建立網路伺服器 IdP 配置文件
建立將會參與 SAML 鑑別之網路伺服器的 IdP 配置文件。
開始之前
註: 如果您要建立另一個 IdP 配置文件,例如針對使用 ID 儲存庫的聯合登入,請備份檔案;當您將 .xml 檔案匯入 IdP 配置文件時,.xml 檔案會從您的本端系統中刪除。
執行這項作業的原因和時機
程序
- 開啟 idpcat.nsf。
- 按一下「新增 IdP 配置」,以建立新的配置文件。
-
按一下「匯入 XML 檔案」,並選取從您 IdP 匯出的中繼資料 .xml 檔案。在 ADFS 中,這個檔名通常是 FederationMetadata.xml。
下列資訊是從 .xml 檔案匯入的。
表 1. 「IdP 配置」文件中,其值從 metadata.xml 檔案產生的欄位 欄位 說明 通訊協定版本 下列其中一項: - SAML 2.0
- SAML 1.1
- TFIM
聯合產品 下列其中一項: - AuthnRequest SAML 2.0 相容
- ADFS
- TFIM
註: Authn 是適用於 SAML 2.0 的標準鑑別通訊協定。如果您的 IdP 配置為支援 Authn,最佳實務是保持選取 AuthnRequest SAML 2.0 相容。構件解析服務 URL Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生構件 URL。 例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列構件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap。
單一登入服務 URL 如果所匯入 XML 檔案中的資料可供使用,則 Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生登入 URL。 例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列登入 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial。
註: 這個欄位中的值是 IdP 預期 URL 的子集。必要時,Domino® 伺服器會產生完整 URL。簽署 X.509 憑證 Domino® 會從檔案匯入憑證碼。 加密 X.509 憑證 Domino® 會從檔案匯入憑證碼。
註: 只有當「類型」欄位設定為 SAML 2.0 時,才會出現這個欄位。通訊協定支援列舉 Domino® 會針對「類型」欄位指定的 SAML 版本,產生指定通訊協定的字串,而指定的 IdP 也支援這些通訊協定。此字串會變成 Domino® 所提供的鑑別 URL 的一部分,作為此配置文件中所指定 IdP 的服務提供者。 例如,url.oasis.names.tc:SAML:2.0:protocol。
-
在「基本」標籤 >「對映此站台的主機名稱或位址」欄位中,配置網路伺服器 DNS 主機名稱。
限制: 如果 Domino網路伺服器是使用 SSL,則您必須在每個主機名稱後面加上 IP 位址,並以分號區隔。重要: 您在這裡輸入的主機名稱必須符合在「伺服器」文件中,「網際網路通訊協定/HTTP」標籤上「主機名稱」欄位中輸入的項目,或者符合「網際網路網站(網站)」文件的「對映至此網站的主機名稱或位址」欄位中輸入的項目。
例如,輸入 mail01.us.renovations.com;n.nn.nnn.n。
如果您使用負載平衡器在伺服器之間分散要求,請包含負載平衡器的主機名稱及 IP 位址,以及目標網路伺服器的主機名稱及 IP 位址。以分號區隔伺服器,或者按下 Enter 鍵。例如:
mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n
- 針對「狀態」,選取「已停用」。稍後在「在 Domino 中啟用 SAML 鑑別」程序中啟用它。
-
在「服務提供者 ID」欄位中,輸入值以識別作為 IdP 的服務提供者夥伴的網路伺服器。
- 此值必須是適當建構的 URL,但不是用於 HTTP 連接。
- 如果您是使用 SSL(ADFS 的必要項目),請在 URL 中指定 https:。
- 此值必須符合 IdP 信任或夥伴關係(您建立以識別網路伺服器)中的值。例如,在 ADFS 中,此值必須符合在「中繼夥伴信任」中的「中繼夥伴信任 ID」方框中指定的值。
-
在「基本」標籤、「IdP 名稱」欄位中,輸入名稱以識別身分提供者的網站;該名稱不需要確切相同,僅針對管理方便而使用。
例如,如果 Renovations 組織具有由第三方(作為身分提供者)管理的支援網站,使用 IBM® Tivoli® Federated 身分 Manager 時,管理員可能輸入 Renovations Customer 支援 (TFIM)。
-
儲存並關閉「IdP 配置」文件。您會看到下列訊息,因為 IdP 配置文件目前已停用,且無法解析服務提供者 URL。按一下「是」以繼續並儲存。
不是有效的 URL,或者無法解析 DNS 名稱:<URL>。仍然要儲存?
- 選擇性的: 如果您想要確定 SAML 主張已加密,以協助保護機密資料,請完成作業 正在產生認證以加密 SAML 主張。在您完成作業 將 Domino網路配置匯出至 .xml 檔案 之前完成,讓憑證包含在 idp.xml 檔案中。