建立 ID 儲存庫伺服器 IdP 配置文件
此配置文件是用於 Notes 聯合登入及網路聯合登入。
開始之前
程序
- 開啟 idpcat.nsf。
- 按一下「新增 IdP 配置」,以建立新的配置文件。
-
按一下「匯入 XML 檔案」,並選取從您 IdP 匯出的中繼資料 .xml 檔案。在 ADFS 中,這個檔名通常是 FederationMetadata.xml。
下列資訊是從 .xml 檔案匯入的。
表 1. 「IdP 配置」文件中,其值從 metadata .xml 檔案產生的欄位 欄位 說明 通訊協定版本 下列其中一項: - SAML 2.0
- SAML 1.1
- TFIM
聯合產品 下列其中一項: - AuthRequest SAML 2.0 相容
- ADFS
- TFIM
註: Authn 是適用於 SAML 2.0 的標準鑑別通訊協定。如果您的 IdP 配置為支援 Authn,最佳實務是保持選取 AuthnRequest SAML 2.0 相容。構件解析服務 URL Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生構件 URL。 例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列構件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap。
單一登入服務 URL 如果所匯入 XML 檔案中的資料可供使用,則 Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生登入 URL。 例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列登入 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial。
註: 這個欄位中的值是 IdP 預期 URL 的子集。必要時,Domino® 伺服器會產生完整 URL。簽署 X.509 憑證 Domino® 會從檔案匯入憑證碼。 加密 X.509 憑證 Domino® 會從檔案匯入憑證碼。
註: 只有當「類型」欄位設定為 SAML 2.0 時,才會出現這個欄位。通訊協定支援列舉 Domino® 會針對「類型」欄位指定的 SAML 版本,產生指定通訊協定的字串,而指定的 IdP 也支援這些通訊協定。此字串會變成 Domino® 所提供的鑑別 URL 的一部分,作為此配置文件中所指定 IdP 的服務提供者。 例如,url.oasis.names.tc:SAML:2.0:protocol。
-
在「基本」標籤的「對映此網站的主機名稱或位址」欄位中,輸入 ID 儲存庫伺服器的 DNS 主機名稱,前面加上字串 vault.,例如:
vault.domino1.us.renovations.com - 針對「狀態」,選取「已停用」。稍後當您啟用聯合登入時啟用它。
-
在「服務提供者 ID」欄位中,輸入值以識別作為 IdP 的服務提供者夥伴的 ID 儲存庫伺服器。
例如: https://vault.domino1.us.renovations.com
- 此值必須適當建構,但不是用於 HTTP 連接。
- 如果您是使用 SSL(ADFS 的必要項目),請在 URL 中指定 https:。
- 此值必須符合 IdP 信任或夥伴關係(您建立以識別 ID 儲存庫伺服器)中的值。例如,在 ADFS 中,此值必須符合在「中繼夥伴信任」中的「中繼夥伴信任 ID」方框中指定的值。
-
在「用戶端設定」標籤上,完成下列步驟,這些步驟與 Notes 聯合登入相關:
- 如果您是搭配 ADFS 使用整合式 Windows 鑑別 (IWA),請將「啟用 Windows 單一登入」設定為「是」。Notes 聯合登入需要這個欄位,以便 Domino® 知道如何設定 Notes® 用戶端內嵌瀏覽器。
- 在「信任的網站」欄位中,列出與「基本」標籤中配置的主機名稱不同的信任身分提供者 (IdP)網路主機名稱。請以分號或換行字元分隔項目。
- 如果 Notes® 用戶端內嵌瀏覽器需要在登入序列期間,使用 SSL 保護在 IdP 存取的任何 URL,請將「強制執行 SSL」欄位保留設定為「是」。
- 儲存並關閉「IdP 配置」文件。
- 選擇性的: 如果您想要確定 SAML 主張已加密,以保護機密資料,請完成作業 正在產生認證以加密 SAML 主張。在您完成作業 正在將 ID 儲存庫伺服器配置匯出至 .xml 檔案 之前完成,讓憑證包含在 idp.xml 檔案中。