完成 SAML 的 Domino 先决条件

完成 SAML 要求的以下 Domino 配置。

目录名称映射(仅 ADFS)

如果 Active Directory mail 属性中的用户地址与 Domino 目录“个人”文档的因特网地址字段中的地址一致,则无需进行额外额目录配置。如果不一致,则必须将 Notes 专有名称添加到 Active Directory 属性,例如 altSecurityIdentities。然后,配置目录辅助以使用该属性将 Domino 名称映射到 Active Directory 中的名称。有关更多信息,请参阅在远程 LDAP 目录中使用 Notes 专有名称

单点登录

如果用户将访问多个 Domino 服务器或 WebSphere 和 Domino 服务器,则需要单点登录。在配置 SAML 认证之前,请配置单点登录并测试其是否有效。最佳做法是使用多服务器会话认证,而不是单服务器会话认证。有关更多信息,请参阅基于会话的多服务器认证(单点登录)

SSL 证书

如果 Domino 和您的 IdP 之间需要 HTTPS 连接(对于 ADFS),请在 Domino 服务器上使用有效的 SSL 证书配置密钥环文件。证书应从认证中心 (CA) 生成,而不应为自签名证书; 目前大多数浏览器不支持自签名证书。有关更多信息,请参阅使用自签名证书或第三方证书生成密钥环文件
注: 如果仅使用 Notes 联合登录,而不使用基本的 Web SAML 认证或 Web 联合登录,则 Domino 服务器上不需要 SSL 证书。使用 Notes 联合登录时,Notes 客户机和 ADFS 服务器都不会通过 HTTPS 连接到 Domino 服务器。

标识保险库文件

对于 Web 联合登录或 Notes 联合登录,必须设置一个标识保险库,且参与的用户在该保险库中必须具有标识。确保通过安全策略设置为用户分配了保险库。有关更多信息,请参阅将用户分配给保险库

确保启用 iNotes 以使用保险库。要查看 iNotes 用户的标识文件是否已上载到保险库,保险库管理员可以打开标识保险库应用程序并在“保险库用户”视图中检查该用户的名称。有关更多信息,请参阅使在数据库中存储标识的程序使用保险库

Notes 客户机用户可以确认其标识是否在保险库中。为此,他们单击文件 > 安全性 > 用户安全性,并验证是否显示此标识文件已备份到保险库
此标识文件已备份到保险库设置

安全性设置

配置以下安全性设置:
  • 在服务器配置文档的“安全性”选项卡上禁用强制执行因特网密码锁定字段。
  • 禁用已在分配给 SAML 用户的安全策略中启用的任何 Web 密码管理设置(例如将 Notes® 客户机密码与因特网密码同步)。

Domino Web 服务器设置(推荐)

因为 SAML 配置要求协调 Domino® 和身份提供程序 (IdP) 的配置,所以 Domino® Web 服务器配置在独立于 IdP 使用时应该首先基本上稳定。因此,在配置 SAML 之前,请考虑设置 Domino® HTTP 服务器以进行单服务器会话认证。该任务包括配置 Domino® 以作为 Web 用户登录(例如,在 Domino® 服务器设置期间,已在 Domino® 目录中配置的 Domino® 管理员)。作为此管理员,您可以作为 Domino® 用户登录之后,在 Domino® 服务器上成功浏览到 URL,该服务器准备好进行 SAML 配置和启用。

时钟同步

重要: SAML 认证包括时间戳记。确保 SAML IdP 计算机和 Domino® SAML 服务提供程序计算机已将其时钟同步,以便这些计算机共享当前时间的同一表示法。如果时钟不同步程度过大,那么可能拒绝 SAML 断言,因为断言似乎具有无效的时间。如果 IdP 机器时间早于 Domino® 服务器时间,这会尤其成问题,这样 Domino® 将拒绝似乎指定了将来时间的断言。
有关可避免时钟偏差的 NOTES.INI 设置信息,请参阅 Notes 和 Domino Wiki 中的以下文章: