維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
- Domino 安全概觀
  設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員，您必須在設定任何伺服器或使用者之前，仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
- Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權
  若要控制使用者與伺服器對其他伺服器的存取權，Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值，以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別，且「伺服器」文件中的設定值允許存取，則使用者或伺服器即獲准存取伺服器。
- 資料庫存取控制清單
  每個資料庫都具有存取控制清單 (ACL)，其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的，但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業，而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
- Domino® 伺服器及 Notes® 使用者 IDDomino®
  Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者，都必須具有 ID。
- 執行控制清單
  您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容，可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
- Domino® 伺服器型憑證管理中心
  您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者，以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時，為了充分運用 CA 處理程序活動，您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行；不過，可以將該程序鏈結到多個發證者。
- TLS 安全
  「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
- 用戶端的 TLS 及 S/MIME
  用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA，來取得安全 TLS 及 S/MIME 通訊的憑證。
- 加密
  加密可保護資料不受未獲授權的存取。
- 網際網路/內部網路用戶端的名稱及密碼認證
  名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
- 時間型一次性密碼 (TOTP) 鑑別
  當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
  - 配置 TOTP 鑑別
    若要配置時間型一次性密碼鑑別 (TOTP)，請完成下列步驟。
  - 配置跨網域 TOTP 鑑別
    您可以為次要 Domino 網域中的使用者啟用 TOTP 鑑別。配置完成時，在次要網域中註冊的使用者可以設定及使用主要 Domino 網域中配置的 TOTP 鑑別。
  - 針對 TOTP 鑑別的 Docker 考量
    在 Docker 上，於 Domino 伺服器上啟用 TOTP 的需求及建議如下。
  - 使用者如何設定 TOTP
    在 Domino 伺服器上啟用時間型一次性密碼 (TOTP) 鑑別之後，下次 Web 使用者登錄伺服器時，他們會遵循下列步驟設定 TOTP。
    - 使用者如何管理其 TOTP 配置
      Web 用戶可以新增及刪除 TOTP 裝置配置，以及重設遺失的暫用代碼。
  - 重設使用者的 TOTP 配置
    如果使用者無法提供有效的 TOTP 記號，以登入啟用 TOTP 的伺服器，則您可以重設其 TOTP 配置，以便他們能夠再次設定 TOTP。
  - TOTP 的 notes.ini 設定
    下列伺服器 notes.ini 設定可用來自訂 TOTP 配置。
- 多台伺服器階段作業型鑑別（單一登入）
  多台伺服器階段作業型鑑別（也稱為單一登入 (SSO)），可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器，即可在啟用單次登入 (SSO) 的相同 DNS 網域中，存取任何其他 Domino 或 WebSphere 伺服器，而不需要再次登入。
- 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別
  聯合身分是達到單一登入的一種方法，可對使用者提供便利性，並協助降低管理成本。在 Domino® 與 Notes® 中，用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
- 使用認證儲存庫來儲存認證
  Domino® 伺服器可以使用認證儲存庫應用程式，作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
- Notes 和 Domino 中支援的金鑰大小歷程
  本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。

使用者如何設定 TOTP

在 Domino 伺服器上啟用時間型一次性密碼 (TOTP) 鑑別之後，下次 Web 使用者登錄伺服器時，他們會遵循下列步驟設定 TOTP。

開始之前

使用者應在其行動裝置或電腦上安裝 TOTP 應用程式，例如 Google Authenticator、Authy 或 Duo Mobile。
使用者 Notes ID 檔必須上傳到 ID 儲存庫。

程序

登入針對 TOTP 啟用的 Domino Web 伺服器。
輸入您常用的使用者名稱及密碼。
由於尚未為 TOTP 設定帳戶，將顯示「MFA 設定」畫面。對於步驟 1，輸入 TOTP 帳戶的名稱（例如 iPhone），然後按一下確定。

註：帳戶名稱應由 2 到 23 個英數字元組成。
在下一個「MFA 設定」畫面中完成下列步驟：
1. 對於步驟 2，使用您的鑑別應用程式來掃描所顯示的 QR 代碼。或者，如果您的 TOTP 應用程式需要這樣做，請在您的應用程式上輸入所顯示 TOTP URI 的全部或局部。
2. 對於步驟 3，在 MFA 記號欄位中，輸入應用程式產生的記號，然後按一下驗證。
在下一個「MFA 設定」畫面中：
1. 對於步驟 4，將所顯示的 Scratch 記號複製到安全位置。如果您的裝置無法產生 Scratch 記號，則這些可供您用作記號。每一個 Scratch 記號只能使用一次。請注意，您的管理員也可能已透過電子郵件將記號傳送給您。
2. 選取我已經將代碼複製到安全位置。
3. 按下完成」以返回登入畫面。
若要完成設定，請輸入您的名稱、密碼，以及從應用程式產生的記號。然後按一下登入。

註：在按一下「登入」之前，可選擇性地按一下設定多重要素驗證，為 TOTP 設定另一個裝置。您也可以之後再這樣做。

結果

在使用者順利設定 TOTP 之後，管理員可以在其儲存庫 ID 文件中看到 TOTP URI：

在「Domino® 管理員」中開啟 ID 儲存庫，位於伺服器資料目錄中的 \IBM_ID_VAULT 名錄。
開啟使用者的 ID 文件。