准备 Active Directory Federation Services (ADFS)

如果您的 IdP 是 Microsoft Active Directory Federation Services (ADFS),请完成以下步骤以准备将 ADFS 与Domino 一起使用。 在 Domino® 中配置 SAML 之前,请确保满足以下要求。

关于此任务

以下步骤均基于 ADFS 4.0,如果使用较早版本,可能会有所不同。

过程

  1. 验证您是否满足以下要求:
    • 安装并配置了以下任一版本的 ADFS:
      • 2.0 (随 Windows Server 2008 R2 一起提供)
      • 3.0 (随 Windows Server 2012 R2 一起提供)
      • 4.0 (随 Windows Server 2016 一起提供)
    • 由认证中心 (CA) 签名的 ADFS 服务器上的安全套接字层 (SSL) 证书。CA 根证书应通过域策略部署到客户机,这是 ADFS 的最佳做法。
    • 除非具有 Active Directory 信任关系,否则以下组件必须位于同一 Active Directory 域中:
      • ADFS 服务器
      • 用户记录
      • 用户从其中登录的客户机计算机。(仅集成 Windows 认证)
  2. 验证 ADFS 服务器是否可运行。相关步骤,请参阅 Microsoft 文章验证联合服务器是否可运行
  3. 请转到 https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx,并测试用户是否可登录。
    • 如果看到错误此页面无法显示,请在页面中启用 IdP 签名:
      1. 在 ADFS 服务器上的 Windows PowerShell 中,运行以下命令: 
        Get-AdfsProperties
      2. 查看输出中的 EnableIdpInitiatedSignonPage 行是否为 False
        EnableIdpInitiatedSignonPage    :False
      3. 如果值为 False,请运行以下命令将其设置为 True
        set-ADfsProperties -EnableIdPInitiatedSignonPage $true
      4. 运行以下命令以确认更改: 
        Get-AdfsProperties
      5. 重新启动 ADFS 服务。
    • 如果您无法使用 Internet Explorer 登录,请确认已为集成 Windows 认证启用浏览器:
      1. 因特网选项 > 高级中,验证是否选中了安全设置启用集成 Windows 认证

      2. 因特网选项 > 安全性中,单击站点,然后再单击高级。将 ADFS 服务器 URL (https://<ADFS server>) 添加到网站列表中。
  4. 验证以下两个字段的内容是否与每个用户匹配:
    • Domino 目录“个人”文档中的因特网地址字段。
    • 用户 ADFS 属性框中的电子邮件字段。
    注: 用户登录名与其电子邮件地址不一样,尽管它们看起来像电子邮件地址。