主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
使用安全性断言标记语言 (SAML) 来配置联合身份认证
联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
Nomad 联合登录
Nomad 联合登录可避免在用户设置面向 Web 浏览器的 HCL Nomad 客户端时提示他们输入 HCL Notes 标识密码。相反，只会提示他们输入来自通过 Nomad 服务器 (SafeLinx) 访问的 SAML 身份提供者 (IdP) 的凭证；用户不需要输入其 Notes 标识密码。
为 Nomad 联合登录使用的标识保险库服务器设置依赖方信任
为 Nomad 联合登录创建 IdP 配置文档并导出 ServiceProvider.xml 文件后，需要为 IdP 设置依赖方信任，以将 ServiceProvider.xml 文件导入 IdP。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户端的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
  - 准备 SAML 认证
    在 Domino 中配置 SAML 认证前，请完成本部分中的步骤
  - 为 Web 服务器配置基本的 SAML 认证
    Web 服务器的基本 SAML 认证允许浏览器客户端通过向 SAML 进行认证来访问 Domino Web 服务器。完成以下任务以为 Web 服务器启用基本 SAML 认证。
  - 为 Notes 或 Web 联合 SAML 登录配置标识保险库服务器
    如果要使用 Web 联合登录或 Notes 联合登录，请完成本节中的步骤。启用后，iNotes 用户和 Notes 客户端用户将分别访问标识符保险库中的 Notes 标识文件，而不会提示您输入密码。如果您的 IdP 是 ADFS，则还可以配置集成 Windows 认证 (IWA)，这样就不会提示 iNotes 用户或 Notes 客户端用户输入 IdP 名称和密码。
  - 启用 Web 联合登录
    启用 Web 联合登录以允许 iNotes 用户执行安全操作，例如对消息进行签名和解密，而不会提示您输入 Notes ID 密码。
  - 启用 Notes 联合登录
    启用 Notes 联合登录，以允许 Notes 客户端用户启动 Notes 并执行安全操作，而不会提示您输入 Notes 标识密码。
  - Nomad 联合登录
    Nomad 联合登录可避免在用户设置面向 Web 浏览器的 HCL Nomad 客户端时提示他们输入 HCL Notes 标识密码。相反，只会提示他们输入来自通过 Nomad 服务器 (SafeLinx) 访问的 SAML 身份提供者 (IdP) 的凭证；用户不需要输入其 Notes 标识密码。
    - Nomad 联合登录的先决条件
      在配置 Nomad 联合登录之前，请确保已完成以下先决条件步骤。
    - Nomad 联合登录配置组件
      配置 Nomad 联合登录涉及以下组件。请注意，除了nomadfl_prerequisites.html中所述的这些组件外，还有其他必备组件。
    - 为 Nomad 联合登录创建 IdP 配置文档
      在 idpcat.nsf 中为 Nomad 联合登录创建 IdP 配置文档。
    - 为 Nomad 联合登录使用的标识保险库服务器设置依赖方信任
      为 Nomad 联合登录创建 IdP 配置文档并导出 ServiceProvider.xml 文件后，需要为 IdP 设置依赖方信任，以将 ServiceProvider.xml 文件导入 IdP。
    - 启用 Nomad 联合登录
      设置依赖方信任后，在用于标识保险库的安全设置策略中和标识保险库文档中启用 Nomad 联合登录。
    - 将 Notes 证书导出到 deploy.nsf 文件
      启用 Nomad 联合登录后，将 Nomad 用于 Web 用户的 Notes 组织验证者导出到 deploy.nsf 数据库。
    - 对 Nomad 联合登录进行故障诊断
      如果 Nomad 联合登录工作正常，那么未设置面向 Web 浏览器的 Nomad 的用户可以连接到 Nomad 服务器，而不会在设置期间提示他们输入 Notes 标识。如果您遇到 Nomad 联合登录问题，以下部分介绍了常见问题和解决方法。
  - 启用 IWA（仅限 ADFS）
    使用集成 Windows 认证 (IWA) 时，Windows 客户端上的用户在访问公司内部网上的服务器时，系统不会提示用户输入 ADFS 登录名和密码。IWA 可用于基本 SAML 认证、Notes 联合登录和 Web 联合登录。
  - 生成证书以加密 SAML 断言
    如果断言包括的属性包含敏感个人数据（例如，社会安全号），那么贵组织可能需要将 SAML 断言加密。Domino®将整个 SAML 断言加密；无法对特定属性进行部分加密。
  - 就 SAML 和注销提醒客户端用户
    Domino®和 Notes® 不支持单注销功能，所以如果您在贵组织中配置 SAML，确保您的用户在其桌面采用安全方法以防止物理访问 Notes 和 Domino 资源。
- 使用 OpenID Connect (OIDC) 配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。客户端应用程序对用户进行认证的一种方法是使用 OpenID Connect (OIDC) 提供者。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小。

为 Nomad 联合登录使用的标识保险库服务器设置依赖方信任

为 Nomad 联合登录创建 IdP 配置文档并导出 ServiceProvider.xml 文件后，需要为 IdP 设置依赖方信任，以将 ServiceProvider.xml 文件导入 IdP。

关于此任务

步骤因 IdP 而异。以下过程提供了 Active Directory Federation Services (ADFS) 4.0 的示例。

过程

从 ADFS 中，选择启动 > 服务器管理器 > AD FS 管理。
导航到“依赖方信任”文件夹。
选择操作 > 添加依赖方信任。
单击启动以运行添加依赖方信任向导。
在欢迎下单击并选择声明感知。
在“选择数据源”窗口中，选择从文件导入有关依赖方的数据，选择从 IdP 配置文档中导出的 ServiceProvider.xml 文件。然后，单击下一步。系统将显示从 .xml 文件导入的项。您可以编辑这些项。
- 某些项不受 ADFS 支持；在这种情况下，系统会发送一条消息。
- 显示名称用于标识依赖方信任。
- 缺省许可权设置为允许所有人。
完成窗口显示消息 The relying party trust was successfully added。在该窗口中，选择选项为此应用程序配置声明发布策略然后单击关闭。
右键单击您创建的“依赖方信任”的名称，然后选择编辑声明发布策略
在“编辑声明规则”对话框中，单击添加规则。
在“选择规则模板”对话框中，对于“选择规则类型”，选择发送 LDAP 属性作为声明，然后单击下一步。
完成“配置规则”对话框：
1. 对于声明规则名称，输入 EmailAddressToNameID。
2. 对于属性存储，选择 Active Directory。
3. 对于 LDAP 属性，选择 E-Mail-Addresses。
4. 对于传出声明类型，选择名称标识。
5. 单击完成。
在“编辑声明规则”对话框中，单击应用，然后单击确定。
在 AD FS 信任关系 > 依赖方信任文件夹中：
1. 右键单击您创建的新依赖方信任，然后选择属性。
2. 单击“端点”选项卡。
3. 对于 SAML 断言使用者端点，请验证是否存在 Nomad Safelinx 服务器的 REDIRECT 绑定 URL。另外，如果有工件绑定 URL，请删除它。
  
  注：如果使用 notes.ini 设置 SAML_REDIRECT_BINDING_SIGN=0 来启用 POST 绑定，请验证 Domino 的 POST 绑定URL。

下一步做什么

完成启用 Nomad 联合登录过程。