones e inhabilitar la cuenta del miembro. La información de la cuenta inhabilitada se mantiene y el nombre de usuario se cambia por un hash del nombre de usuario original con el código corto anexo si procede.
  • Si reasignas un usuario a la aplicación del IdP o reactivas su cuenta en el IdP, se reactivará la cuenta de usuario y se restaurará el nombre de usuario.

Para configurar la pertenencia a equipos y organizaciones, el acceso a repositorios y los permisos, puedes usar grupos en el IdP. Para más información, consulta Administrar membrecías de equipo con grupos de proveedor de identidad.

Requisitos previos

Si va a configurar el aprovisionamiento de SCIM para una nueva empresa, asegúrese de completar todos los pasos anteriores en el proceso de configuración inicial. Consulta Comenzando con Enterprise Managed Users.

Configuración del aprovisionamiento de usuarios para Enterprise Managed Users

Después de completar la configuración en GitHub, puede configurar el aprovisionamiento en el IdP. Las instrucciones que debe seguir varían en función de si usa una aplicación IdP de un socio tanto para la autenticación como para el aprovisionamiento.

  •         [Configuración del aprovisionamiento si usas una aplicación de IdP proporcionada por un socio](#configuring-provisioning-if-you-use-a-partner-idps-application)

  •         [Configuración del aprovisionamiento para otros sistemas de administración de identidades](#configuring-provisioning-for-other-identity-management-systems)

Configuración del aprovisionamiento si usas una aplicación de IdP proporcionada por un socio

Para usar la aplicación de IdP de asociado para la autenticación y el aprovisionamiento, revisa las instrucciones del asociado para configurar el aprovisionamiento en los vínculos de la tabla siguiente.

IdPMétodo de inicio de sesión únicoInstrucciones
Microsoft Entra ID (anteriormente conocido como Azure AD)OIDC
          [Tutorial: Configurar GitHub Usuario administrado empresarial (OIDC) para el aprovisionamiento automático de usuarios](https://docs.microsoft.com/azure/active-directory/saas-apps/github-enterprise-managed-user-oidc-provisioning-tutorial) en Microsoft Learn |

| Entra ID | SAML | Tutorial: Configure GitHub Enterprise Managed User para el aprovisionamiento automático de usuarios en Microsoft Learn | | Okta | SAML | Configuración de la autenticación de SCIM aprovisionamiento con Okta | | PingFederate | SAML | Las secciones "Requisitos previos" y "2. Configuración de SCIM" en Configuración de la autenticación y el aprovisionamiento de usuarios con PingFederate |

Configuración del aprovisionamiento para otros sistemas de administración de identidades

Si no utiliza un IdP de partner, o si solo usa un IdP de partner para la autenticación SAML, puede gestionar el ciclo de vida de las cuentas de usuario mediante los puntos de conexión de API REST de GitHub para el aprovisionamiento de SCIM. Consulta Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST.

Nota:

El uso de la API REST para el aprovisionamiento SCIM no se admite con empresas que tienen habilitado OIDC.

GitHub no admite expresamente la combinación de IdP asociados para la autenticación y el aprovisionamiento y no prueba todos los sistemas de administración de identidades. Es posible que el equipo de asistencia de GitHub no pueda ayudarle con problemas relacionados con sistemas mixtos o no probados. Si necesita ayuda, debe consultar la documentación del sistema, el equipo de soporte técnico u otros recursos.

Importante

La combinación de Otka y Entra ID para SSO y SCIM (en cualquier orden) no se admite explícitamente. La API de SCIM de GitHub devolverá un error al proveedor de identidades en los intentos de aprovisionamiento si esta combinación está configurada.

  1. Inicia sesión como el usuario de configuración de la empresa con el nombre de usuario SHORTCODE_admin y reemplazan SHORTCODE por el código corto de tu empresa.

    Nota:

    Si necesitas restablecer la contraseña para tu usuario configurado, contacta al Soporte de GitHub mediante el Portal de soporte de GitHub. La opción habitual de restablecimiento de contraseña proporcionando tu dirección de correo electrónico no funcionará.

  2. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  3. En la parte superior de la página, haz clic en Identity provider.

  4. En Identity Provider, haz clic en Single sign-on configuration.

  5. En "Abrir configuración de SCIM", selecciona "Habilitar la configuración de SCIM abierta".

  6. Administra el ciclo de vida de los usuarios realizando llamadas a los puntos de conexión de la API de REST para el aprovisionamiento de SCIM. Consulta Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST.

Asignación de usuarios y grupos

Después de haber configurado la autenticación y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub asignando usuarios o grupos a la aplicación de GitHub Enterprise Managed User.

Cuando se asignan usuarios, es posible utilizar el atributo "Roles" en la aplicación del IdP para configurar el rol de un usuario de la empresa. Para más información sobre los roles disponibles para asignar, consulta Capacidades de roles en una empresa.

Entra ID no admite el aprovisionamiento de grupos anidados. Para obtener más información, consulte Cómo funciona el aprovisionamiento de aplicaciones en Microsoft Entra ID en Microsoft Learn.