Exécuter les tâches prérequises de Domino pour SAML

Exécutez la configuration Domino requise par SAML.

Connexion unique

Si les utilisateurs accèdent à plusieurs serveurs Domino ou serveurs WebSphere et Domino, la connexion unique est requise. Configurez la connexion unique et testez si elle fonctionne avant de configurer l'authentification SAML. Utiliser une authentification de session multi-serveur plutôt qu'une authentification de session sur un serveur unique est une meilleure pratique. Pour plus d'informations, voir Authentification liée à la session sur plusieurs serveurs (connexion unique).

Certificat TLS

Si vos utilisateurs ont besoin de connexions HTTPS sécurisées pour accéder au serveur Domino ou si vous avez des clients mobiles, configurez un fichier de jeu de clés avec un certificat TLS valide sur les serveurs Web Domino. Le certificat doit être généré depuis une autorité de certification (AC) plutôt que d'être autosigné. La plupart des navigateurs actuels ne prennent pas en charge les certificats autosignés. Pour plus d'informations, voir Gestion des certificats TLS avec Certificate Manager.
Remarque : Si vous utilisez uniquement la connexion fédérée à Notes et non pas l'authentification SAML Web ou la connexion fédérée au Web de base, il n'est pas nécessaire de disposer d'un certificat TLS sur les serveurs Domino. Avec la connexion fédérée à Notes, les clients Notes et les serveurs ADFS ne se connectent pas au serveur Domino sur HTTPS.

Paramètres de sécurité

Configurez les paramètres de sécurité ci-dessous :
  • Désactivez le champ Appliquer le verrouillage de l'accès Internet par mot de passe dans l'onglet Sécurité du document Configuration du serveur.
  • Désactivez tous les paramètres de gestion des mots de passe d'accès au Web (par exemple, la synchronisation du mot de passe du client Notes® avec le mot de passe Internet) activés dans les politiques de sécurité assignées aux utilisateurs SAML.

Test du serveur Domino Web (Recommandé)

La configuration SAML nécessitant une configuration coopérative pour Domino® et pour le fournisseur d'identité (IdP), la configuration du serveur Web Domino® doit avant tout être fondamentalement viable lorsqu'elle est utilisée indépendamment d'un IdP. Par conséquent, avant de configurer SAML, veillez à configurer le serveur HTTP Domino® pour l'authentification de session sur un serveur unique. Cette tâche implique la configuration de Domino® pour la connexion en tant qu'utilisateur Web (par exemple, l'administrateur Domino® configuré dans l'annuaire Domino® lors de la configuration du serveur Domino®). Une fois que cet administrateur peut se connecter en tant qu'utilisateur Domino®, en explorant avec succès les adresses URL du serveur Domino®, le serveur est prêt pour la configuration et l'activation de SAML.

Synchronisation de l'horloge

Important : L'authentification SAML inclut des horodatages. Vérifiez que les horloges des ordinateurs de l'IdP SAML et du fournisseur de services SAML Domino® sont synchronisées sur la même heure. Si les horloges sont trop désynchronisées, une assertion SAML risque d'être rejetée car elle semble indiquer une heure erronée. Ceci est particulièrement problématique si la machine de l'IdP est en avance sur l'heure du serveur Domino®, de sorte que Domino® rejette une assertion qui semble indiquer une heure future.
Pour plus d'informations sur les paramètres du fichier NOTES.INI permettant d'éviter un décalage d'horloge, consultez les articles suivants dans le wiki Notes et Domino :