正在設定 ID 儲存庫伺服器的「中繼夥伴信任」

針對 Domino ID 儲存庫伺服器,設定 Active Directory Federated Services (ADFS) 中的「中繼夥伴信任」。這些程序說明 ADFS 3.0 及 ADFS 4.0 的步驟。

執行這項作業的原因和時機

此程序適用於 Active Directory Federation Services (ADFS)。如果您使用 Tivoli Federated 身分 Manager (TFIM),則要設定夥伴關係。如需相關資訊,請參閱文章:「錦囊妙計:在 TFIM 上設定新夥伴」,文章位於 Notes 及 Domino Wiki。

程序

  1. 從 ADFS,選取「開始 > 系統管理工具 > AD FS 管理」。
  2. 瀏覽至「中繼夥伴信任」資料夾。
  3. 選取「動作 > 新增中繼夥伴信任」。
  4. 按一下「開始」以執行「新增中繼夥伴信任」 精靈。
  5. 在「選取資料來源」視窗中,選取「從檔案匯入中繼夥伴的相關資料」,選取您從對應 ID 儲存庫伺服器 IdP 配置文件匯出的 idp.xml 檔案。然後,按「下一步」
    註: 當您從 idp.xml 檔案匯入時,步驟 6 - 10 的值會自動填入。如果您選取「手動輸入中繼夥伴的相關資料」,您要自行輸入這些值。
  6. 在「選取顯示名稱」視窗中,輸入「顯示名稱」以代表服務提供者,例如,Domino Renovations 儲存庫。按「下一步」
  7. 在「選擇設定檔」視窗中,選取「AD FS 設定檔」,然後按「下一步」
  8. 在「配置憑證」視窗中,按「下一步」
  9. 在「配置 URL」視窗中,選取「啟用 SAML 2.0網路SSO 通訊協定的支援」。針對「中繼夥伴 SAML 2.0 SSO 服務 URL」,輸入下列 URL: 
    https://<host>/names.nsf?SAMLIDLogin
    其中,<host> 是網路伺服器或 ID 儲存庫伺服器,取決於您是否使用網路聯合登入:
    1. 在 ID 儲存庫伺服器中繼夥伴信任中指定「中繼夥伴 SAML 2.0 SSO 服務 URL」主機名稱。
    如果您使用網路聯合登入 如果您僅使用 Notes 聯合登入
    指定參與聯合登入的網路伺服器的 DNS 主機名稱。例如:
    https://mail.us.renovations.com/names.nsf?SAMLIDLogin
    • 請注意,URL 的結束字串是 /names.nsf?SAMLIDLogin。此字串與「網路伺服器信任」文件的 URL 結束字串不同,後者是 /names.nsf?SAMLLogin
    • 指定網路伺服器主機名稱,而不是指定 ID 儲存庫伺服器主機名稱。這麼做可以讓 iNotes 使用者從 ID 儲存庫伺服器取得聯合登入的認證。
    • 主機名稱必須符合在您建立的網路伺服器 IdP 配置文件中,「對映至此站台的主機名稱或位址」欄位中包含的主機名稱。請勿使用在 ID 儲存庫伺服器 IdP 配置文件中指定的主機名稱。
    • 您對於每個「信任」文件只能指定一個網路伺服器主機。
    • 如果在負載平衡器後面有多部網路伺服器主機,請在這裡指定負載平衡器主機名稱。如果沒有負載平衡器,請重複此程序,並且為每部網路伺服器建立個別的「信任」文件。
    指定參與聯合登入的 Domino ID 儲存庫伺服器的 DNS 主機名稱。例如:
    https://vault.domino1.us.renovations.com/names.nsf?SAMLIDLogin
    • 主機名稱必須符合在您建立的 ID 儲存庫伺服器 IdP 配置文件中,「對映至此站台的主機名稱或位址」欄位中包含的主機名稱。
    以下範例顯示當您使用網路聯合登入時,針對網路伺服器指定的主機名稱:
    「配置 URL」視窗中的中繼夥伴 SAML 2.0 SSO 服務 URL
  10. 在「配置 ID」視窗的「中繼夥伴信任 ID」欄位中,輸入 URL 以識別 ID 儲存庫伺服器,然後依序按一下「新增」「下一步」
    此 URL 必須符合您在 ID 儲存庫伺服器 IdP 配置文件的「服務提供者 ID」欄位中指定的 URL。例如: https://vault.domino1.us.renovations.com
    註: 此 URL 只用來作為 ID,不適用於 HTTP 連接。

    「配置 ID」視窗中的中繼夥伴信任 ID
  11. 「下一步」以跳過「立即配置多因子鑑別?」視窗。
  12. 在「選擇發行授權規則」視窗中,選取「允許所有使用者存取此中繼夥伴」,然後按「下一步」
  13. 在「準備新增信任」視窗中,按「下一步」
  14. 在「完成」視窗中,選取「當精靈關閉時,針對此中繼夥伴信任開啟編輯主張規則對話框」,然後按一下「關閉」
  15. 如果精靈關閉時,「編輯主張規則」對話框未開啟,請以滑鼠右鍵按一下您所建立「中繼夥伴信任」的名稱,然後選取「編輯主張規則」
  16. 在「編輯主張規則」對話框中,按一下「新增規則」
  17. 在「選取規則範本」對話框中,針對「選擇規則類型」,選取「傳送 LDAP 屬性作為主張」,然後按「下一步」
  18. 完成「配置規則」對話框:
    1. 針對「主張規則名稱」,輸入 EmailAddressToNameID
    2. 針對「屬性儲存庫」,選取「Active Directory」
    3. 針對「LDAP 屬性」,選取「電子郵件位址」
    4. 針對「送出主張類型」,選取「名稱 ID」
    5. 按一下「完成」
  19. 在「編輯主張規則」對話框中,按一下「套用」,然後按一下「確定」
  20. 在「AD FS 信任關係 > 中繼夥伴信任」資料夾中:
    1. 以滑鼠右鍵按一下您為 Domino 建立的新中繼夥伴信任,然後選取「內容」
    2. 按一下「端點」標籤。
    3. 針對「SAML 主張使用者端點」,驗證 Domino 有 POST 連結 URL。此外,如果有構件連結 URL,請將它移除,因為 Domino 只會使用 POST 連結。

      Domino 的端點 POST 連結 URL。