針對 SAML 完成 Domino 先決條件

完成 SAML 所需的下列 Domino 配置。

目錄名稱對映(僅 ADFS)

如果 Active Directory mail 屬性中的使用者位址與 Domino 名錄「人員」文件的「網際網路位址」中的位址相同,就不需要額外目錄配置。如果不是,您必須將 Notes 識別名稱新增至 Active Directory 屬性,例如 altSecurityIdentities。然後,配置目錄協助使用該屬性,將 Domino 名稱對映至 Active Directory 中的名稱。如需相關資訊,請參閱在遠端 LDAP 目錄中使用 Notes 識別名稱

單一登入

如果使用者會存取一部以上的 Domino 伺服器或網路Sphere 及 Domino 伺服器,就需要單一登入。在配置 SAML 鑑別之前,配置單一登入並測試它是否可以運作。使用多重伺服器階段作業鑑別(而非單一伺服器階段作業鑑別)是最佳實務。如需相關資訊,請參閱多台伺服器階段作業型鑑別(單一登入)

SSL 憑證

如果 Domino 與您的 IdP(作為 ADFS)之間需要 HTTPS 連接,請配置金鑰環檔,該檔案需有 Domino 伺服器上有效的 SSL 憑證。憑證應該從憑證管理中心 (CA) 產生,而不是自行簽署,目前大部分的瀏覽器都不支援自簽憑證。如需相關資訊,請參閱使用自簽憑證或第三方憑證產生金鑰環檔案
註: 如果您只使用 Notes 聯合登入,而不是基本網路SAML 鑑別或網路聯合登入,在 Domino 伺服器上不需要 SSL 憑證。使用 Notes 聯合登入,Notes 用戶端或 ADFS 伺服器都無法透過 HTTPS 連接到 Domino 伺服器。

ID 儲存庫

對於網路聯合登入或 Notes 聯合登入,必須設定 ID 儲存庫,且參與的使用者必須有儲存庫的 ID。請確定透過安全原則設定將使用者指派到儲存庫。如需相關資訊,請參閱將使用者指派到儲存庫

請務必啟用 iNotes 以使用儲存庫。若要查看 iNotes 使用者的 ID 檔案是否已上傳至儲存庫,儲存庫管理員可以開啟 ID 儲存庫應用程式,並在「儲存庫使用者」視圖中檢查使用者的名稱。如需相關資訊,請參閱啟用可將 ID 存入資料庫的程式以使用儲存庫

Notes 用戶端使用者可以確認他們的 ID 在儲存庫中。若要這樣做,可以按一下「檔案 > 安全 > 使用者安全」,並且驗證「這個 ID 檔案已備份至儲存庫」顯示。
這個 ID 檔案已備份至儲存庫設定

安全設定值

配置下列安全設定:
  • 在伺服器「配置」文件的「安全」標籤停用「強制網路密碼鎖定」欄位。
  • 請停用任何網路密碼管理設定,例如同步化 Notes® 用戶端密碼與網際網路密碼,此密碼已於安全原則啟用,並指派給 SAML 使用者。

Domino網路伺服器測試(建議)

因為 SAML 配置需要一同配置 Domino® 以及身分提供者 (IdP),當被獨立作為 IdP 時,應先妥善設定 Domino®網路伺服器配置。因此,在配置 SAML 之前,須考慮設定單一伺服器階段作業鑑別的 Domino® HTTP 伺服器。此作業包含配置 Domino®,以網路使用者身分登入(例如 Domino® 管理員已在 Domino® 伺服器設定期間,於 Domino® 名錄中配置。)若您能以管理員身分以 Domino® 使用者登入,並順利在 Domino® 伺服器上瀏覽 URL,則此伺服器就緒可用於 SAML 配置與啟用。

時鐘同步化

重要: SAML 鑑別包括時間戳記。請確定 SAML IdP 電腦與 Domino® SAML 服務提供者電腦的時鐘已同步,以讓這些電腦共用現行時間的相同記號。如果時鐘非同步的時間太長,SAML 主張可能遭拒,因為主張的時間可能無效。如果 IdP 機器時間在 Domino® 伺服器時間之前,而讓 Domino® 拒絕指定未來時間的主張,這特別會產生問題。
如需可避免時間偏差的 NOTES.INI 設定的相關資訊,請參閱 Notes 及 Domino Wiki 中的下列文章: