Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
Préparation à l'authentification SAML
Suivez les étapes de cette section avant de configurer l'authentification SAML dans Domino
Exécuter les tâches prérequises de Domino pour SAML
Exécutez la configuration Domino requise par SAML.
Préparation de l'accès au coffre d'ID avec SAML
Pour la connexion fédérée au Web ou la connexion fédérée à Notes, un coffre d'ID doit être défini et les utilisateurs qui participent doivent disposer d'ID dans le coffre.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
  - Préparation à l'authentification SAML
    Suivez les étapes de cette section avant de configurer l'authentification SAML dans Domino
    - Préparation de votre fournisseur d'identité
      Avant de configurer l'authentification d'identité fédérée SAML pour Domino, préparez votre fournisseur d'identité (IdP).
    - Exécuter les tâches prérequises de Domino pour SAML
      Exécutez la configuration Domino requise par SAML.
      - Préparation de l'accès au coffre d'ID avec SAML
        Pour la connexion fédérée au Web ou la connexion fédérée à Notes, un coffre d'ID doit être défini et les utilisateurs qui participent doivent disposer d'ID dans le coffre.
      - Configuration du mappage de nom Directory (ADFS uniquement)
        Si vous utilisez ADFS, vous devrez peut-être configurer le mappage de nom de répertoire entre Domino et Active Directory.
    - Importation et certification croisée du certificat Internet de l'IdP
      Lors de la configuration des clients Notes pour la connexion fédérée à Notes à l'aide de SAML, les clients Notes doivent faire confiance au certificat utilisé par le fournisseur d'identité (IdP). Importez le certificat TLS de l'IdP dans le répertoire Domino et procédez à une certification croisée.
    - Création et réplication du catalogue IdP
      Créez le catalogue IdP (idpcat.nsf) et répliquez-le sur n'importe quel serveur qui participe à l'authentification fédérée SAML. Si vous activez la connexion fédérée au Web ou la connexion fédérée à Notes, répliquez-la également sur le serveur de coffre d'ID.
    - Exportation d'un fichier de métadonnées .xml depuis votre IdP
      Exportez un fichier de métadonnées .xml depuis votre fournisseur d'identité (IdP). Ce fichier contient des informations sur l'IdP qui permettent à Domino d'accepter les assertions SAML depuis l'IdP.
  - Configuration de l'authentification SAML de base pour les serveurs Web
    L'authentification SAML de base pour les serveurs Web permet aux clients de navigation d'accéder au serveur Web Domino en s'authentifiant avec SAML. Exécutez les tâches suivantes pour activer l'authentification SAML de base pour les serveurs Web.
  - Configuration des serveurs de coffre d'ID pour une connexion SAML fédérée
    Suivez les étapes de cette section si vous souhaitez utiliser la connexion fédérée au Web ou la connexion fédérée à Notes dans les paramètres de sécurité. Après activation, les utilisateurs du client iNotes et Notes accèdent, respectivement, au fichier d'ID Notes dans le coffre d'ID sans être invités à saisir le mot de passe. Si votre IdP est ADFS, vous pouvez également configurer l'authentification Windows intégrée (IWA) afin que les utilisateurs iNotes ou les utilisateurs des clients Notes ne soient pas invités à saisir le nom et le mot de passe de l'IdP.
  - Activation de la connexion fédérée au Web
    Activez la connexion fédérée au Web pour permettre aux utilisateurs d'iNotes d'effectuer des opérations sécurisées, notamment la signature et le déchiffrement de messages, sans être invités à saisir un mot de passe d'ID Notes.
  - Activation de la connexion fédérée à Notes
    Activez la connexion fédérée à Notes pour permettre aux utilisateurs des clients Notes de lancer Notes et d'effectuer des opérations sécurisées sans être invités à saisir un mot de passe d'ID Notes.
  - Activation d'IWA (ADFS uniquement)
    Lorsque l'authentification Windows intégrée (IWA) est utilisée, les utilisateurs des clients Windows ne sont pas invités à saisir le nom et le mot de passe de la connexion à ADFS lorsqu'ils accèdent aux serveurs sur l'Intranet de l'entreprise. IWA est disponible pour l'authentification SAML de base, la connexion fédérée à Notes, ainsi que la connexion fédérée au Web.
  - Génération d'un certificat pour chiffrer les assertions SAML
    Votre organisation peut exiger que les assertions SAML soient chiffrées si elles incluent des attributs contenant des données personnelles sensibles, par exemple, des numéros de sécurité sociale. Domino® chiffre intégralement les assertions SAML. Le chiffrement partiel d'attributs spécifiques n'est pas possible.
  - Mise en garde des utilisateurs du client concernant SAML et la déconnexion
    Domino® et Notes® ne prenant pas en charge la fonction de déconnexion unique, si vous configurez SAML dans votre organisation, veillez à ce que vos utilisateurs appliquent des méthodes de sécurité à leurs bureaux de manière à éviter tout accès physique aux ressources Notes et Domino.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Préparation de l'accès au coffre d'ID avec SAML

Pour la connexion fédérée au Web ou la connexion fédérée à Notes, un coffre d'ID doit être défini et les utilisateurs qui participent doivent disposer d'ID dans le coffre.

Pourquoi et quand exécuter cette tâche

Vérifiez que les utilisateurs sont affectés à un coffre via les paramètres de politique de sécurité. Pour plus d'informations, voir Affectation d'utilisateurs à un coffre.

Veillez à activer iNotes pour utiliser le coffre. Pour vérifier si le fichier d'ID d'un utilisateur d'iNotes est téléchargé dans le coffre, un administrateur de coffre peut ouvrir l'application de coffre d'ID et rechercher le nom de l'utilisateur dans la vue des utilisateurs de coffre. Pour plus d'informations, voir Autorisation de programmes stockant des ID dans des bases de données à utiliser un coffre.

Les utilisateurs de clients Notes peuvent confirmer que leurs ID se trouvent dans le coffre. Pour ce faire, ils doivent cliquer sur Fichier > Sécurité > Sécurité utilisateur et vérifier que la mention Ce fichier d'ID a été sauvegardé dans le coffre s'affiche.
Ce fichier ID a été sauvegardé dans le paramètre de coffre

Ce fichier ID a été sauvegardé dans le paramètre de coffre