Configuración de la autenticación de y aprovisionamiento con Okta

Aprenda a configurar Okta para comunicarse con su empresa mediante System for Cross-domain Identity Management (SCIM).

¿Quién puede utilizar esta característica?

Site administrators with admin access to the IdP

En este artículo

Note

SCIM para GitHub Enterprise Server se encuentra actualmente en versión beta pública y está sujeta a cambios. GitHub recomienda realizar pruebas con una instancia de ensayo primero. Consulte "Configurar una instancia de preparación".

Acerca del aprovisionamiento con Okta

Si usas Okta como IdP, puede usar la aplicación de Okta para aprovisionar cuentas de usuario, administrar la pertenencia a empresas y equipos de organizaciones de tu empresa. Okta es un IdP de asociado, por lo que puede simplificar la configuración de autenticación y aprovisionamiento mediante la aplicación Okta para administrar el inicio de sesión único de SAML y el aprovisionamiento de SCIM en GitHub Enterprise Server.

Como alternativa, si solo vas a usar Okta para la autenticación SAML y quieres usar otro IdP para el aprovisionamiento, puede integrar con la API de REST de GitHub para SCIM. Para obtener más información, vea «Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST».

Características admitidas

GitHub Enterprise Server admite las siguientes características de aprovisionamiento para Okta.

CaracterísticaDescripción
Subir Usuarios NuevosLos usuarios que se asignan a GitHub's en Okta se crean automáticamente en la empresa en GitHub Enterprise Server.
Subir la Actualización de PerfilLas actualizaciones que se hacen al perfil del usuario en Oktan se subirán a GitHub Enterprise Server.
Grupos de SubidaLos Grupos en Okta que se hayan asignado a GitHub's como Grupos de push se crearán automáticamente en la empresa en GitHub Enterprise Server.
Subir Desactivaciones de UsuariosEl desasignar al usuario de GitHub's en Okta lo inhabilitará en GitHub Enterprise Server. El usuario no podrá iniciar sesión, pero la información del usuario se mantendrá.
Reactivar UsuariosLos usuarios de Okta cuyas cuentas de Okta se reactiven y quienes se asignen de nuevo a GitHub's en Okta se habilitarán.

Requisitos previos

Se aplican los requisitos previos generales para usar SCIM en GitHub Enterprise Server. Consulte la sección "Requisitos previos" en "Configuración del aprovisionamiento de SCIM para administrar usuarios".

Además:

  • Para configurar SCIM, debe haber completado los pasos del 1 al 4 de "Configuración del aprovisionamiento de SCIM para administrar usuarios".

    • Necesitará personal access token (classic) que se creó para que el usuario de configuración autentique las solicitudes de Okta.

  • Debes usar la aplicación de Okta para la autenticación y el aprovisionamiento.

  • Tu producto Okta debe ser compatible con System for Cross-domain Identity Management (SCIM). Para obtener más información, revisa la documentación de Okta o ponte en contacto con el equipo de soporte técnico de Okta.

1. Configuración de SAML

Durante la versión beta pública de SCIM en GitHub Enterprise Server, usará la aplicación de GitHub AE en Okta para configurar la autenticación SAML y el aprovisionamiento de SCIM. No use la aplicación "GitHub Enterprise Server", ya que no es compatible con los puntos de conexión de la API de SCIM más recientes de GitHub.

Antes de iniciar esta sección, asegúrese de que ha seguido los pasos 1 y 2 de "Configuración del aprovisionamiento de SCIM para administrar usuarios".

En Okta

  1. Vaya a la aplicación AE de GitHub en Okta.

  2. Haga clic en Agregar integración.

  3. En la configuración general de la dirección URL base, escriba la dirección URL de host (https://HOSTNAME.com) de GitHub Enterprise Server.

  4. Haga clic en la pestaña Sign On (Iniciar sesión).

  5. Asegúrese de que el campo "Detalles de credenciales" coincida con lo siguiente.

    • "Formato de nombre de usuario de la aplicación": nombre de usuario de Okta
    • "Actualizar el nombre de usuario de la aplicación en": Crear y actualizar
    • "Revelación de contraseña": deseleccionada

  6. En la sección "Certificados de firma de SAML", descargue el certificado seleccionando Acciones y, a continuación, haga clic en Descargar certificado.

  7. En el lado derecho de la página, haga clic en Ver instrucciones de configuración de SAML.

  8. Anote la dirección URL de inicio de sesión y la dirección URL del emisor.

En GitHub Enterprise Server

  1. Inicie sesión en tu instancia de GitHub Enterprise Server como usuario con acceso a la Consola de administración.
  2. Configure SAML con la información recopilada. Consulte "Configurar el inicio de sesión único de SAML para tu empresa".

2. Configuración de SCIM

Después de configurar SAML, puede continuar con la configuración de aprovisionamiento.

Antes de iniciar esta sección, asegúrese de que ha seguido los pasos 1 a 4 en "Configuración del aprovisionamiento de SCIM para administrar usuarios".

  1. Navega a tu aplicación de GitHub Enterprise Managed User en Okta.

  2. Haga clic en el Provisioning ficha.

  3. En el menú de configuración, haga clic en Integration (Integración).

  4. Haga clic en Edit (Editar) para realizar cambios.

  5. Haga clic en Configurar la integración de API.

  6. En el campo "API Token" (Token de la API), escriba el personal access token (classic) con el ámbito admin:enterprise que pertenece al usuario de configuración.

    Note

    "Importar grupos" no es compatible con GitHub. La selección o deselección de la casilla no afecta a la configuración.

  7. Haga clic en Test API Credentials (Probar credenciales de API). Si la prueba tiene éxito, se mostrará un mensaje de verificación en la parte superior de la pantalla.

  8. Para guardar el token, haga clic en Save (Guardar).

  9. En el menú de configuración, haga clic en To App (En la aplicación).

  10. A la derecha de "Provisioning to App" (Aprovisionar en la aplicación), para permitir que se realicen cambios, haga clic en Edit (Editar).

  11. Selecciona Habilitar a la derecha de Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios.

  12. Para finalizar la configuración del aprovisionamiento, haga clic en Save (Guardar).

Cuando haya terminado de configurar SCIM, puede deshabilitar algunas de las opciones de SAML que habilitó en el proceso de configuración. Consulte "Configuración del aprovisionamiento de SCIM para administrar usuarios".

¿Cómo puedo asignar usuarios y grupos?

Después de haber configurado la autenticación y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub asignando usuarios o grupos a la aplicación relevante en tu IdP.

Nota: Un administrador de sitio puede tener habilitados los límites de velocidad de API en la instancia. Si superas estos umbrales, los intentos de aprovisionar usuarios pueden producir un error de "límite de velocidad". Puedes revisar los registros de IdP para confirmar si se ha producido un error en las operaciones de envío de cambios o de aprovisionamiento de SCIM que se han intentado realizar debido a un error de límite de frecuencia. La respuesta a un intento de aprovisionamiento con errores dependerá del IdP. Para obtener más información, consulta "Solución de problemas de administración de acceso e identidad para la empresa".

También puedes administrar automáticamente la pertenencia a organizaciones agregando grupos a la pestaña de "Push Groups" en Okta. Cuando el grupo se aprovisione con éxito, este estará disponible para conectarse a los equipos en las organizaciones de la empresa. Para más información sobre la administración de equipos, consulta "Administrar membrecías de equipo con grupos de proveedor de identidad".

Cuando se asignan usuarios, es posible utilizar el atributo "Roles" en la aplicación del IdP para configurar el rol de un usuario de la empresa en GitHub Enterprise Server. Para más información sobre los roles disponibles para asignar, consulta "Roles en una empresa".

Nota: Solo puedes establecer el atributo "Roles" para un usuario individual, no para un grupo. Si quiere establecer roles para todos los miembros de un grupo asignado a la aplicación en Okta, debe utilizar el atributo "Roles" para cada miembro del grupo, individualmente.

¿Cómo puedo desaprovisionar usuarios y grupos?

Para quitar un usuario o un grupo de GitHub Enterprise Server, quítalo tanto de la pestaña "Asignaciones" como de la pestaña "Grupos de inserción" en Okta. En el caso de los usuarios, asegúrate de se quiten de todos los grupos en la pestaña "Grupos de inserción".