主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
使用安全性断言标记语言 (SAML) 来配置联合身份认证
联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
Nomad 联合登录
Nomad 联合登录可避免在用户设置面向 Web 浏览器的 HCL Nomad 客户端时提示他们输入 HCL Notes 标识密码。相反，只会提示他们输入来自通过 Nomad 服务器 (SafeLinx) 访问的 SAML 身份提供者 (IdP) 的凭证；用户不需要输入其 Notes 标识密码。
Nomad 联合登录的先决条件
在配置 Nomad 联合登录之前，请确保已完成以下先决条件步骤。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户端的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
  - 准备 SAML 认证
    在 Domino 中配置 SAML 认证前，请完成本部分中的步骤
  - 为 Web 服务器配置基本的 SAML 认证
    Web 服务器的基本 SAML 认证允许浏览器客户端通过向 SAML 进行认证来访问 Domino Web 服务器。完成以下任务以为 Web 服务器启用基本 SAML 认证。
  - 为 Notes 或 Web 联合 SAML 登录配置标识保险库服务器
    如果要使用 Web 联合登录或 Notes 联合登录，请完成本节中的步骤。启用后，iNotes 用户和 Notes 客户端用户将分别访问标识符保险库中的 Notes 标识文件，而不会提示您输入密码。如果您的 IdP 是 ADFS，则还可以配置集成 Windows 认证 (IWA)，这样就不会提示 iNotes 用户或 Notes 客户端用户输入 IdP 名称和密码。
  - 启用 Web 联合登录
    启用 Web 联合登录以允许 iNotes 用户执行安全操作，例如对消息进行签名和解密，而不会提示您输入 Notes ID 密码。
  - 启用 Notes 联合登录
    启用 Notes 联合登录，以允许 Notes 客户端用户启动 Notes 并执行安全操作，而不会提示您输入 Notes 标识密码。
  - Nomad 联合登录
    Nomad 联合登录可避免在用户设置面向 Web 浏览器的 HCL Nomad 客户端时提示他们输入 HCL Notes 标识密码。相反，只会提示他们输入来自通过 Nomad 服务器 (SafeLinx) 访问的 SAML 身份提供者 (IdP) 的凭证；用户不需要输入其 Notes 标识密码。
    - Nomad 联合登录的先决条件
      在配置 Nomad 联合登录之前，请确保已完成以下先决条件步骤。
    - Nomad 联合登录配置组件
      配置 Nomad 联合登录涉及以下组件。请注意，除了nomadfl_prerequisites.html中所述的这些组件外，还有其他必备组件。
    - 为 Nomad 联合登录创建 IdP 配置文档
      在 idpcat.nsf 中为 Nomad 联合登录创建 IdP 配置文档。
    - 为 Nomad 联合登录使用的标识保险库服务器设置依赖方信任
      为 Nomad 联合登录创建 IdP 配置文档并导出 ServiceProvider.xml 文件后，需要为 IdP 设置依赖方信任，以将 ServiceProvider.xml 文件导入 IdP。
    - 启用 Nomad 联合登录
      设置依赖方信任后，在用于标识保险库的安全设置策略中和标识保险库文档中启用 Nomad 联合登录。
    - 将 Notes 证书导出到 deploy.nsf 文件
      启用 Nomad 联合登录后，将 Nomad 用于 Web 用户的 Notes 组织验证者导出到 deploy.nsf 数据库。
    - 对 Nomad 联合登录进行故障诊断
      如果 Nomad 联合登录工作正常，那么未设置面向 Web 浏览器的 Nomad 的用户可以连接到 Nomad 服务器，而不会在设置期间提示他们输入 Notes 标识。如果您遇到 Nomad 联合登录问题，以下部分介绍了常见问题和解决方法。
  - 启用 IWA（仅限 ADFS）
    使用集成 Windows 认证 (IWA) 时，Windows 客户端上的用户在访问公司内部网上的服务器时，系统不会提示用户输入 ADFS 登录名和密码。IWA 可用于基本 SAML 认证、Notes 联合登录和 Web 联合登录。
  - 生成证书以加密 SAML 断言
    如果断言包括的属性包含敏感个人数据（例如，社会安全号），那么贵组织可能需要将 SAML 断言加密。Domino®将整个 SAML 断言加密；无法对特定属性进行部分加密。
  - 就 SAML 和注销提醒客户端用户
    Domino®和 Notes® 不支持单注销功能，所以如果您在贵组织中配置 SAML，确保您的用户在其桌面采用安全方法以防止物理访问 Notes 和 Domino 资源。
- 使用 OpenID Connect (OIDC) 配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。客户端应用程序对用户进行认证的一种方法是使用 OpenID Connect (OIDC) 提供者。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小。

Nomad 联合登录的先决条件

在配置 Nomad 联合登录之前，请确保已完成以下先决条件步骤。

将面向 Web 浏览器的 Nomad 用户使用的 Domino 标识保险库服务器升级到 V12.0.1。此外，使用随 V12.0.1 提供的 vault.ntf、pubnames.ntf 和 idpcat.ntf 模板升级 vault.nsf、names.nsf 和 idpcat.nsf 的设计。这些模板包括用于 Nomad 联合登录的功能和字段。
设置与 AuthnRequest SAML 2.0 兼容的 SAML 身份提供者 (IdP)。Active Directory Federation Services (ADFS) 是 IdP 的一个示例，但还有其他一些身份提供者。
设置 Nomad 服务器。有关更多信息，请参阅 Nomad 管理文档中的配置 Nomad 服务器。
在 Nomad 服务器上配置 SAML 认证。完成此步骤后，面向 Web 浏览器的 Nomad 用户将通过 IdP 而不是 Nomad (SafeLinx) 服务器进行认证。有关信息，请参阅 SafeLinx 文档中的配置 SAML 认证主题。请注意，在初始面向 Web 浏览器的 Nomad 客户端设置期间，在您配置 Nomad 联合登录之前，用户仍需要使用其 Notes 标识密码登录到 Domino。
如果尚未配置 Domino 用于其他用途的 SAML 认证，请完成 Domino SAML 认证所需的以下常规步骤：
- 创建和复制 IdP 目录。
- 从 IdP 中导出元数据 .xml 文件
- （仅限 ADFS）验证以下两个字段的内容是否与每个用户匹配：
  - Domino 目录“个人”文档中的因特网地址字段。
  - 用户 ADFS 属性框中的电子邮件字段。
- （仅限 ADFS）如果 Active Directory 邮件属性中的用户地址与 Domino 目录“个人”文档的“因特网地址”字段中的地址不一致，请参阅配置目录名称映射（仅 ADFS）。
- 确保 SAML IdP 计算机和 Domino 标识保险库服务器已将其时钟同步，以便这些计算机共享当前时间的同一表示法。有关更多信息，请参阅完成 SAML 的 Domino 先决条件主题中的时钟同步部分。（忽略该主题中的其他信息；它们不适用于 Nomad 联合登录。）