Tutorial: Configuración de GitHub para aprovisionar usuarios automáticamente

El objetivo de este tutorial es mostrarle los pasos que debe realizar en GitHub y Microsoft Entra ID para automatizar el aprovisionamiento de la pertenencia a organización de GitHub Enterprise Cloud.

Nota:

La integración del aprovisionamiento de Microsoft Entra se basa en la API de GitHub SCIM, que está disponible para los clientes de la nube de GitHub Enterprise en el plan de facturación de GitHub Enterprise.

Requisitos previos

En la situación descrita en este tutorial se supone que ya cuenta con los elementos siguientes:

Nota:

Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.

Asignación de usuarios a GitHub

Microsoft Entra ID usa un concepto denominado "asignaciones" para determinar qué usuarios deben obtener acceso a determinadas aplicaciones. En el contexto del aprovisionamiento automático de cuentas de usuario, solo se sincronizan los usuarios o grupos que se han "asignado" a una aplicación en Microsoft Entra ID.

Antes de configurar y habilitar el servicio de aprovisionamiento, debe decidir qué usuarios o grupos de Microsoft Entra ID representan a los usuarios que necesitan acceso a su organización de GitHub. Una vez decidido, puede asignar estos usuarios siguiendo estas instrucciones:

Para más información, consulte Asignar un usuario o grupo a una aplicación empresarial.

Sugerencias importantes para asignar usuarios a GitHub

  • Se recomienda asignar un único usuario de Microsoft Entra a GitHub para probar la configuración de aprovisionamiento. Más tarde, se pueden asignar otros usuarios o grupos.

  • Al asignar un usuario a GitHub, debe seleccionar el rol Usuario u otro válido específico de la aplicación (si está disponible) en el cuadro de diálogo de asignación. El rol Acceso predeterminado no funciona para realizar el aprovisionamiento y estos usuarios se omiten.

Configuración del aprovisionamiento de usuarios en GitHub

Esta sección le guía a través de la conexión de su instancia de Microsoft Entra ID a la API de aprovisionamiento SCIM de GitHub para automatizar el aprovisionamiento de la pertenencia a la organización de GitHub. Esta integración, que aprovecha una aplicación de OAuth, agrega, administra y quita automáticamente el acceso de los miembros a una organización de GitHub Enterprise Cloud en función de la asignación de usuarios y grupos en Microsoft Entra ID. Cuando los usuarios se aprovisionan en una organización de GitHub mediante SCIM, se envía una invitación por correo electrónico a la dirección de correo electrónico del usuario.

Configuración del aprovisionamiento automático de cuentas de usuario para GitHub en Microsoft Entra ID

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Si ya ha configurado GitHub para el inicio de sesión único, busque la instancia de GitHub mediante el campo de búsqueda.

  4. Seleccione la instancia de GitHub y, luego, la pestaña Aprovisionamiento.

  5. Establezca el modo de aprovisionamiento en Automático.

  6. En Azure Portal, escriba dirección URL de inquilino y haga clic en Test Connection para asegurarse de que Microsoft Entra ID puede conectarse a su organización de GitHub. Si se produce un error en la conexión, asegúrese de que la cuenta de GitHub tiene permisos de administrador y URL de inquilino se ha escrito correctamente, vuelva a intentar el paso "Autorizar" (puede constituir URL de inquilino por regla: https://api.github.com/scim/v2/organizations/<Organization_name>, puede encontrar las organizaciones en su cuenta de GitHub: Configuración>Organizaciones).

    Screenshot shows Organizations page in GitHub.

  7. En Credenciales de administrador, haga clic en Autorizar. Con esta operación se abre un cuadro de diálogo de autorización de GitHub en una nueva ventana del explorador. Tenga en cuenta que debe asegurarse de que está aprobado para autorizar el acceso. Siga las instrucciones descritas aquí.

    Screenshot shows the GitHub Provisioning.

  8. En esa nueva ventana, inicie sesión en GitHub con su cuenta de administrador. En el cuadro de diálogo de autorización resultante, seleccione la organización de GitHub para la que desea habilitar el aprovisionamiento y, a continuación, seleccione Autorizar. Cuando termina, vuelva a Azure Portal para completar la configuración de aprovisionamiento.

    Screenshot shows the sign-in page for GitHub.

  9. Escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error de aprovisionamiento en el campo Correo electrónico de notificación y active la casilla "Enviar una notificación por correo electrónico cuando se produzca un error".

  10. Haga clic en Save(Guardar).

  11. En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con GitHub.

  12. En la sección Asignaciones de atributos, revise los atributos de usuario de Microsoft Entra ID que se sincronizan con GitHub. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con las cuentas de usuario de GitHub con el objetivo de realizar operaciones de actualización. No habilite la configuración de Precedencia de coincidencia para los demás atributos predeterminados en la sección Aprovisionamiento porque pueden producirse errores. Para confirmar los cambios, seleccione Guardar.

  13. Para habilitar el servicio de aprovisionamiento de Microsoft Entra para GitHub, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.

  14. Haga clic en Save(Guardar).

Esta operación inicia la sincronización inicial de todos los usuarios y grupos asignados a GitHub en la sección Usuarios y grupos. La sincronización inicial tarda más tiempo en realizarse que las posteriores, que se producen aproximadamente cada 40 minutos si se está ejecutando el servicio. Puede usar la sección Detalles de sincronización para supervisar el progreso y hacer clic en los vínculos a los registros de actividad de aprovisionamiento, que describen todas las acciones que ha llevado a cabo el servicio de aprovisionamiento.

Para más información sobre cómo leer los registros de aprovisionamiento de Microsoft Entra, consulte Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.

Recursos adicionales

Pasos siguientes