本節說明安全功能,包括執行控制清單、ID 及 SSL。
聯合身分是達到單一登入的一種方法,可對使用者提供便利性,並協助降低管理成本。在 Domino® 與 Notes® 中,用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
在您於 Domino 中配置 SAML 鑑別之前,完成本節中的步驟
在您針對 Domino配置SAML 聯合身分鑑別之前,準備您的身分提供者 (IdP)。
設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員,您必須在設定任何伺服器或使用者之前,仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
若要控制使用者與伺服器對其他伺服器的存取權,Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值,以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別,且「伺服器」文件中的設定值允許存取,則使用者或伺服器即獲准存取伺服器。
每個資料庫都具有存取控制清單 (ACL),其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的,但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業,而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者,都必須具有 ID。
您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容,可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者,以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時,為了充分運用 CA 處理程序活動,您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行;不過,可以將該程序鏈結到多個發證者。
Secure Sockets Layer (SSL) 是一種安全通訊協定,可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA,來取得安全 SSL 及 S/MIME 通訊的憑證。
加密可保護資料不受未獲授權的存取。
名稱及密碼鑑別(也稱為基本密碼鑑別)使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼,並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查,以驗證密碼的正確性。
多台伺服器階段作業型鑑別(也稱為單一登入 (SSO)),可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器,即可在啟用單次登入 (SSO) 的相同 DNS 網域中,存取任何其他 Domino 或 WebSphere 伺服器,而不需要再次登入。
如果您的 IdP 是 Microsoft™ Active Directory Federation Services (ADFS),則完成這些步驟以準備搭配 Domino 使用 ADFS。在 Domino® 中配置 SAML 之前,請確定您符合下列需求。
如果您的 IdP 是 IBM Tivoli Federated Identity Manager,™,您可以針對 SAML 1.1 或 SAML 2.0 進行配置。在您於 Domino® 中配置 SAML 之前,請確定您符合下列需求。
完成 SAML 所需的下列 Domino 配置。
在 IdP 及 Domino 之間使用 SSL 時,將 IdP SSL 憑證匯入 Domino 名錄,並進行交互認證。
建立 IdP 型錄 (idpcat.nsf) 並將其抄寫至參與 SAML 聯合鑑別的任何伺服器。如果您啟用網路聯合登入或 Notes 聯合登入,也要將它抄寫至 ID 儲存庫伺服器。
從您的身分提供者 (IdP) 匯出中繼資料 .xml 檔案。此檔案包含 IdP(讓 Domino 接受來自它的 SAML 主張)的相關資訊。
完成下列作業,以啟用網路伺服器的基本 SAML 鑑別。
如果您想要使用網路聯合登入或 Notes 聯合登入,請完成本區段中的步驟。啟用之後,iNotes 使用者及 Notes 用戶端使用者分別可以存取 ID 儲存庫中的 Notes ID 檔案,而不會看到要輸入密碼的提示。如果您的 IdP 是 ADFS,也可以配置整合式 Windows 鑑別 (IWA),讓 iNotes 使用者或 Notes 用戶端使用者不會看到要輸入 IdP 名稱及密碼的提示。
啟用網路聯合登入以允許 iNotes 使用者執行安全作業,例如簽署及解密訊息,而不會看到輸入 Notes ID 密碼的提示。
啟用 Notes 聯合登入以允許 Notes 用戶端使用者啟動 Notes 並執行安全作業,而不會看到輸入 Notes ID 密碼的提示。
使用整合式 Windows 鑑別 (IWA) 時,Windows 用戶端上的使用者在公司內部網路上存取伺服器時,不會看到輸入 ADFS 登入名稱及密碼的提示。IWA 可用於基本 SAML 鑑別、Notes 聯合登入,以及網路聯合登入。
如果主張包含的屬性含有機密個人資料(例如,社會保險號碼),則貴組織可能需要加密 SAML 主張。Domino® 會加密整個 SAML 主張;無法局部加密特定屬性。
Domino® 與 Notes® 不支援單一登出功能,因此如果在組織中配置 SAML,請確定使用者在桌面上採取安全方法,以防止實際存取 Notes 與 Domino 資源。
在這個版本中,內部部署的 Domino® 伺服器可以使用認證儲存庫應用程式 (credstore.nsf)。對於文件加密金鑰及 Notes® 用戶端使用者在將存取權授與給使用 OAuth(開放式授權)通訊協定的應用程式時所需的其他記號,認證儲存庫是安全的儲存庫。OAuth 可讓使用者認證與相符的應用程式共用,以便使用者免掉額外的密碼提示。