为 Nomad 联合登录创建 IdP 配置文档

idpcat.nsf 中为 Nomad 联合登录创建 IdP 配置文档。

开始之前

将您从 IdP 导出的元数据 .xml 文件放在可以访问它的位置,以便可以将其导入到 IdP 配置文档中。对于 Active Directory Federation Services (ADFS),此文件通常是 FederationMetadata.xml

注:

导入元数据 .xml 文件时,该文件将附加到 IdP 配置文档并从本地系统中删除。

关于此任务

IdP 配置文档在 Nomad 用户使用并充当服务提供者的 Domino 标识保险库服务器与充当认证服务器以访问 Domino 服务器上的邮件和其他应用程序的 IdP 之间建立伙伴关系。

在此任务期间,您将创建 IdP 配置文档,导入先前从 IdP 导出的元数据 .xml 文件,完成配置,并将配置导出到 ServiceProvider.xml 文件。

从标识保险库服务器完成以下步骤:

过程

  1. 打开 idpcat.nsf
  2. 单击添加 IdP 配置以新建配置文档。
  3. 基本选项卡的映射到此站点的主机名或地址字段中,输入: 
    nomad.vault.<SafeLinxServerHost>
    其中 <SafeLinxServerHost> 是 Nomad (SafeLinx) 服务器的主机名。例如: 
    nomad.vault.safelinx.renovations.com
    注: nomad.vault. 前缀是此功能正常工作的要求。此字段中的值不会解析为 DNS 主机名。
  4. 协议版本字段中,选择 SAML 2.0
  5. 联合产品字段中,选择兼容 AuthnRequest SAML 2.0
  6. 单击导入 XML 文件,并选择从 IdP 导出的 metadata .xml 文件。在 ADFS 中,此文件名通常为 FederationMetadata.xml
    以下信息从 .xml 文件导入到 IdP 配置文档中。
    1. IdP 配置文档中根据元数据 .xml 文件生成值的字段
    字段 描述
    单点登录服务 URL (“基本”选项卡)在联合产品字段中指定的联合服务的登录 URL。例如: https://adfs.renovations.com/adfs/ls/IdpInitiatedSignOn.aspx
    注: 该字段中的值是到 IdP 的预期 URL 的子集。Domino® 服务器将根据需要生成完整 URL。
    签名 X.509 证书 (“高级”选项卡)用于签名的 X.509 证书,用于验证来自 IdP 的断言响应中的签名。
    加密 X.509 证书 (“高级”选项卡)用于加密的 X.509 证书,用于发送 IdP 加密文档。
    协议支持枚举 (“高级”选项卡)指定指定的 IdP 支持的 SAML 2.0 协议的字符串。此字符串成为 Domino® 作为 IdP 的服务提供者提供的认证 URL 的一部分。

    例如,urn.oasis.names.tc:SAML:2.0:protocol
  7. 服务提供者标识字段中,指定: 
    https://nomad.vault.<hostname>
    其中 <hostname> 是 Domino 目录中“服务器”文档中的标准因特网主机名字段中显示的标识保险库服务器的主机名。例如: 
    https://nomad.vault.domino1.renovations.com
    注: nomad.vault. 前缀是此功能正常工作的要求。虽然此字段中的值必须是正确构造的安全 URL,但它不用于 HTTPS 连接,也不会解析为 DNS 主机名。
  8. 现在显示 Nomad 回传 URL 字段。在此字段中指定以下信息。此配置允许充当服务提供者的保险库服务器将 SAML 断言发送到 Nomad 服务器,然后该服务器以客户端身份与标识保险库通信以获取用户的标识文件: 
    https://<SafeLinxServerHost>/SL_saml/login/nomadfl
    其中 <SafeLinxServerHost> 是 Nomad (SafeLinx) 服务器的主机名。例如: 
    https://safelinx.renovations.com/SL_saml/login/nomadfl
  9. 客户端设置选项卡的启用 Windows 单点登录字段中,选择
  10. 客户端设置选项卡上,填写以下字段:
    1. 启用 Windows 单点登录字段中,选择
    2. 强制实施 TLS 字段保持设置为
  11. 保存新的 IdP 配置文档。
  12. 证书管理选项卡中,完成以下步骤。这些步骤为将用于与 IdP 进行安全通信的标识保险库服务器创建服务提供者服务器证书和密钥。证书和专用密钥会自动添加到标识保险库服务器标识文件中。
    注: 如果 Domino 保险库服务器标识文件受密码保护或已包含证书,请手动完成此步骤。有关更多信息,请参阅手动生成证书以加密 SAML 断言
    1. 单击创建 SP 证书
    2. 公司名称字段中,输入任何名称,例如 renovationsvault。创建证书时, Domino 会在此字段中的名称前附加“CN=”。此名称成为证书主题名称。
      注: 此时,新的服务提供者证书和密钥便添加到标识保险库服务器标识文件中。
    3. Domino URL 字段中,指定标识保险库服务器的主机名的 URL。例如: 
      https://domino1.renovations.com
    4. 单击导出 SP XML 以创建并保存 ServiceProvider.xml 文件。创建 IdP 依赖方信任时,您会将该文件导入到 IdP 中。
  13. idpcat.nsf 复制到 Nomad 用户使用的所有 Domino 服务器,包括标识保险库服务器、邮件服务器和应用程序服务器。

结果

ServiceProvider.xml 文件会附加到 IdP 配置文档。在该过程中创建的标识保险库服务器证书和密钥会添加到标识保险库服务器标识文件中。

下一步做什么