Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Authentification par mot de passe unique basé sur le temps (TOTP)
Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
Configuration de l'authentification TOTP
Procédez comme suit pour configurer l'authentification par mot de passe unique basée sur le temps (TOTP).
4. Activation des opérations de messagerie sécurisées pour TOTP
Vous pouvez éventuellement configurer la prise en charge des opérations de messagerie sécurisées (déchiffrement, chiffrement, signature) pour les utilisateurs Web avec des ID Notes, tels que les utilisateurs iNotes.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
  - Configuration de l'authentification TOTP
    Procédez comme suit pour configurer l'authentification par mot de passe unique basée sur le temps (TOTP).
    - 1. Emission d'un certificat accrédité de coffre
      Pour autoriser l'utilisation de l'authentification par mot de passe unique basé sur le temps (TOTP), utilisez la commande serveur mfamgt pour émettre un certificat d'authentification à plusieurs facteurs pour le certificateur Notes des utilisateurs
    - 2. Activation de l'authentification TOTP dans le document Paramètres de configuration
      Activez TOTP sur les serveurs Domino® via un document Paramètres de configuration.
    - 3. Activation de l'authentification TOTP sur les serveurs
      Après avoir activé l’authentification TOTP dans un document Paramètres de configuration, activez-la également sur les serveurs via un document Serveur, un document Site Internet ou un document Serveur virtuel.
    - 4. Activation des opérations de messagerie sécurisées pour TOTP
      Vous pouvez éventuellement configurer la prise en charge des opérations de messagerie sécurisées (déchiffrement, chiffrement, signature) pour les utilisateurs Web avec des ID Notes, tels que les utilisateurs iNotes.
    - 5. Configuration du formulaire de connexion TOTP
      Créez une base de données Configuration de serveur Web Domino qui utilise le formulaire de connexion personnalisé $$LoginUserFormMFA.
    - 6. Redémarrage du serveur de coffre pour activer TOTP
      Après avoir effectué toutes les étapes de configuration, redémarrez le serveur de coffre.
  - Configuration de l'authentification TOTP interdomaine
    Vous pouvez activer l'authentification TOTP pour les utilisateurs d'un domaine Domino secondaire. Une fois la configuration terminée, les utilisateurs enregistrés dans le domaine secondaire peuvent configurer et utiliser l'authentification TOTP configurée dans le domaine Domino principal.
  - Considérations Docker pour l'authentification TOTP
    Les exigences et recommandations pour l'activation de TOTP sur un serveur Domino sur Docker sont les suivantes.
  - Comment les utilisateurs définissent-ils TOTP ?
    Une fois que vous avez activé l'authentification par mot de passe unique basée sur le temps sur un serveur Domino, la prochaine fois que les utilisateurs Web se connectent au serveur, ils suivent la procédure ci-après pour configurer TOTP.
  - Réinitialiser les configurations TOTP de l'utilisateur
    Si les utilisateurs ne peuvent pas fournir de jetons TOTP valides pour se connecter à un serveur activé pour TOTP, vous pouvez réinitialiser leurs configurations TOTP pour pouvoir configurer à nouveau TOTP.
  - Paramètre notes.ini pour TOTP
    Les paramètres notes.ini suivants sont disponibles pour personnaliser la configuration TOTP.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

4. Activation des opérations de messagerie sécurisées pour TOTP

Vous pouvez éventuellement configurer la prise en charge des opérations de messagerie sécurisées (déchiffrement, chiffrement, signature) pour les utilisateurs Web avec des ID Notes, tels que les utilisateurs iNotes.

Pourquoi et quand exécuter cette tâche

Activé via la politique de sécurité et la configuration de coffre d'ID, un fichier ID est téléchargé dans la mémoire et utilisé pour les opérations de messagerie sécurisées lorsque les utilisateurs Web sont activés pour TOTP. Le téléchargement peut se produire lors de l'authentification TOTP initiale ou si une opération de messagerie sécurisée est tentée et que le fichier d'ID n'est pas en mémoire.

Procédure

Activez les opérations de messagerie sécurisées pour TOTP dans le document Paramètres de sécurité utilisé pour le coffre d'ID :
1. Ouvrez le document Paramètres de sécurité et cliquez sur l'onglet Coffre d'ID.
2. Dans la section Téléchargements d'ID basés sur TOTP, sélectionnez Oui dans le champ Autoriser l'authentification TOTP avec le coffre d'ID.
3. Pour permettre aux utilisateurs Web qui n'utilisent pas TOTP de continuer à télécharger leurs ID Notes pour les opérations de messagerie sécurisées, sélectionnez Oui dans le coffre Autoriser l'authentification TOTP avec le coffre d'ID. Pour demander à tous les utilisateurs Web d'utiliser TOTP pour télécharger leurs ID Notes, sélectionnez Non.
Dans le document Configuration du coffre, spécifiez les serveurs qui utilisent le coffre d'ID et qui sont activés pour TOTP et les opérations de courrier sécurisées.
1. Ouvrez la base de données de coffre.
2. Ouvrez le document Configuration.
3. Dans la section Connexion sans authentification iDP, spécifiez tous les noms de serveur de messagerie Web Domino dans le champ Serveurs accrédités.