Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Authentification par mot de passe unique basé sur le temps (TOTP)
Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
Configuration de l'authentification TOTP
Procédez comme suit pour configurer l'authentification par mot de passe unique basée sur le temps (TOTP).
2. Activation de l'authentification TOTP dans le document Paramètres de configuration
Activez TOTP sur les serveurs Domino® via un document Paramètres de configuration.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
  - Configuration de l'authentification TOTP
    Procédez comme suit pour configurer l'authentification par mot de passe unique basée sur le temps (TOTP).
    - 1. Emission d'un certificat accrédité de coffre
      Pour autoriser l'utilisation de l'authentification par mot de passe unique basé sur le temps (TOTP), utilisez la commande serveur mfamgt pour émettre un certificat d'authentification à plusieurs facteurs pour le certificateur Notes des utilisateurs
    - 2. Activation de l'authentification TOTP dans le document Paramètres de configuration
      Activez TOTP sur les serveurs Domino® via un document Paramètres de configuration.
    - 3. Activation de l'authentification TOTP sur les serveurs
      Après avoir activé l’authentification TOTP dans un document Paramètres de configuration, activez-la également sur les serveurs via un document Serveur, un document Site Internet ou un document Serveur virtuel.
    - 4. Activation des opérations de messagerie sécurisées pour TOTP
      Vous pouvez éventuellement configurer la prise en charge des opérations de messagerie sécurisées (déchiffrement, chiffrement, signature) pour les utilisateurs Web avec des ID Notes, tels que les utilisateurs iNotes.
    - 5. Configuration du formulaire de connexion TOTP
      Créez une base de données Configuration de serveur Web Domino qui utilise le formulaire de connexion personnalisé $$LoginUserFormMFA.
    - 6. Redémarrage du serveur de coffre pour activer TOTP
      Après avoir effectué toutes les étapes de configuration, redémarrez le serveur de coffre.
  - Configuration de l'authentification TOTP interdomaine
    Vous pouvez activer l'authentification TOTP pour les utilisateurs d'un domaine Domino secondaire. Une fois la configuration terminée, les utilisateurs enregistrés dans le domaine secondaire peuvent configurer et utiliser l'authentification TOTP configurée dans le domaine Domino principal.
  - Considérations Docker pour l'authentification TOTP
    Les exigences et recommandations pour l'activation de TOTP sur un serveur Domino sur Docker sont les suivantes.
  - Comment les utilisateurs définissent-ils TOTP ?
    Une fois que vous avez activé l'authentification par mot de passe unique basée sur le temps sur un serveur Domino, la prochaine fois que les utilisateurs Web se connectent au serveur, ils suivent la procédure ci-après pour configurer TOTP.
  - Réinitialiser les configurations TOTP de l'utilisateur
    Si les utilisateurs ne peuvent pas fournir de jetons TOTP valides pour se connecter à un serveur activé pour TOTP, vous pouvez réinitialiser leurs configurations TOTP pour pouvoir configurer à nouveau TOTP.
  - Paramètre notes.ini pour TOTP
    Les paramètres notes.ini suivants sont disponibles pour personnaliser la configuration TOTP.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

2. Activation de l'authentification TOTP dans le document Paramètres de configuration

Activez TOTP sur les serveurs Domino® via un document Paramètres de configuration.

Procédure

Dans Domino® Administrator, cliquez sur l'onglet Configuration puis développez la section Messagerie.
Choisissez Configurations.
Cliquez sur Ajouter Configuration pour créer un document Paramètres de configuration. Ou, sélectionnez-en un et cliquez sur Editer configuration.
Cliquez sur l'onglet Security.

Complétez les champs suivants dans la section Authentification à plusieurs facteurs.

Zone	Description
Mot de passe unique basé sur le temps (TOTP) pour l'authentification Web	Sélectionnez Activer.
Autoriser les codes d'urgence	Sélectionnez Oui (valeur par défaut) pour autoriser les utilisateurs à fournir l'un des dix codes d'urgence plutôt qu'un jeton TOTP. Cette option est utile pour permettre aux utilisateurs de se connecter si leur application TOTP n'est pas disponible, par exemple, s'ils perdent un périphérique qui l'exécute. Les utilisateurs sont affichés immédiatement après avoir correctement configuré TOTP. Une fois qu'un code d'urgence est utilisé, il ne peut plus être utilisé à nouveau.
Envoyer des codes d'urgence par courrier électronique à un utilisateur	Si vous autorisez les codes d'urgence, sélectionnez Oui pour envoyer un e-mail chiffré contenant les codes d'urgence à un utilisateur lorsqu'il a initialement configuré TOTP ou si sa configuration est réinitialisée et qu'il effectue une nouvelle configuration. Les utilisateurs copient également les codes scratch directement lors de la configuration.
Nombre maximum de secrets	Nombre d' URI TOTP (comptes) que chaque utilisateur peut configurer pour accéder à un serveur Domino : 1, 2 ou 3 (par défaut). Plusieurs URI TOTP peuvent être utiles si l'application TOTP s'exécute sur plusieurs périphériques.
Algorithme	Algorithme utilisé pour générer le jeton. Utilisez la valeur par défaut, HMAC-SHA256, sauf si vous constatez que des applications TOTP plus anciennes dans votre environnement ne la prennent pas en charge. Remarque : Le coffre d'ID prend en charge la rétromigration de l'algorithme HMAC d'un niveau, par exemple, d'HMAC-SHA256 à HMAC-SHA1. Par conséquent, nous avons conservé l'algorithme par défaut en tant que HMAC-SHA256 pour prendre en charge les clients TOTP tels que Google Authenticator. Authy et Microsoft Authenticator prennent actuellement en charge HMAC-SHA1 et ils fonctionnent sur le serveur activé pour HMAC-SHA1 ou HMAC-SHA256.

Cliquez sur Enregistrer et fermer.