Administrar membrecías de equipo con grupos de proveedor de identidad

Conecte los grupos del IdP con los equipos en GitHub para gestionar la pertenencia a equipos y organizaciones a través de su proveedor de identidades.

En este artículo

Acerca de la administración de equipos con SCIM

Si has configurado el aprovisionamiento de SCIM, puedes administrar la pertenencia a equipos y organizaciones dentro de tu empresa a través del proveedor de identidades mediante la conexión de equipos de GitHub a grupos en el proveedor de identidades.

En las secciones siguientes se explica cómo GitHub se usan los trabajos de aprovisionamiento y conciliación de SCIM para mantener la pertenencia a equipos y organizaciones sincronizadas con el IdP.

Cuando GitHub recibe una llamada a la API SCIM de grupos de tu IdP, genera un evento external_group.scim_api_success o external_group.scim_api_failure en el registro de auditoría empresarial. Estos eventos capturan información detallada sobre la invocación, incluida la carga útil y la operación realizadas, y se registran en el registro de auditoría con el actor establecido como el usuario de configuración integrado/local, la cuenta utilizada para configurar el aprovisionamiento de SCIM.

Una vez que GitHub almacena los datos del grupo a nivel empresarial, ejecuta una tarea diaria de reconciliación para sincronizar la pertenencia a los equipos con los datos almacenados del grupo del IdP. Esta conciliación también se ejecuta siempre que una API de SCIM de grupo actualiza la pertenencia a grupos y si un administrador vincula o desvincula un equipo a un grupo almacenado.

Cuando un cambio en un grupo de IdP o una nueva conexión de equipo da como resultado que un usuario se una a un equipo de una organización de la que aún no era miembro, GitHub agrega automáticamente el usuario a la organización. Cuando desvincula un grupo de un equipo, GitHub elimina a los usuarios que pasaron a ser miembros de la organización a través de su pertenencia al equipo si no son miembros de la organización de ninguna otra forma.

Los equipos que se conectan con los grupos de IdP no pueden ser equipos padres ni hijos de otro equipo. Si el equipo que quieres conectar a un grupo de IdP es un equipo padre o hijo, te recomendamos crear un equipo nuevo o eliminar las relaciones anidadas que hacen de tu equipo un equipo padre.

Para administrar el acceso al repositorio para cualquier equipo de la empresa, incluidos los equipos conectados a un grupo de IdP, debe realizar cambios en GitHub. Para más información, consulta Administrar el acceso de equipo a un repositorio de la organización.

Requisitos para conectar grupos de IdP con equipos

Para poder conectar un grupo de IdP con un equipo en GitHub, debe asignar el grupo a la aplicación correspondiente de su IdP. Para más información, consulta Configurar el aprovisionamiento de SCIM para administrar usuarios.

Puedes conectar a un equipo de tu empresa a un grupo de IdP. Puedes asignar el mismo grupo de IdP a varios equipos de tu empresa.

Si estás conectando un equipo a un grupo de IdP, primero debes eliminar a cualquier miembro que se haya agregado manualmente. Después de que conectas a un equipo de tu empresa a un grupo de IdP, tu administrador de IdP debe realizar cambios en la membresía del equipo a través del proveedor de identidad. No puede administrar la pertenencia al equipo directamente en GitHub.

Si usa Microsoft Entra ID (anteriormente conocido como Azure AD) como idP, solo puede conectar un equipo a un grupo de seguridad. No se admiten las pertenencias a grupos anidados ni los grupos de Microsoft 365.

Sincronización de un equipo empresarial

Los propietarios de empresas pueden crear equipos en el nivel empresarial.

La mayoría de las instrucciones de este artículo se aplican a equipos de nivel de la organización. Para obtener instrucciones sobre cómo crear un equipo empresarial y sincronizarlo con un grupo de IdP, consulta Creación de equipos empresariales.

Creación de un nuevo equipo de organización conectado a un grupo de IdP

Cualquier miembro de una organización puede crear un equipo nuevo y conectarlo a un grupo de IdP.

  1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

  2. Haz clic en el nombre de tu organización.

  3. En el nombre de la organización, haz clic en Teams.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de personas y "Equipos", está resaltada en naranja oscuro.

  4. En la parte superior de la página, haga clic en Nuevo equipo.

  5. Debajo de "Crear un equipo nuevo", teclea el nombre para tu equipo nuevo.

  6. Opcionalmente, en el campo de "Descripción", teclea una descripción del equipo.

  7. Para conectar un equipo, en "Grupos de proveedores de identidad", selecciona el menú desplegable Seleccionar grupos y haz clic en el equipo que quieras conectar.

  8. En "Visibilidad del equipo", seleccione una visibilidad para el equipo.

  9. Haga clic en Create team.

Administración de la conexión entre un equipo de una organización existente y un grupo de IdP

Los propietarios de la organización y los mantenedores de equipo pueden administrar la conexión existente entre un grupo de IdP y un equipo.

Nota:

Antes de conectar por primera vez un equipo existente en GitHub a un grupo de IdP, primero deben eliminarse todos los miembros del equipo en GitHub. Para más información, consulta Eliminar de un equipo a miembros de la organización.

  1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y después en Your profile.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Tu perfil" se destaca en naranja oscuro.

  2. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

  3. En el nombre de la organización, haz clic en Teams.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de personas y "Equipos", está resaltada en naranja oscuro.

  4. Haga clic en el nombre del equipo.

  5. En la parte superior de la página del equipo, haz clic en Settings.

    Captura de pantalla del encabezado de la página de un equipo. Una pestaña, etiquetada con un icono de engranaje y "Configuración", tiene un contorno naranja oscuro.

  6. Opcionalmente, en "Grupo de proveedores de identidades", a la derecha del grupo idP que desea desconectar, haga clic en .

Anulación de la selección de un grupo de IdP conectado desde el equipo de GitHub.

  1. Para conectar un grupo de IdP, debajo de "Grupo de Proveedor de Identidad"; selecciona el menú desplegable y haz clic en un grupo de proveedor de identidad de la lista.

Menú desplegable para elegir un grupo de proveedor de identidades.

  1. Haga clic en Guardar cambios.

Ver los grupos de IdP, la membresía de grupos y los equipos conectados

Los propietarios de la empresa pueden revisar una lista de grupos de IdP, las pertenencias de cada grupo y los equipos conectados a cada grupo. Los grupos y membresías de IdP que se muestran en esta vista se basan en la información enviada del IdP a GitHub a través de SCIM. Debes editar la membrecía de un grupo en tu IdP.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. Para ver una lista de grupos de IdP, en la barra lateral izquierda, haz clic en Proveedor de identidades.
  3. Para ver a los miembros y equipos conectados a un grupo de IdP, haz clic en el nombre del grupo.
    1. En Identity provider, haz clic en Groups.
  5. Para ver los equipos conectados al grupo de IdP, haga clic en Teams (Equipos).

Si un equipo no se puede sincronizar con el grupo en tu IdP, el equipo mostrará un error. Para más información, consulta Resolución de problemas de pertenencia al equipo con grupos de proveedores de identidad.

Eliminación de miembros de organizaciones

La forma en que se agrega un miembro a una organización propiedad de su empresa determina cómo debe eliminarse de una organización.

  • Si un miembro se agregó a una organización manualmente, debes quitarlo manualmente. Si se les desasigna de la aplicación pertinente en tu IdP, el usuario se suspenderá, pero no se eliminará de la organización.
  • Si un usuario se convirtió en miembro de una organización porque fue añadido a grupos IdP, elimínelo de todos los grupos IdP asignados asociados a la organización.

Para descubrir cómo se agregó un miembro a una organización, puedes filtrar la lista de miembros por tipo. Consulte Visualizar a las personas en tu empresa.