Nota:
Si la empresa usa Enterprise Managed Users, no es necesario utilizar la sincronización de equipos. En su lugar, puede administrar la pertenencia al equipo a través de la configuración de SCIM que creó al configurar la empresa. Para más información, consulta Administrar membrecías de equipo con grupos de proveedor de identidad.
Acerca de la sincronización de equipo
Puedes habilitar la sincronización de equipos entre tu IdP y GitHub para permitir a los propietarios de la organización y a los mantenedores de equipo conectar equipos en tu organización con grupos de IdP.
Si la sincronización del equipo está habilitada para la organización o cuenta empresarial, puedes sincronizar un equipo de GitHub con un grupo de IdP. Al hacerlo, los cambios de pertenencia en el grupo de IdP se reflejan automáticamente en GitHub, lo que reduce la necesidad de actualizaciones manuales y scripts personalizados.
Para conectar un equipo en GitHub a un grupo de IdP, el equipo ya debe existir en la organización. Incluso si el aprovisionamiento SCIM está configurado, la creación de un grupo en el IdP no crea automáticamente un equipo en GitHub.
Nota:
Para utilizar el inicio de sesión único de SAML, la organización debe usar GitHub Enterprise Cloud. Para más información sobre cómo probar GitHub Enterprise Cloud de forma gratuita, consulta Configuración de una versión de prueba de GitHub Enterprise Cloud.
Puedes utilizar la sincronización de equipos con los IdP compatibles.
- Inquilinos comerciales de Entra ID (no se admite la nube de Azure Government)
- Okta
La sincronización de equipos no es un servicio de aprovisionamiento de usuarios y no invita a los que no son miembros a unirse a organizaciones en la mayoría de los casos. Esto significa que un usuario solo se agregará correctamente a un equipo si ya es miembro de la organización. Sin embargo, opcionalmente, puede permitir que la sincronización de equipos vuelva a invitar a los usuarios que anteriormente eran miembros de la organización y que se quitaron posteriormente.
Después de que habilites la sincronización de equipos, los mantenedores de equipo y propietarios de organización pueden conectar los equipos a un grupo de IdP en GitHub o a través de la API. Para más información, consulta Sincronizar un equipo con un grupo de proveedores de identidad y Puntos de conexión de la API de REST para equipos.
También puedes habilitar la sincronización de equipos para todas las organizaciones que pertenezcan a tu cuenta empresarial. Si SAML está configurado en el nivel empresarial, no puedes habilitar la sincronización de equipos en una organización individual. En su lugar, debes configurar la sincronización de equipos para toda la empresa. Para más información, consulta Administración de la sincronización de equipos para organizaciones de su empresa.
Si tu organización pertenece a una cuenta empresarial, habilitar la sincronización de equipos para esta cuenta empresarial anulará la configuración de sincronización de equipos a nivel organizacional. Para más información, consulta Administración de la sincronización de equipos para organizaciones de su empresa.
Límites de uso
Hay límites de uso para la característica de sincronización de equipos. Exceder estos límites ocasionará una degradación del rendimiento y podrá causar errores de sincronización.
- Número máximo de miembros en un equipo de GitHub: 5000
- Número máximo de miembros en una organización de GitHub: 10 000
- Número máximo de equipos en una organización de GitHub: 1500
Estos límites solo se aplican al uso de la característica de sincronización de equipo. Es posible que su organización tenga más miembros o equipos que los límites anteriores, pero el uso de la característica de sincronización de equipo se verá afectado. Estos límites no se aplican a la vinculación basada en SCIM de equipos a grupos SCIM.
Habilitar la sincronización de equipo
Los pasos para habilitar la sincronización de equipos dependen del IdP que quiera usar. Existen prerrequisitos aplicables a cada IdP para habilitar la sincronización de equipos. Cada IdP individual tiene prerrequisitos adicionales.
Prerrequisitos
Para habilitar la sincronización de equipos con cualquier IdP, debes obtener acceso administrativo con tu IdP o trabajar con tu administrador de IdP para configurar la integración y los grupos de IdP. La persona que configura tus grupos e integración de IdP debe tener alguno de los permisos requeridos.
| IdP | Permisos necesarios |
|---|---|
| Entra ID |
|
| Okta |
|
Debes habilitar el inicio de sesión único de SAML para tu organización y tu IdP compatible. Para más información, consulta Implementar el inicio de sesión único de SAML para su organización.
Debes tener una identidad de SAML vinculada. Para crear una identidad vinculada, debes autenticarte a tu organización utilizando el SSO de SAML y el IdP compatible por lo menos una vez. Para más información, consulta Autenticación con inicio de sesión único.
Nota:
Para que la sincronización de equipos funcione, la configuración de SAML debe contener una dirección URL de IdP válida para el campo "Emisor". Para más información, consulta Habilitación y prueba del inicio de sesión único de SAML para la organización.
Habilitación de la sincronización de equipos para Entra ID
A fin de habilitar la sincronización de equipos para Entra ID, la instalación de Entra ID necesita los siguientes permisos.
- Leer todas las pertenencias a grupos: GitHub obtiene una lista de grupos Entra para que los usuarios puedan seleccionar uno para sincronizarlo con un equipo específico de GitHub.
- Leer los perfiles completos de todos los usuarios: GitHub obtiene una lista con los id. de Entra de los miembros y sus nombres completos para mostrarlos y para sincronizar un grupo de Entra y un equipo de GitHub.
- Inicio de sesión y lectura del perfil de usuario: cuando el inicio de sesión único de SAML está habilitado, los usuarios deben iniciar una sesión única en la aplicación Entra como requisito previo para la sincronización de equipos.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Security" de la barra lateral, haz clic en Authentication security.
- Confirma que se habilitó el SSO de SAML en tu empresa.
- En "Sincronización de equipos", haz clic en Habilitar para Entra ID.
- Confirma la sincronización de equipos.
- Si tiene acceso IdP, haga clic en Enable team synchronization (Habilitar sincronización de equipo). Serás redireccionado a la página de SSO de SAML de tu proveedor de identidad y se te solicitará que selecciones tu cuenta y revises los permisos requeridos.
- Si no tienes acceso de IdP, copia el vínculo de redirección de IdP y compártelo con tu administrador de IdP para continuar habilitando la sincronización de equipo.
- Revisa la información del inquilino del proveedor de identidades al que quiera conectar la organización y, después, haga clic en Aprobar. Esto registrará la aplicación de sincronización de equipos GitHub como una aplicación empresarial activa dentro del inquilino de Entra ID.
Habilitar la sincronización de equipos para Okta
La sincronización de equipos de Okta requiere que ya se hayan configurado el SAML y SCIM con Okta en tu organización.
Para evitar los errores potenciales de sincronización de equipos, de recomendamos que confirmes que las entidades de SCIM enlazadas se hayan configurado correctamente para los miembros de la organización que son miembros de tus grupos selectos de Okta antes de habilitar la sincronización de equipos en GitHub.
Si un miembro de la organización no tiene una identidad de SCIM enlazada, entonces la sincronización de equipos no funcionará como lo esperas y el usuario podría no agregarse o eliminarse de los equipos de acuerdo con lo esperado. Si alguno de estos usuarios no tiene una identidad vinculada de SCIM, necesitarás volver a aprovisionarlos.
Para obtener ayuda con el aprovisionamiento de usuarios a los que les falta una identidad vinculada de SCIM, consulte Solución de problemas de administración de acceso e identidad para la organización.
Antes de habilitar la sincronización de equipos para Okta, tú o tu administrador de IdP deben:
- Configurar la integración con SAML, SSO y SCIM en tu organización utilizando Okta. Para más información, consulta Configurar el inicio de sesión único de SAML y SCIM usando Okta.
- Proporcionar la dirección URL del inquilino para la instancia de Okta.
- Generar un token de SSWS válido con permisos administrativos de solo lectura para la instalación de Okta como usuario de servicio. Para obtener más información, vea Creación del token y Usuarios del servicio en la documentación de Okta.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Security" de la barra lateral, haz clic en Authentication security.
- Confirma que se habilitó el SSO de SAML en tu empresa.
- Te recomendamos confirmar que tus usuarios tienen habilitado SAML y tienen una identidad de SCIM enlazada para evitar errores de aprovisionamiento potenciales. Para más información, consulta Solución de problemas de administración de acceso e identidad para la organización.
- Considera requerir SAML en tu organización para garantizar que los miembros de ella enlacen sus identidades de SAML y de SCIM. Para más información, consulta Implementar el inicio de sesión único de SAML para su organización.
- En "Team synchronization" (Sincronización de equipo), haga clic en Enable for Okta (Habilitar para Okta).
- Debajo del nombre de la organización, en el campo "Token SSWS", escribe un token SSWS válido.
- En el campo "URL", escribe la dirección URL de la instancia de Okta.
- Revise la información del tenant del proveedor de identidades con el que desea conectar su organización y, después, haga clic en Crear.
Administrar si la sincronización de equipos puede volver a invitar a usuarios que no son miembros a la organización
Los cambios en esta configuración no afectan a las invitaciones pendientes. Cualquier invitación generada mientras la sincronización del equipo tenía permiso para volver a invitar a los miembros anteriores a la organización puede dar lugar a que el miembro se vuelva a agregar a la organización, incluso si se ha denegado la nueva invitación.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Security" de la barra lateral, haz clic en Authentication security.
- En "Sincronización de equipos", selecciona o anula la selección de No permitir que Team Sync vuelva a invitar a miembros anteriores de esta organización que un propietario de la misma eliminó.
Inhabilitar la sincronización de equipo
Advertencia
Si deshabilitas la sincronización de equipo, cualquier miembro que estuviera asignado a un equipo GitHub a través de un grupo IdP no se elimina y conserva el acceso a los repositorios.
- En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
- Junto a la organización, haga clic en Settings.
- En la sección "Security" de la barra lateral, haz clic en Authentication security.
- En "Sincronización de equipos", haga clic en Deshabilitar sincronización de equipos.
Desincorporación de usuarios con sincronización de equipos
Si planea usar la sincronización de equipos para retirar usuarios de su empresa por completo, debe deshabilitar la directiva para los usuarios no afiliados. Consulta Controlar la desactivación de usuarios con la política de usuarios no afiliados.