Configuración del aprovisionamiento de SCIM para administrar usuarios

Puede administrar el ciclo de vida de las cuentas de usuario de la empresa desde el proveedor de identidades (IdP) mediante System for Cross-domain Identity Management (SCIM).

¿Quién puede utilizar esta característica?

Site administrators

En este artículo

Note

SCIM para GitHub Enterprise Server se encuentra actualmente en versión beta pública y está sujeta a cambios. GitHub recomienda realizar pruebas con una instancia de ensayo primero. Consulte "Configurar una instancia de preparación".

Para crear, administrar y desactivar cuentas de usuario para los miembros de tu empresa en tu instancia de GitHub Enterprise Server, el IdP puede implementar SCIM para la comunicación con GitHub. SCIM es una especificación abierta para la administración de identidades de usuario entre sistemas. Distintos IdP proporcionan experiencias diferentes para la configuración del aprovisionamiento de SCIM.

Si usa un IdP de asociado, puedes simplificar la configuración del aprovisionamiento de SCIM mediante la aplicación del IdP de asociado. Si no usa un IdP de asociado para el aprovisionamiento, puede implementar SCIM mediante llamadas a la API de REST de GitHub para SCIM. Para obtener más información, consulta "Acerca de cómo el aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server."

Requisitos previos

  • Para la autenticación, la instancia debe usar el SSO de SAML o una combinación de SAML y autenticación integrada.
    • No se puede combinar SCIM con otros métodos de autenticación externos. Si usa CAS o LDAP, deberá migrar a SAML antes de usar SCIM.
    • Después de configurar SCIM, debe mantener habilitada la autenticación SAML para seguir usando SCIM.
  • Debe tener acceso administrativo en el IdP para configurar el aprovisionamiento de usuarios para GitHub Enterprise Server.
  • Debe tener acceso a la Consola de administración en GitHub Enterprise Server.
  • Si va a configurar SCIM en una instancia con usuarios existentes, asegúrese de que ha comprendido cómo SCIM identificará y actualizará estos usuarios. Consulte "Acerca de cómo el aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server".

1. Creación de un usuario de configuración integrado

Para asegurarse de que puede seguir iniciando sesión y configurando las opciones cuando SCIM esté habilitado, creará un propietario de empresa mediante la autenticación integrada.

  1. Inicie sesión en GitHub Enterprise Server como usuario con acceso a la Consola de administración.

  2. Si ya ha habilitado la autenticación SAML, asegúrese de que la configuración le permita crear y promover un usuario de configuración integrado. Vaya a la sección "Autenticación" de la Consola de administración y habilite la siguiente configuración:

    • Seleccione Permitir la creación de cuentas con autenticación integrada para poder crear el usuario.
    • Seleccione Deshabilitar degradación o promoción de administrador para poder conceder permisos de administrador fuera del proveedor de SAML.

    Para obtener ayuda con la búsqueda de esta configuración, consulte "Configurar el inicio de sesión único de SAML para tu empresa".

  3. Crea una cuenta de usuario integrada para realizar acciones de aprovisionamiento en la instancia. Consulte "Permitir la autenticación integrada de los usuarios ajenos al proveedor".

    Note

    Asegúrese de que el correo electrónico y el nombre de usuario del usuario sean diferentes de los de cualquier usuario que planee aprovisionar a través de SCIM. Si el proveedor de correo electrónico lo admite, puede modificar una dirección de correo electrónico agregando +admin, por ejemplo johndoe+admin@example.com.

  4. Promueva el usuario a un propietario de la empresa. Consulte "Promover o degradar a un administrador del sitio".

2. Creación de un personal access token

  1. Inicie sesión en la instancia como el usuario de configuración integrado que creó en la sección anterior.

  2. Cree un personal access token (classic). Para instrucciones, consulta "Administración de tokens de acceso personal".

    • El token debe tener el ámbito admin:enterprise.
    • El token no debe tener expiración. Si especificas una fecha de expiración, SCIM ya no funcionará una vez superada la fecha de expiración.

  3. Almacene el token de manera segura en un administrador de contraseñas hasta que lo necesite nuevamente más adelante en el proceso de configuración. Necesitará el token para configurar SCIM en el IdP.

3. Habilitación de SAML en la instancia

Note

Siga las indicaciones de esta sección si se da alguna de las siguientes circunstancias:

  • Si aún no ha habilitado la autenticación SAML, deberá hacerlo antes de habilitar SCIM.
  • Si ya usa la autenticación SAML y quiere usar un IdP de asociado para la autenticación y el aprovisionamiento, debe configurar SAML mediante una aplicación que admita el aprovisionamiento automático a través de SCIM.

  1. Inicie sesión en la instancia como usuario con acceso a la Consola de administración.

  2. Vaya a la sección "Autenticación" de la Consola de administración. Para instrucciones, consulta "Configurar el inicio de sesión único de SAML para tu empresa".

  3. Seleccione SAML.

  4. Configure las opciones de SAML según sus requisitos y el IdP que usa.

  5. A modo opcional, complete la configuración de SAML dentro de la aplicación en el IdP. Como alternativa, puede dejar este paso hasta más adelante.

4. Habilitación de SCIM en la instancia

  1. Inicie sesión en la instancia como el usuario de configuración integrado que creó anteriormente.

  2. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.

    Captura de pantalla del menú desplegable que aparece al hacer clic en la foto de perfil en GitHub Enterprise Server. La opción "Configuración de Enterprise" está resaltada en un contorno naranja oscuro.

  3. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En Configuración, haz clic en Seguridad de autenticación.

  5. En "Configuración de SCIM", seleccione Habilitar la configuración de SCIM.

5. Configuración del proveedor de identidades

Después de completar la configuración en GitHub, puede configurar el aprovisionamiento en el IdP. Las instrucciones que debe seguir varían dependiendo de si usa una aplicación de IdP de asociado para la autenticación y el aprovisionamiento.

Configuración del aprovisionamiento si usas una aplicación de IdP de asociado

Para usar una aplicación de IdP de asociado para la autenticación y el aprovisionamiento, revise las instrucciones que están vinculadas a continuación. Complete los pasos para habilitar SCIM, además de cualquier configuración de SAML que aún no haya realizado.

Configuración del aprovisionamiento para otros sistemas de administración de identidades

Si no usas un IdP de asociado o solo usas un IdP de asociado para la autenticación, puedes administrar el ciclo de vida de las cuentas de usuario mediante la API de REST de GitHub' para el aprovisionamiento de SCIM. Estos puntos de conexión tienen la versión beta y están sujetos a cambios. Consulte "Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST".

6. Deshabilitación de la configuración opcional

Una vez que haya terminado el proceso de configuración, puede deshabilitar la siguiente configuración en la Consola de administración:

  • Permitir la creación de cuentas con autenticación integrada: deshabilite esta configuración si desea que todos los usuarios se aprovisionen desde el IdP.
  • Deshabilitar degradación o promoción de administrador: deshabilite esta configuración si desea poder conceder el rol de propietario de la empresa a través de SCIM.

7. Asignación de usuarios y grupos

Después de haber configurado la autenticación y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub asignando usuarios o grupos a la aplicación relevante en tu IdP.

Cuando se asignan usuarios, es posible utilizar el atributo "Roles" en la aplicación del IdP para configurar el rol de un usuario de la empresa en GitHub Enterprise Server. Para más información sobre los roles disponibles para asignar, consulta "Roles en una empresa".

Entra ID no admite el aprovisionamiento de grupos anidados. Para más información, consulta Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID en Microsoft Learn..