对 Nomad 联合登录进行故障诊断

如果 Nomad 联合登录工作正常，那么未设置面向 Web 浏览器的 Nomad 的用户可以连接到 Nomad 服务器，而不会在设置期间提示他们输入 Notes 标识。如果您遇到 Nomad 联合登录问题，以下部分介绍了常见问题和解决方法。

消息：“HCL Nomad 将自动设置”

当在设置期间要求用户单击继续时，这是因为 Nomad 无法在浏览器中创建和访问隐藏的 IFRAME 元素。这通常是因为 IdP 中的一个或多个 HTTP 头丢失或不正确。

浏览器的控制台应该提供有关哪里出错的更多信息。

如果消息为 Refused to frame '<url>' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'，那么它按预期工作，因为不允许 IFRAME。
如果消息为 The ‘Content-Security-Policy’ is incorrect，那么需要修复 IdP 中的 Content-Security-Policy 头。
如果控制台不包含 1 或 2 的消息，那么问题可能是 IdP 中的以下一个或两个头：
- Cross-Origin-Embedder-Policy 头必须是 require-corp
- Cross-Origin-Resource-Policy 头必须是 cross-origin

如果消息为 The path of the provided scope ('/') is not under the max scope allowed ('/nomad/')，那么更新 Service-Worker-Allowed HTTP 头以允许作用域。有关 Service-Worker-Allowed 头的更多信息，请参阅 Nomad 管理文档中的托管静态文件。

注：这也将阻止配置继续。

系统提示用户输入 Notes 标识密码

这可能是由若干配置错误导致的。要确定问题，请以用户身份进行认证并输入 URL <hostname>/nomad/userConfig.json 并在浏览器中查看生成的文本。

如果缺少“deployNSF”部分：
- 检查 SafeLinx 配置以确保为 SAML 配置了该部分。有关更多信息，请参阅 SafeLinx 文档中的配置 SAML。
- 检查 deploy.nsf 是否已复制到服务器。有关更多信息，请参阅将 Notes 证书导出到 deploy.nsf 文件。
检查 Domino 服务器上的策略设置，如启用 Nomad 联合登录中所述。如果未启用策略，那么浏览器控制台会显示以下消息：
```
服务器 domino/EXAMPLE 报告了以下导致认证失败的问题：您无权在此服务器上执行此功能 
```

客户端未能从 Nomad (SafeLinx) 服务器下载 deploy.nsf 数据库

如果浏览器客户端未能下载 deploy.nsf 数据库，那么浏览器控制台日志中会显示如下消息：

5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] HTTP_Service::processNewSession() adjusted URI = '/deploy.nsf'
5980: 2892 (Jan 24 2022/12:18:23.9180)[LOG] LTPA_KeyHandler::decodeRSAKey: (return), rc=0
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] start= 'u:user\:defaultRealm/CN=<username>,O=<org>%1643059074000%'
5980: 2892 (Jan 24 2022/12:18:23.9180)[LOG] nomad-web-proxy0::processLtpaSessionKey: (entry)
5980: 2892 (Jan 24 2022/12:18:23.9180)[LOG] nomad-web-proxy0::processLtpaSessionKey - cookie's LtpaToken expires in 598 minutes
5980: 2892 (Jan 24 2022/12:18:23.9180)[HTTPAS]nomad-web-proxy0::processLtpaSessionKey: auth by LtpaToken cookie 
5980: 2892 (Jan 24 2022/12:18:23.9180)[LOG] AUTH_Server::mdmAuthenticate: (entry)
5980: 2892 (Jan 24 2022/12:18:23.9180)[LOG] HTTP_APPL: assigning traffic to Nomad application handler [<user_mail_address>]
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] getServerURL(): '/deploy.nsf'
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] getServerMapping() returns NULL
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] setupProxyConnection: appending / and trying again
5980: 2892 (Jan 24 2022/12:18:23.9180)[WARN] setupProxyConnection: failed to assign app server for URI '/deploy.nsf/', APP_ServerMgr::assignServer(): Failed to find matching server (errno=0)
file - line: APP_ServerMgr.C - 876
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] setup connection, elapsed time: 0ms
5980: 2892 (Jan 24 2022/12:18:23.9180)[WARN] nomad-web-proxy0: failed to setup back end connection, elapsed time: 0ms [<user_mail_address>]
5980: 2892 (Jan 24 2022/12:18:23.9180)[DEBUG] ConnectionFailed: URL NULL
5980: 2892 (Jan 24 2022/12:18:23.9180)[HTTPAS]httpServerResponse: HTML pkt size: 490
HTTP/1.1 404 Not Found

要更正该问题：

验证 deploy.nsf 是否已复制到 Nomad 服务器。
仅限 Windows 如果 deploy.nsf 位于缺省位置 <SafeLinx_install\saml，请将其移出安装目录，然后使用 chwg 命令来指示其新位置。

有关更多信息，请参阅将 Notes 证书导出到 deploy.nsf 文件