Wenn du Enterprise Managed Users, SAML-SSO-Steuerungen und sicheren Zugriff auf Unternehmensressourcen wie Repositorys, Issues und Pull Requests verwendest, werden von SCIM automatisch Benutzerkonten erstellt und der Zugriff auf dein Unternehmen verwaltet, wenn du Änderungen an deinem Identitätsanbieter vornimmst. Außerdem kannst du Teams in GitHub mit Gruppen in deinem Identitätsanbieter synchronisieren. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.
Übersicht
Dieser Leitfaden hilft dir beim Einrichten von SAML-Authentifizierung und SCIM-Bereitstellung für GitHub in PingFederate.
Bevor Sie beginnen, beachten Sie bitte Folgendes:
- Dieses Handbuch basiert auf PingFederate, Version 12.1. Anweisungen können für andere Versionen variieren.
- Dieses Handbuch enthält die minimalen Schritte zum Konfigurieren eines funktionierenden Setups. Da Ihr Identitätsverzeichnis möglicherweise anders mit PingFederate verbunden ist, müssen Sie die richtigen Datenattribute für SAML und SCIM basierend auf den verfügbaren Daten aus dem Sicherungsdatenspeicher auswählen.
Voraussetzungen
Wenn Sie die SCIM-Bereitstellung für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.
Außerdem:
- Sie müssen den „GitHub EMU Connector“ auf PingFederate installiert haben. Informationen zum Herunterladen und Installieren des Connectors finden Sie unter Installieren der Bereitstellung in der PingIdentity-Dokumentation.
- Du musst einen LDAP-Server als Sicherungsdatenspeicher verwenden, um mit SCIM Benutzer bereitzustellen.
- Eventuell musst du die Firewall in PingFederate konfigurieren, um ausgehende Verbindungen mit den SCIM-Endpunkten in GitHub zuzulassen:
- Auf GitHub.com:
https://api.github.com/scim/v2/enterprises/ENTERPRISE
- Auf GHE.com:
https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN
- Auf GitHub.com:
- Der „Bereitstellungsmodus“ von PingFederate muss auf einen Wert festgelegt werden, der die SCIM-Bereitstellung zulässt. Weitere Informationen finden Sie im Abschnitt „Bevor Sie beginnen“ im Handbuch für die Konfiguration von Einstellungen für ausgehende Bereitstellungen von PingIdentity.
- Während dieses Verfahrens müssen Sie ein X509-Zertifikat in PingFederate hochladen. Sie können das Zertifikat erstellen und speichern, bevor Sie fortfahren. Außerdem benötigen Sie das Abfragekennwort für das Zertifikat. Weitere Informationen findest du im Abschnitt Beispiel für das Erstellen eines X509-Zertifikats weiter unten in diesem Artikel.
- Währenddessen musst du eine SAML-Metadatendatei in PingFederate hochladen. Wenn du ein Unternehmen einrichtest, das Datenresidenz auf GHE.com verwendet, ist die einfachste Möglichkeit das Erstellen dieser Datei, bevor du beginnst. Weitere Informationen findest du unter Erstellen einer SAML-Metadatendatei für GHE.com.
1. SAML konfigurieren
In diesem Abschnitt erstellen Sie einen SAML-Connector in PingFederate, richten eine LDAP-IdP-Adapter-Instance ein und verwalten die SAML-Ausgabe von Ihrem IdP-Adapter.
- Erstellen eines SAML-Adapters
- Einrichten einer LDAP-IdP-Adapter-Instance
- Verwalten der SAML-Ausgabe von Ihrem IdP-Adapter
Stelle vor Beginn dieses Abschnitts sicher, dass du die vorherigen Schritte in Erste Schritte mit Enterprise Managed Users befolgt hast.
Erstellen eines SAML-Adapters
-
Öffnen Sie die Verwaltungskonsole von PingFederate.
-
Klicken Sie in der Kopfzeile auf Anwendungen und klicken Sie dann in der linken Randleiste auf SP-Verbindungen.
-
Klicken Sie auf Vorlage für diese Verbindung verwenden und wählen Sie dann im Dropdownmenü „Verbindungsvorlage“ den Eintrag „GitHub EMU-Konnektor“ aus.
Note
Wenn diese Option nicht angezeigt wird, wurde der GitHub EMU-Konnektor nicht installiert. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Ping-Vertreter.
-
Lade eine XML-Datei mit SAML-Metadaten für dein Unternehmen hoch, um einige Felder in der PingFederate-Konfiguration aufzufüllen. So findest du die Datei:
- Wenn du ein Unternehmen auf GitHub.com einrichtest, findest du die Datei in einer ZIP-Datei, die an den „GitHub EMU Connector“ in PingFederate angefügt ist.
- Wenn du ein Unternehmen auf GHE.com einrichtest, musst du die Datei manuell erstellen. Weitere Informationen findest du unter Erstellen einer SAML-Metadatendatei für GHE.com.
-
Lade auf der PingFederate-Seite „SP Connection“ die Datei aus dem vorherigen Schritt als Metadatendatei hoch.
-
Wechseln Sie zur Registerkarte „Verbindungstyp“.
-
Wählen Sie Browser-SSO-Profile aus, und deaktivieren Sie die Auswahl der ausgehenden Bereitstellung (dies wird später aktiviert).
-
Klicken Sie auf Weiter.
-
Stellen Sie auf der Registerkarte „Verbindungsoptionen“ sicher, dass nur Browser-SSO ausgewählt ist.
-
Klicken Sie auf Weiter.
-
Geben Sie auf der Registerkarte „Allgemeine Informationen“ die folgenden Details ein.
- „Partner’s Entity ID“: deine GitHub-Host-URL (
https://github.com
oderhttps://SUBDOMAIN.ghe.com
) - „Verbindungsname“: Ein beschreibender Name für Ihre SP-Verbindung in PingFederate
- „Base URL“: deine GitHub-Host-URL (
https://github.com
oderhttps://SUBDOMAIN.ghe.com
) - „Transaktionsprotokollierung“: Standard
- Alle anderen Felder können leer gelassen werden.
- „Partner’s Entity ID“: deine GitHub-Host-URL (
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Browser-SSO konfigurieren.
-
Klicken Sie auf Assertionserstellung konfigurieren.
-
Klicken Sie auf der Registerkarte „Authentifizierungsquellenzuordnung“ auf Neue Adapterinstanz zuordnen.
-
Klicken Sie auf der Registerkarte „Adapter-Instance“ auf Adapter-Instances verwalten.
-
Klicken Sie auf Neue Instance erstellen.
Einrichten einer LDAP-IdP-Adapter-Instance
-
Geben Sie auf der Seite „Adapter-Instance erstellen“ in PingFederate auf der Registerkarte „Typ“ die folgenden Details ein.
- „Instance-Name“: Ein Name zur Identifizierung der Instanz, z. B.
pfghadapter
- „Instanz-ID“: Eine ID für die Instance, z. B.
pfghadapter
- „Type“: HTML-Formular-IDP-Adapter
- „Übergeordnete Instanz“: Keine
- „Instance-Name“: Ein Name zur Identifizierung der Instanz, z. B.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf der Registerkarte „IDP-Adapter“ unten auf der Seite auf Validierungssteuerelemente von Passwortanmeldedaten.
-
Klicken Sie auf Neue Instance erstellen.
-
Geben Sie auf der Registerkarte „Typ“ die folgenden Details ein.
- „Instance-Name“: Ein Name zur Identifizierung der Instanz, z. B.
pfghdocscv
- „Instanz-ID“: Eine ID für die Instance, z. B.
pfghdocscv
- „Type“: Validierungssteuerelemente von Passwortanmeldedaten des LDAP-Nutzernamens
- „Übergeordnete Instanz“: Keine
- „Instance-Name“: Ein Name zur Identifizierung der Instanz, z. B.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf der Registerkarte „Instance-Konfiguration“ auf Datenspeicher verwalten.
-
Klicken Sie auf Neuen Datenspeicher hinzufügen.
-
Geben Sie auf der Registerkarte „Datenspeichertyp“ die folgenden Details ein.
- „Instance-Name": Beliebiger eindeutiger Wert, z. B.
pfghdocsds
- „Type“: Verzeichnis (LDAP)
- „Maskenwerte im Protokoll“: Nicht ausgewählt
- „Instance-Name": Beliebiger eindeutiger Wert, z. B.
-
Klicken Sie auf Weiter.
-
Konfigurieren Sie auf der Registerkarte „LDAP-Konfiguration“ Ihre LDAP-Serverdetails.
-
Klicken Sie auf Verbindung testen. Es sollte „Konnektivitätstest war erfolgreich"“ angezeigt werden.
-
Klicke unten auf der Seite auf Advanced.
-
Klicken Sie auf die Registerkarte „LDAP-Binärattribute“, und fügen Sie
guidAttribute
undobjectGUID
als Attribute hinzu. -
Klicken Sie auf Fertig. Sie sollten wieder auf der Registerkarte „LDAP-Konfiguration“ sein.
-
Klicken Sie auf Weiter und dann auf Speichern.
-
Klicken Sie auf der Registerkarte „Datenspeicher verwalten“ auf Fertig.
-
Geben Sie auf der Registerkarte „Instance-Konfiguration“ die folgenden Details ein.
- „LDAP-Datenspeicher“: Der Name des oben erstellten Datenspeichers
- „Suchbasis“: Der Speicherort im Verzeichnis, an dem LDAP-Suchvorgänge beginnen sollen
- „Suchfilter“: Ein Filter, der sicherstellt, dass der Benutzername, den der Benutzer bei der Anmeldung eingibt, mit einem Feld im LDAP-Server übereinstimmt (z. B.:
sAMAccountName=${username}
) - „Suchbereich“: Unterstruktur
- „Abgleich zwischen Groß- und Kleinschreibung“: Ausgewählt
-
Klicken Sie erneut auf Weiter, noch einmal auf Weiter und klicken Sie dann auf Speichern.
Verwalten der SAML-Ausgabe von Ihrem IdP-Adapter
-
Klicken Sie auf der Seite „Validierungssteuerelement der Passwortanmeldedaten verwalten“ auf Fertig.
-
Geben Sie auf der Registerkarte „IDP-Adapter“ die folgenden Daten ein.
- „Instance dees Validierungssteuerelements der Passwortanmeldedaten“: Der Name der oben erstellten Validator-Instance (z. B.
pfghdocscv
). Klicken Sie auf Aktualisieren, um ihre Auswahl abzuschließen. - Alle anderen Felder können als Standard festgelegt oder an Ihre Anforderungen geändert werden.
- „Instance dees Validierungssteuerelements der Passwortanmeldedaten“: Der Name der oben erstellten Validator-Instance (z. B.
-
Klicken Sie auf Weiter und dann erneut auf Weiter.
-
Geben Sie auf der Registerkarte „Adapterattribute“ die folgenden Details ein.
-
„Schlüsselattribut des individuellen Benutzers“:
username
-
Wählen Sie neben dem
username
-Attribut „Pseudonym“ aus.
Note
Dieser Schritt ist wichtig. Mit dem Adapterattribut wird ein Benutzer während der SCIM-Bereitstellung in GitHub eindeutig bezeichnet.
-
-
Klicken Sie auf Weiter und dann erneut auf Weiter.
-
Überprüfen Sie Ihre Einstellungen auf der Übersichtsseite und klicken Sie dann auf Speichern.
-
Auf der Registerkarte „IdP-Adapter“ sollte der soeben erstellte Adapter angezeigt werden. Klicken Sie auf Fertig.
-
Wählen Sie auf der Registerkarte „Adapter-Instance“ im Dropdownmenü „Adapter-Instance“ den soeben erstellten Adapter aus.
-
Klicken Sie auf Weiter.
-
Wählen Sie auf der Registerkarte „Zuordnungsmethode“ Nur die Adaptervertragswerte in der SAML Assertion verwenden aus (andere Auswahlen funktionieren möglicherweise, wurden aber nicht bestätigt).
-
Klicken Sie auf Weiter.
-
Ordnen Sie auf der Registerkarte „Attributvertragserfüllung“
SAML_SUBJECT
„Adapter“ als Quelle undusername
als Wert zu.Note
Dieser Schritt ist wichtig. Das normalisierte
SAML_SUBJECT
muss mit den normalisierten Benutzernamen von Benutzern übereinstimmen, die von SCIM bereitgestellt werden. -
Klicken Sie erneut auf Weiter, noch einmal auf Weiter und klicken Sie dann auf Fertig.
-
Sie sollten wieder auf der Registerkarte „Authentifizierungsquellenzuordnung“ sein, und der Abschnitt „Adapter-Instance-Name“ sollte die soeben erstellte Adapter-Instance enthalten.
-
Klicken Sie auf Weiter.
-
Klicke auf der Registerkarte „Protocol Settings“ auf Configure Protocol Settings.
-
Füge als „Assertion Consumer Service URL“ eine Zeile mit den folgenden Informationen hinzu:
- „Default“ ausgewählt
- „Index“: 0
- „Binding“: POST
- „Endpoint URL“:
/enterprises/ENTERPRISE/saml/consume
, wobei „ENTERPRISE“ deinem Unternehmensnamen oder deiner Unterdomäne entspricht
-
Klicken Sie auf Weiter.
-
Stelle sicher, dass auf der Registerkarte „Allowable SAML Bindings“ nur die Optionen „POST“ und „REDIRECT“ ausgewählt sind.
-
Klicken Sie auf Weiter.
-
Stelle auf der Seite „Signature Policy“ sicher, dass nur „SIGN RESPONSE AS REQUIRED“ ausgewählt ist.
-
Klicken Sie auf Weiter.
-
Stelle sicher, dass auf der Registerkarte „Encryption Policy“ die Option „NONE“ ausgewählt ist.
-
Klicken Sie auf Weiter.
-
Klicken Sie auf Speichern.
-
Klicken Sie auf Weiter und Fertig, bis Sie die Registerkarte „Anmeldedaten“ erreicht haben.
-
Klicken Sie auf der Registerkarte „Anmeldedaten“ auf Anmeldedaten konfigurieren, und klicken Sie dann auf Zertifikate verwalten.
-
Klicke auf der Seite „Zertifikatverwaltung“ auf Import, und lade dann ein X509-Zertifikat hoch. Hilfe findest du im Abschnitt Beispiel für das Erstellen eines X509-Zertifikats.
-
Verwenden Sie für das „Passwort“ das Abfragepasswort für das Zertifikat.
-
Klicken Sie auf Weiter und dann auf Speichern.
-
Auf der Registerkarte „Zertifikatverwaltung“ sollte das soeben importierte Zertifikat angezeigt werden. Klicken Sie auf Fertig.
-
Auf der Registerkarte „Einstellungen für digitale Signaturen“:
- Wählen Sie das soeben erstellte Zertifikat für das „Signaturzertifikat“ aus.
- Sie können das sekundäre Zertifikat leer lassen und das Kontrollkästchen „Zertifikat in die Signatur einschließen“ deaktiviert lassen.
- Der Signaturalgorithmus sollte „RSA SHA256“ sein.
-
Klicken Sie auf Weiter, dann auf Fertig und dann auf Weiter.
-
Aktivieren Sie auf der Registerkarte „Zusammenfassung“ den Umschalter für „SSO-Anwendungsendpunkt“.
-
Klicken Sie auf Speichern. Sie sollten zur Liste der SP-Verbindungen zurückkehren, in der die neu erstellte SP-Verbindung angezeigt werden soll.
Sammeln von Informationen für Ihre SAML-Konfiguration
Du benötigst weitere Informationen von PingFederate, um SAML in GitHub zu konfigurieren.
- Klicken Sie auf der Seite „SP Connections“ in der Zeile für die neue Verbindung auf Aktion auswählen und dann auf Metadaten exportieren.
- Wählen Sie auf der Registerkarte „Metadatensignatur“ in der Zeile für Ihre neue Verbindung das oben erstellte Signaturzertifikat aus. Klicken Sie zum Herunterladen des Zertifikats auf Weiter und dann auf Exportieren.
- Klicken Sie in PingFederate auf System in der Kopfzeile und dann auf Server und auf Protokolleinstellungen. Überprüfen Sie, ob
SAML 2.0 ENTITY ID
definiert ist. Notiere dir diese, da du sie für das Feld „Issuer“ in den SAML-Einstellungen von GitHub benötigst. - Öffnen Sie die heruntergeladene Metadatendatei und halten Sie sie für die nächsten Schritte bereit.
Konfigurieren von GitHub
-
Melde dich in GitHub als Setupbenutzer für dein Unternehmen an..
-
Aktiviere SAML in den Unternehmenseinstellungen. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.
-
Gib die folgenden Werte aus der SAML-Metadatendatei aus dem vorherigen Abschnitt ein.
- Verwenden Sie für die URL für das Single Sign-On den
location
-Wert des<md: SingleSignOnService>
-Felds. Dies sollte eine URL sein, die auf/idp/SSO.saml2
endet. - Verwenden Sie für den „Aussteller“ den
entityId
-Wert des<md: EntityDescriptor>
-Felds (eine URL).
- Verwenden Sie für die URL für das Single Sign-On den
-
Laden Sie für das „Überprüfungszertifikat“ die zuvor erstellte X509-Zertifikatdatei hoch.
-
Klicken Sie auf Save settings (Einstellungen speichern).
2. SCIM konfigurieren
In diesem Abschnitt konfigurieren Sie SCIM-Einstellungen und Attributzuordnung für PingFederate.
- Konfigurieren von SCIM-Einstellungen
- Zuordnen von LDAP-Feldern zu SCIM
- Konfiguration und Test abschließen
Stelle vor Beginn dieses Abschnitts sicher, dass du die vorherigen Schritte in Erste Schritte mit Enterprise Managed Users befolgt hast.
Konfigurieren von SCIM-Einstellungen
-
Wechseln Sie zurück zur Seite „SP-Connections“ in PingFederate und wählen Sie die SP-Verbindung aus, die Sie zuvor erstellt haben.
-
Klicken Sie auf die Registerkarte „Verbindungstyp“.
-
Wählen Sie Ausgehende Bereitstellung aus.
-
Stellen Sie sicher, dass Browser-SSO-Profile ausgewählt sind.
-
Klicken Sie auf Weiter, bis Sie die Registerkarte „Ausgehende Bereitstellung“ erreicht haben, und klicken Sie dann auf Bereitstellung konfigurieren.
-
Geben Sie auf der Registerkarte „Ziel“ die folgenden Details ein.
- „Base URL“:
https://api.github.com/scim/v2/enterprises/{enterprise}/
oderhttps://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN
- „Zugriffstoken“: Das für den Setupbenutzer erstellte personal access token (classic)
- „Base URL“:
-
Klicken Sie auf Weiter.
-
Klicken Sie auf der Registerkarte „Kanal verwalten“ auf Erstellen, und geben Sie dann einen eindeutigen Kanalnamen ein, z. B.
pfghscim
. -
Klicken Sie auf Weiter.
-
Wählen Sie auf der Registerkarte „Quelle“ den zuvor erstellten Datenspeicher aus.
-
Klicken Sie auf Weiter.
-
Auf der Registerkarte „Quelleinstellungen“ können Sie alle Standardeinstellungen beibehalten. Andere Einstellungen funktionieren wahrscheinlich, wurden aber nicht bestätigt.
-
Klicken Sie auf Weiter.
-
Konfigurieren Sie auf der Registerkarte „Quellspeicherort“, wo auf Ihrem LDAP-Server Benutzer bereitgestellt werden sollen. Dies variiert je nach Setup und Anforderungen. Klicken Sie nach der Konfiguration auf Weiter.
Zuordnen von LDAP-Feldern zu SCIM
Auf der Registerkarte „Attributzuordnung“ müssen Sie Felder von Ihrem LDAP-Server zu SCIM-Feldern zuordnen. In der folgenden Liste findest du die unterstützten SCIM-Felder von GitHub und die darin erwarteten Werte.
- Username: Dieser wird normalisiert und als GitHub-Benutzername für den bereitgestellten Benutzer verwendet. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung. Dies muss mit der Normalisierung des Betreffs übereinstimmen, der mit der SAML-Assertion gesendet wurde, die Sie mit der
SAML_SUBJECT
-Eigenschaft in PingFederate konfiguriert haben. - E-Mail: Ein Feld, das die E-Mail-Adresse des Benutzers enthält.
- Anzeigename: Ein lesbarer Name für den Benutzer.
- Formatierter Name: Der vollständige und für die Anzeige formatierte Name des Benutzers/der Benutzerin, einschließlich aller zweiter Vornamen, Titel und Namenszusätze.
- Vorname: Der Vorname des Benutzers.
- Nachname: Der Nachname des Benutzers.
- Externe ID: Dieser Bezeichner wird von einem Identitätsanbieter generiert.
- Roles: Dieses Feld sollte eine Zeichenfolge enthalten, die für die beabsichtigte Rolle des Benutzers in GitHub steht. Gültige Rollen sind
enterprise_owner
,user
,billing_manager
undguest_collaborator
.
Klicken Sie auf Weiter, wenn Sie mit dem Konfigurieren der Einstellungen fertig sind.
Konfiguration und Test abschließen
- Wählen Sie auf der Registerkarte „Aktivierung und Zusammenfassung“ für den Kanalstatus Aktiv aus.
- Klicken Sie auf der Registerkarte „Kanäle verwalten“ auf Fertig.
- Klicken Sie auf der Registerkarte „Ausgehende Bereitstellung“ auf Speichern. SCIM ist jetzt konfiguriert und aktiviert.
- Warte ein paar Minuten, damit die Bereitstellung durchgeführt werden kann. Öffne dann ein neues privates Browserfenster, und navigiere zu GitHub.
- Klicken Sie auf Mit SAML anmelden. Sie sollten zur Anmeldeseite von PingFederate umgeleitet werden.
- Du solltest dich mit den Anmeldeinformationen eines Benutzers auf einem LDAP-Server anmelden können, der in GitHub bereitgestellt wurde.
Die PingFederate-Bereitstellung verarbeitet Benutzer und Gruppen unabhängig voneinander. Benutzer müssen direkt zugewiesen werden, um bereitgestellt zu werden. Benutzer, die sich in einer zugewiesenen Gruppe befinden, aber nicht direkt zugewiesen sind, werden nicht bereitgestellt.
Beispiel für das Erstellen eines X509-Zertifikats
Es gibt mehrere Möglichkeiten zum Erstellen eines X509-Zertifikats. Hier ist ein Beispiel, das für Ihre Anforderungen funktionieren kann.
-
Überprüfen Sie in einem Terminalfenster, ob OpenSSL durch Ausführen von
openssl version
installiert ist. Falls die Erweiterung nicht installiert ist, installieren Sie sie. -
Erzeugen Sie den privaten Schlüssel mit dem folgenden Befehl.
Shell openssl req -nodes -sha256 -newkey rsa:2048 -keyout MyPrivateKey.key -out MyCertificateRequest.csr
openssl req -nodes -sha256 -newkey rsa:2048 -keyout MyPrivateKey.key -out MyCertificateRequest.csr
Geben Sie die erforderlichen Informationen ein, und notieren Sie sich das von Ihnen erstellte Abfragepasswort.
-
Um sicherzustellen, dass der Schlüssel erstellt wurde, führen Sie den folgenden Befehl aus. Eine Datei namens
MyPrivateKey.key
sollte in der Befehlsausgabe aufgeführt werden.Shell ls | grep MyPrivateKey.key
ls | grep MyPrivateKey.key
-
Generieren Sie mit dem folgenden Befehl das Zertifikat.
Shell openssl x509 -req -days 365 -sha256 -in MyCertificateRequest.csr -signkey MyPrivateKey.key -out pfgh256.crt
openssl x509 -req -days 365 -sha256 -in MyCertificateRequest.csr -signkey MyPrivateKey.key -out pfgh256.crt
-
Um sicherzustellen, dass das Zertifikat erstellt wurde, führen Sie den folgenden Befehl aus. Eine Datei namens
pfgh256.crt
sollte in der Befehlsausgabe aufgeführt werden.Shell ls | grep pfgh256.crt
ls | grep pfgh256.crt
-
Exportieren Sie eine PKCS #12-Datei mit dem folgenden Befehl. Dies ist die Datei, die Sie in PingFederate hochladen sollten.
Shell openssl pkcs12 -export -in pfgh256.crt -inkey MyPrivateKey.key -out pfgh256.p12
openssl pkcs12 -export -in pfgh256.crt -inkey MyPrivateKey.key -out pfgh256.p12
-
Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Datei exportiert wurde. Eine Datei namens
pfgh256.p12
sollte in der Befehlsausgabe aufgeführt werden.Shell ls | grep pfgh256.p12
ls | grep pfgh256.p12
Erstellen einer SAML-Metadatendatei für GHE.com
Da sich manche Werte von denen in der von PingFederate bereitgestellten Metadatendatei für GitHub.com unterscheiden, musst du manuell eine XML-Datei mit den SAML-Metadaten deines Unternehmens erstellen.
-
Kopiere den folgenden XML-Code in einen Text-Editor.
XML <?xml version="1.0"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN" cacheDuration="PT1440M"> <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="false" WantAssertionsSigned="false"> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN/saml/consume" isDefault="true" index="0"/> </md:SPSSODescriptor> </md:EntityDescriptor>
<?xml version="1.0"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN" cacheDuration="PT1440M"> <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="false" WantAssertionsSigned="false"> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SUBDOMAIN.ghe.com/enterprises/SUBDOMAIN/saml/consume" isDefault="true" index="0"/> </md:SPSSODescriptor> </md:EntityDescriptor>
-
Ersetze „SUBDOMAIN“ überall durch die Unterdomäne von GHE.com deines Unternehmens. Beispiel:
octocorp
-
Speichere die Datei als XML-Datei.
-
Kehre zu den Anweisungen in Erstellen eines SAML-Adapters zurück.