配置 SSO LTPA 記號的使用者名稱對映

為了認證單一登入的使用者而建立的 LTPA 記號,包括已認證使用者的名稱。當 HCL Domino® 建立 LTPA 記號時,預設會將 Domino® 識別名稱置於記號中。如果 IBM® WebSphere® 應用程式伺服器 伺服器會從嘗試存取伺服器的使用者取得該記號,則該網路sphere 伺服器必須能夠辨識此名稱格式。如果無法辨識,就會忽略該記號,單一登入也會失敗,而且會提示使用者再次登入。

執行這項作業的原因和時機

這種情況通常發生在下列的一般使用者配置:多個目錄會由 SSO 中不同的伺服器使用,而且讓一個使用者擁有多個身分。例如,某位使用者在網路sphere LDAP 目錄中可能會辨識為 uid=jdoe,cn=sales,dc=renovations, dc=com,但相同使用者在 Domino® 名錄中是 John P Doe/Sales/Renovations。如果網路sphere 收到 LTPA 記號,而其中包含的使用者名稱類似 John P Doe/Sales/Renovations,就會嘗試在網路sphere 名錄中尋找這個使用者,並在找不到時拒絕該記號。

Domino® 管理員現在可將 Domino 所建立的 LTPA 記號中出現的使用者名稱,與 WebSphere® 預期的名稱相對映,以確保可在 Domino®WebSphere® 未共用相同目錄的 Domino® 與網路sphere 混合環境中辨識該名稱。

註: 在混合版本的 Domino® 環境中,只有在記號是由 Domino® 7.0 或更新版本伺服器產生時,LTPA 記號中的使用者名稱對映才有效。如果在 Domino 7.0 以前版本的伺服器中,也會新增 LTPA 記號中使用的使用者名稱值,作為「人員」記錄完整名稱欄位的次要值(例如,作為別名使用),使用者也將能夠存取 Domino® 6.02 以及更新版本的伺服器,與網路sphere 伺服器上的資料庫。

如何指定 LTPA 記號中使用的使用者名稱,依據單一登入環境中使用的目錄配置而定:

  • 如果只有「Domino® 名錄」包含 HCL Notes® 使用者資訊,您會在「人員」文件中指定使用者名稱對映。
  • 如果 Notes® 使用者資訊包含在公司 LDAP 目錄中,您會在「目錄協助」中配置使用者名稱對映。
  • 如果組織同時使用 Domino® 及 LDAP 目錄,您會同時配置 Domino® 人員記錄及「目錄協助」SSO 資訊。

因為 LDAP 目錄欄位及 Domino® 名錄欄位通常沒有一對一對應,所以使用名稱對映的「目錄協助」文件容許 LDAP 管理員指定應使用哪一個 LDAP 欄位,作為「LTPA 使用者名稱」欄位的相等欄位。

註: 如果未啟動 SSO 配置文件中的對映功能,「目錄協助」文件中的任何名稱對映文件將會被忽略。

Domino® 名錄環境中配置使用者名稱對映

執行這項作業的原因和時機

在此環境中,Domino® SSO 使用者在 Domino® 名錄中會有「人員」記錄。

程序

  1. 啟用 LTPA 資料欄位的名稱對映。在定義 SSO 環境的「網路SSO 配置」文件中,針對「對映 LTPA 記號中的名稱」選項選取「已啟用」
  2. 在使用者「人員」文件中,按一下「管理」。在「用戶端資訊」下方的「LTPA 使用者名稱」欄位中,輸入 WebSphere® 預期的使用者名稱 DN。

    在此欄位中輸入的值必須是唯一的。也就是說,在組織中不應該有其他相符的人員。這通常是使用者的 LDAP 辨別名稱 (DN)。請務必以正斜線 (/) 分隔名稱元件。比方說,如果 LDAP DN 為

    uid=jdoe,cn=sales,dc=renovations, dc=com

    請輸入下列的值: 

    uid=jdoe/cn=sales/dc=renovations/dc=com

結果

雖然名稱是以 Domino® 格式輸入 LTPA 使用者名稱欄位,但在將此名稱放入 Domino 建立的 LTPA 記號之前,Domino® 會將配置的 LTPA 使用者名稱轉換成網路sphere 預期的適當 LDAP 格式。

在共同的 LDAP 目錄環境中配置使用者名稱對映(混合的 Domino® 及 LDAP 目錄環境)

執行這項作業的原因和時機

在此環境中,會有部分或全部的 Domino® 使用者在 Domino® 名錄中沒有「人員」記錄。反之,這些 Domino® 使用者的記錄將位於 Domino® 可透過「目錄協助」存取的外部 LDAP 目錄中。

程序

  1. 啟用 LTPA 資料欄位的名稱對映。在定義 SSO 環境的「網路SSO 配置」文件中,針對「對映 LTPA 記號中的名稱」選項選取「已啟用」
  2. 開啟「LDAP 目錄」的「目錄協助」文件。在「SSO 配置」區段中,輸入應作為 SSO 記號中之名稱的 LDAP 屬性,此 SSO 記號是為了此使用者而建立。要求「LTPA_UserNm」欄位時,此屬性將會用在 LTPA 記號中。請務必確定選取的欄位包含 WebSphere® 預期的使用者名稱。適用於此欄位的選項包括:
    • 所有適當的 LDAP 屬性,只要它唯一地識別使用者。
    • 使用 LDAP 識別名稱的 $DN 值。這是最常見的配置,代表使用者的 LDAP DN 是 WebSphere® 預期的名稱,而不是任意 LDAP 欄位中的名稱。
    • 如果已知,請對 Domino® 識別名稱的預設值保留空白。否則,預設值將為 LDAP 識別名稱。

結果

如果已配置「目錄協助」,讓「Domino® 名錄」及 LDAP 目錄中的搜尋能夠找到相符的特定使用者,則 Domino®Domino®「人員」記錄與 LDAP 記錄之間需要保有一致性。Domino® 會採取額外步驟,以判定位於兩個目錄中的網際網路電子郵件位址有相符的值。若要達成此項,DA 會搜尋使用者的 LDAP mail 屬性。此值必須與 Domino®「人員」記錄欄位 網際網路address 中發現的資訊相符。

1. 必須符合 SSO 以繼續進行的值
LDAP 目錄中的屬性 Domino® 名錄中的屬性

mail:Jbond@secret.spies.com

網際網路address:Jbond@secret.spies.com

設定名稱對映時,請謹記這些額外的考量:

  • 若要支援別名,請在「人員」文件中,將 LDAP 名稱新增至「LTPA_UserNm 」欄位及「使用者名稱」(例如,文件內容 Fullname)欄位中,以作為次要值。
  • HCL Sametime® 伺服器不支援網際網路網站配置。
  • 當使用者資訊儲存在壓縮的目錄型錄中時,無法支援 LTPA 記號中的名稱對應。