Exécuter les tâches prérequises de Domino pour SAML

Exécutez la configuration Domino requise par SAML.

Mappage de nom Directory (ADFS uniquement)

Si les adresses utilisateur contenues dans l'attribut mail Active Directory sont identiques aux adresses indiquées dans le champ Adresse Internet dans les documents Personne de l'annuaire Domino, aucune configuration d'annuaire supplémentaire n'est requise. Si ce n'est pas le cas, vous devez ajouter le nom distinctif Notes dans un attribut Active Directory, tel que altSecurityIdentities. Ensuite, configurez l'assistance d'annuaire pour utiliser cet attribut afin de mapper des noms Domino aux noms dans Active Directory. Pour plus d'informations, voir Utilisation de noms distinctifs Notes dans un annuaire LDAP distant.

Connexion unique

Si les utilisateurs accèdent à plusieurs serveurs Domino ou serveurs WebSphere et Domino, la connexion unique est requise. Configurez la connexion unique et testez si elle fonctionne avant de configurer l'authentification SAML. Utiliser une authentification de session multi-serveur plutôt qu'une authentification de session sur un serveur unique est une meilleure pratique. Pour plus d'informations, voir Authentification liée à la session sur plusieurs serveurs (connexion unique).

SSL certificate

Si des connexions HTTPS sont requises entre Domino et votre IdP (comme pour ADFS), configurez un fichier de jeu de clés disposant d'un certificat SSL valide sur les serveurs Domino. Le certificat doit être généré depuis une autorité de certification (AC) plutôt que d'être autosigné. La plupart des navigateurs actuels ne prennent pas en charge les certificats autosignés. Pour plus d'informations, voir Génération d'un fichier de clés avec un certificat autosigné ou tiers.
Remarque : Si vous utilisez uniquement la connexion fédérée à Notes et non pas l'authentification SAML Web ou la connexion fédérée au Web de base, il n'est pas nécessaire de disposer d'un certificat SSL sur les serveurs Domino. Avec la connexion fédérée à Notes, les clients Notes et les serveurs ADFS ne se connectent pas au serveur Domino sur HTTPS.

Coffre d'ID

Pour la connexion fédérée au Web ou la connexion fédérée à Notes, un coffre d'ID doit être défini et les utilisateurs qui participent doivent disposer d'ID dans le coffre. Vérifiez que les utilisateurs sont affectés à un coffre via les paramètres de politique de sécurité. Pour plus d'informations, voir Affectation d'utilisateurs à un coffre.

Veillez à activer iNotes pour utiliser le coffre. Pour vérifier si le fichier d'ID d'un utilisateur d'iNotes est téléchargé dans le coffre, un administrateur de coffre peut ouvrir l'application de coffre d'ID et rechercher le nom de l'utilisateur dans la vue des utilisateurs de coffre. Pour plus d'informations, voir Autorisation de programmes stockant des ID dans des bases de données à utiliser un coffre.

Les utilisateurs de clients Notes peuvent confirmer que leurs ID se trouvent dans le coffre. Pour ce faire, ils doivent cliquer sur Fichier > Sécurité > Sécurité utilisateur et vérifier que la mention Ce fichier d'ID a été sauvegardé dans le coffre s'affiche.
Ce fichier ID a été sauvegardé dans le paramètre de coffre

Paramètres de sécurité

Configurez les paramètres de sécurité ci-dessous :
  • Désactivez le champ Appliquer le verrouillage de l'accès Internet par mot de passe dans l'onglet Sécurité du document Configuration du serveur.
  • Désactivez tous les paramètres de gestion des mots de passe d'accès au Web (par exemple, la synchronisation du mot de passe du client Notes® avec le mot de passe Internet) activés dans les politiques de sécurité assignées aux utilisateurs SAML.

Test du serveur Domino Web (Recommandé)

La configuration SAML nécessitant une configuration coopérative pour Domino® et pour le fournisseur d'identité (IdP), la configuration du serveur Web Domino® doit avant tout être fondamentalement viable lorsqu'elle est utilisée indépendamment d'un IdP. Par conséquent, avant de configurer SAML, veillez à configurer le serveur HTTP Domino® pour l'authentification de session sur un serveur unique. Cette tâche implique la configuration de Domino® pour la connexion en tant qu'utilisateur Web (par exemple, l'administrateur Domino® configuré dans l'annuaire Domino® lors de la configuration du serveur Domino®). Une fois que cet administrateur peut se connecter en tant qu'utilisateur Domino®, en explorant avec succès les adresses URL du serveur Domino®, le serveur est prêt pour la configuration et l'activation de SAML.

Synchronisation de l'horloge

Important : L'authentification SAML inclut des horodatages. Vérifiez que les horloges des ordinateurs de l'IdP SAML et du fournisseur de services SAML Domino® sont synchronisées sur la même heure. Si les horloges sont trop désynchronisées, une assertion SAML risque d'être rejetée car elle semble indiquer une heure erronée. Ceci est particulièrement problématique si la machine de l'IdP est en avance sur l'heure du serveur Domino®, de sorte que Domino® rejette une assertion qui semble indiquer une heure future.
Pour plus d'informations sur les paramètres du fichier NOTES.INI permettant d'éviter un décalage d'horloge, consultez les articles suivants dans le wiki Notes et Domino :