Configuración del aprovisionamiento de SCIM para administrar usuarios

Puede administrar el ciclo de vida de las cuentas de usuario de la empresa desde el proveedor de identidades (IdP) mediante System for Cross-domain Identity Management (SCIM).

¿Quién puede utilizar esta característica?

Site administrators

En este artículo

Para crear, administrar y desactivar cuentas de usuario para los miembros de su empresa en GitHub, el IdP puede implementar SCIM para la comunicación con GitHub. SCIM es una especificación abierta para la administración de identidades de usuario entre sistemas. Distintos IdP proporcionan experiencias diferentes para la configuración del aprovisionamiento de SCIM.

Si usa un IdP de asociado, puedes simplificar la configuración del aprovisionamiento de SCIM mediante la aplicación del IdP de asociado. Si no usa un IdP de asociado para el aprovisionamiento, puede implementar SCIM mediante llamadas a la API de REST de GitHub para SCIM. Para obtener más información, consulta Acerca del aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server.

¿Quién necesita seguir estas instrucciones?

Incluso si la instancia ya usa la autenticación SAML o si se inscribió en la versión preliminar privada de SCIM en una versión anterior de GitHub Enterprise Server, debe asegurarse de que ha seguido todas las instrucciones de esta guía para habilitar SCIM en la versión 3.14 y posteriores.

Esta guía se aplica en cualquiera de las situaciones siguientes.

  • Va a configurar SAML y SCIM por primera vez: seguirá estas instrucciones para empezar.
  • Ya usa la autenticación SAML: deberá habilitar SCIM en la instancia, además de volver a configurar SAML con una aplicación IdP que admita el aprovisionamiento automatizado o configurar una integración SCIM con la API REST.
  • Se inscribió en la versión preliminar privada de SCIM: deberá volver a habilitar SCIM en la instancia y, si usa un IdP de asociado, volver a configurar los ajustes en una aplicación IdP actualizada.

Requisitos previos

  • SCIM es un protocolo de servidor a servidor. Los puntos de conexión de la API de REST de la instancia deben ser accesibles para el proveedor de SCIM.
  • Para la autenticación, la instancia debe usar el SSO de SAML o una combinación de SAML y autenticación integrada.
    • No se puede combinar SCIM con otros métodos de autenticación externos. Si usa CAS o LDAP, deberá migrar a SAML antes de usar SCIM.
    • Después de configurar SCIM, debe mantener habilitada la autenticación SAML para seguir usando SCIM.
  • Debes tener acceso administrativo en el IdP.
  • Debes tener acceso a la Consola de administración en GitHub Enterprise Server.
  • Si va a configurar SCIM en una instancia con usuarios existentes, asegúrese de que ha comprendido cómo SCIM identificará y actualizará estos usuarios. Consulta Acerca del aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server.

1. Creación de un usuario de configuración integrado

Para asegurarse de que puede seguir iniciando sesión y configurando las opciones cuando SCIM esté habilitado, creará un propietario de empresa mediante la autenticación integrada.

  1. Inicia sesión en GitHub Enterprise Server como usuario con acceso a la Consola de administración.

  2. Si ya has habilitado la autenticación SAML, asegúrate de que la configuración te permita crear y promover un usuario de autenticación integrado. Vaya a la sección "Autenticación" de la Consola de administración y habilite la siguiente configuración:

    • Seleccione Permitir la creación de cuentas con autenticación integrada para poder crear el usuario.
    • Seleccione Deshabilitar degradación o promoción de administrador para poder conceder permisos de administrador fuera del proveedor de SAML.

    Para obtener ayuda con la búsqueda de esta configuración, consulta Configurar el inicio de sesión único de SAML para tu empresa.

  3. Crea una cuenta de usuario integrada con el nombre de usuario scim-admin para realizar acciones de aprovisionamiento en la instancia. Consulta Permitir la autenticación integrada de los usuarios ajenos al proveedor.

    Asegúrese de que el correo electrónico y el nombre de usuario del usuario sean diferentes de los de cualquier usuario que planee aprovisionar a través de SCIM. Si el proveedor de correo electrónico lo admite, puede modificar una dirección de correo electrónico agregando +admin, por ejemplo johndoe+admin@example.com.

    Puedes usar cualquier nombre de usuario para el usuario de configuración, pero se recomienda usar scim-admin. Aunque el usuario scim-admin consume una licencia cuando se crea por primera vez, la licencia se libera una vez que SCIM está habilitado. Con cualquier otro nombre de usuario, el usuario seguirá consumiendo una licencia después de habilitar SCIM.

  4. Promueva el usuario a un propietario de la empresa. Consulta Promover o degradar a un administrador del sitio.

2. Creación de un personal access token

  1. Inicie sesión en la instancia como el usuario de configuración integrado que creó en la sección anterior.

  2. Cree un personal access token (classic). Para instrucciones, consulta Administración de tokens de acceso personal.

    • El token debe tener el ámbito scim:enterprise.
    • El token no debe tener expiración. Si especificas una fecha de expiración, SCIM ya no funcionará una vez superada la fecha de expiración.

  3. Almacene el token de manera segura en un administrador de contraseñas hasta que lo necesite nuevamente más adelante en el proceso de configuración. Necesitará el token para configurar SCIM en el IdP.

3. Habilitación de SAML en la instancia

Nota:

Siga las indicaciones de esta sección si se da alguna de las siguientes circunstancias:

  • Si aún no ha habilitado la autenticación SAML, deberá hacerlo antes de habilitar SCIM.
  • Si ya usa la autenticación SAML y quiere usar un IdP de asociado para la autenticación y el aprovisionamiento, o si va a actualizar desde la versión preliminar privada de SCIM, debe volver a configurar SAML mediante una nueva aplicación.

  1. Inicie sesión en la instancia como usuario con acceso a la Consola de administración.

  2. Vaya a la sección "Autenticación" de la Consola de administración. Para instrucciones, consulta Configurar el inicio de sesión único de SAML para tu empresa.

  3. Seleccione SAML.

  4. Configure las opciones de SAML según sus requisitos y el IdP que usa.

  5. A modo opcional, complete la configuración de SAML dentro de la aplicación en el IdP. Como alternativa, puede dejar este paso hasta más adelante.

4. Habilitación de SCIM en la instancia

  1. Inicie sesión en la instancia como el usuario de configuración integrado que creó anteriormente.
  2. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y, a continuación, en Your enterprise.
  3. En la parte superior de la página, haga clic en Settings.
  4. En Configuración, haz clic en Seguridad de autenticación.
  5. En "Configuración de SCIM", seleccione Habilitar la configuración de SCIM.

Ahora puedes confirmar que SCIM está habilitado si compruebas los registros de auditoría de la instancia. Deberías esperar ver un evento "business.enable_open_scim", que indica que la API REST de SCIM de GitHub se ha habilitado en la instancia.

5. Configuración del proveedor de identidades

Después de completar la configuración en GitHub, puede configurar el aprovisionamiento en el IdP. Las instrucciones que debe seguir varían dependiendo de si usa una aplicación de IdP de asociado para la autenticación y el aprovisionamiento.

Configuración del aprovisionamiento si usas una aplicación de IdP de asociado

Para usar una aplicación de IdP de asociado para la autenticación y el aprovisionamiento, revise las instrucciones que están vinculadas a continuación. Complete los pasos para habilitar SCIM, además de cualquier configuración de SAML que aún no haya realizado.

Configuración del aprovisionamiento para otros sistemas de administración de identidades

Si no usas un IdP de asociado o solo usas un IdP de asociado para la autenticación, puedes administrar el ciclo de vida de las cuentas de usuario mediante la API de REST de GitHub' para el aprovisionamiento de SCIM. Consulta Aprovisionamiento de usuarios y grupos con SCIM mediante la API de REST.

GitHub no admite expresamente la combinación de IdP asociados para la autenticación y el aprovisionamiento y no prueba todos los sistemas de administración de identidades. Es posible que el equipo de asistencia de GitHub no pueda ayudarle con problemas relacionados con sistemas mixtos o no probados. Si necesita ayuda, debe consultar la documentación del sistema, el equipo de soporte técnico u otros recursos.

Importante

La combinación de Otka y Entra ID para SSO y SCIM (en cualquier orden) no se admite explícitamente. La API de SCIM de GitHub devolverá un error al proveedor de identidades en los intentos de aprovisionamiento si esta combinación está configurada.

6. Actualización de la configuración

Una vez que hayas terminado el proceso de configuración, debes deshabilitar el valor siguiente en la Consola de administración:

  • Deshabilitar degradación o promoción del administrador: deshabilita este valor para permitir la asignación del rol de propietario de la empresa mediante SCIM. Si este valor permanece habilitado, no podrás aprovisionar propietarios de empresa desde SCIM.

Opcionalmente, también puedes deshabilitar el valor siguiente en la Consola de administración:

  • Permitir la creación de cuentas con autenticación integrada: deshabilite esta configuración si desea que todos los usuarios se aprovisionen desde el IdP.

7. Asignación de usuarios y grupos

Después de haber configurado la autenticación y el aprovisionamiento, podrás aprovisionar usuarios nuevos en GitHub asignando usuarios o grupos a la aplicación relevante en tu IdP.

Cuando se asignan usuarios, es posible utilizar el atributo "Roles" en la aplicación del IdP para configurar el rol de un usuario de la empresa. Para más información sobre los roles disponibles para asignar, consulta Roles en una empresa.

Entra ID no admite el aprovisionamiento de grupos anidados. Para más información, consulta Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID en Microsoft Learn..