SAML의 Domino 사전 필수 단계 완료
SAML에서 필요한 다음 Domino 구성을 완료하십시오.
싱글 사인온
사용자가 둘 이상의 Domino 서버나 WebSphere와 Domino 서버에 액세스할 경우 싱글 사인온이 필요합니다. SAML 인증을 구성하기 전에 싱글 사인온을 구성하고 테스트합니다. 단일 서버 세션 인증보다 다중 서버 세션 인증을 사용하는 것이 좋습니다. 자세한 정보는 다중 서버 세션 기반 인증(single sign-on)의 내용을 참조하십시오.
TLS 인증서
모바일 클라이언트가 있거나 사용자가 Domino 서버에 액세스하는 데 보안 HTTPS 연결이 필요한 경우 Domino 웹 서버에서 유효한 TLS 인증서를 구성하십시오. 인증서는 자체 서명된 것보다는 CA(인증 기관)에서 생성된 것이어야 합니다. 대부분의 최신 브라우저에서는 자체 서명 인증서를 지원하지 않습니다. 자세한 정보는 인증서 관리자를 통해 TLS 인증서 관리의 내용을 참조하십시오.
주: Notes 연합 로그인만 사용하고 기본 웹 SAML 인증이나 웹 연합 로그인은 사용하지 않는 경우 Domino 서버에서 TLS 인증서가 필요하지 않습니다. Notes 연합 로그인을 사용할 때는 Notes 클라이언트도 ADFS 서버도 HTTPS를 통해 Domino 서버에 연결하지 않습니다.
보안 설정
다음 보안 설정을 구성합니다.
- 서버 구성 문서의 보안 탭에서 인터넷 비밀번호 잠금 적용 필드를 사용 안함으로 설정합니다.
- SAML 사용자에게 지정되는 보안 정책에서 사용으로 설정되는 Notes® 클라이언트 비밀번호와 인터넷 비밀번호 동기화와 같은 웹 비밀번호 관리 설정을 사용 안함으로 설정합니다.
Domino 웹 서버 테스트(권장)
SAML을 구성하려면 Domino® 및 ID 제공자(IdP)에 대한 협력 구성이 필요하므로, 먼저 Domino® 웹 서버가 IdP와 독립적으로 사용될 때 매우 견고하게 구성되어 있어야 합니다. 따라서 SAML을 구성하기 전에 단일 서버 세션 인증 확인을 위한 Domino® HTTP 서버 설정을 고려하십시오. 이 태스크에는 웹 사용자(예를 들어, Domino® 서버 설치 시 Domino® 디렉토리에 구성된 Domino® 관리자)로 로그인하도록 Domino®를 구성하는 작업이 포함됩니다. 이 관리자가 Domino® 사용자로 로그인하여 Domino® 서버에서 URL을 성공적으로 찾아볼 수 있게 되면 서버에서 SAML을 구성하고 사용할 수 있습니다.
시계 동기화
중요사항: SAML 인증에는 시간소인이 포함됩니다. SAML IdP 컴퓨터와 Domino® SAML 서비스 제공자 컴퓨터의 시계가 동기화되도록 하여 두 컴퓨터가 동일한 현재 시간 표기법을 공유할 수 있게 해야 합니다. 두 시계 간에 시간 차가 너무 크면 어설션의 시간이 유효하지 않은 것처럼 여겨질 수 있으므로 SAML 어설션이 거부될 수 있습니다. 이는 특히 IdP 머신 시간이 Domino® 서버 시간보다 빠른 경우에 문제가 됩니다. Domino®는 미래 시간을 지정하는 것으로 여겨지는 어설션을 거부합니다.
클록 스큐를 피할 수 있는 NOTES.INI 설정에 대한 정보는 Notes 및 Domino wiki에서 다음 문서를 참조하십시오.