主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
使用安全性断言标记语言 (SAML) 来配置联合身份认证
联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
准备 SAML 认证
在 Domino 中配置 SAML 认证前，请完成本部分中的步骤
准备身份提供程序
在为 Domino 配置 SAML 联合身份认证之前，请准备您的身份提供程序 (IdP)。
准备 Active Directory Federation Services (ADFS)
如果您的 IdP 是 Microsoft™ Active Directory Federation Services (ADFS)，请完成以下步骤以准备将 ADFS 与 Domino 一起使用。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户端的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
  - 准备 SAML 认证
    在 Domino 中配置 SAML 认证前，请完成本部分中的步骤
    - 准备身份提供程序
      在为 Domino 配置 SAML 联合身份认证之前，请准备您的身份提供程序 (IdP)。
      - 准备 Active Directory Federation Services (ADFS)
        如果您的 IdP 是 Microsoft™ Active Directory Federation Services (ADFS)，请完成以下步骤以准备将 ADFS 与 Domino 一起使用。
    - 完成 SAML 的 Domino 先决条件
      完成 SAML 要求的以下 Domino 配置。
    - 导入和交叉验证 IdP 因特网证书
      当使用 SAML 为联合登录配置 Notes 客户端时，这些客户端必须信任身份提供者 (IdP) 使用的证书。将 IdP TLS 证书导入 Domino 目录并对其进行交叉验证。
    - 创建和复制 IdP 目录
      创建 IdP 目录 (idpcat.nsf)，并将其复制到任何参与 SAML 联合认证的服务器。如果要启用 Web 联合登录、Notes 联合登录或 Nomad 联合登录，也请将其复制到标识保险库服务器。
    - 从 IdP 中导出元数据 .xml 文件
      从身份提供程序 (IdP) 中导出元数据 .xml 文件。该文件包含有关能使 Domino 从中接受 SAML 断言。
  - 为 Web 服务器配置基本的 SAML 认证
    Web 服务器的基本 SAML 认证允许浏览器客户端通过向 SAML 进行认证来访问 Domino Web 服务器。完成以下任务以为 Web 服务器启用基本 SAML 认证。
  - 为 Notes 或 Web 联合 SAML 登录配置标识保险库服务器
    如果要使用 Web 联合登录或 Notes 联合登录，请完成本节中的步骤。启用后，iNotes 用户和 Notes 客户端用户将分别访问标识符保险库中的 Notes 标识文件，而不会提示您输入密码。如果您的 IdP 是 ADFS，则还可以配置集成 Windows 认证 (IWA)，这样就不会提示 iNotes 用户或 Notes 客户端用户输入 IdP 名称和密码。
  - 启用 Web 联合登录
    启用 Web 联合登录以允许 iNotes 用户执行安全操作，例如对消息进行签名和解密，而不会提示您输入 Notes ID 密码。
  - 启用 Notes 联合登录
    启用 Notes 联合登录，以允许 Notes 客户端用户启动 Notes 并执行安全操作，而不会提示您输入 Notes 标识密码。
  - Nomad 联合登录
    Nomad 联合登录可避免在用户设置面向 Web 浏览器的 HCL Nomad 客户端时提示他们输入 HCL Notes 标识密码。相反，只会提示他们输入来自通过 Nomad 服务器 (SafeLinx) 访问的 SAML 身份提供者 (IdP) 的凭证；用户不需要输入其 Notes 标识密码。
  - 启用 IWA（仅限 ADFS）
    使用集成 Windows 认证 (IWA) 时，Windows 客户端上的用户在访问公司内部网上的服务器时，系统不会提示用户输入 ADFS 登录名和密码。IWA 可用于基本 SAML 认证、Notes 联合登录和 Web 联合登录。
  - 生成证书以加密 SAML 断言
    如果断言包括的属性包含敏感个人数据（例如，社会安全号），那么贵组织可能需要将 SAML 断言加密。Domino®将整个 SAML 断言加密；无法对特定属性进行部分加密。
  - 就 SAML 和注销提醒客户端用户
    Domino®和 Notes® 不支持单注销功能，所以如果您在贵组织中配置 SAML，确保您的用户在其桌面采用安全方法以防止物理访问 Notes 和 Domino 资源。
- 使用 OpenID Connect (OIDC) 配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。客户端应用程序对用户进行认证的一种方法是使用 OpenID Connect (OIDC) 提供者。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小。

准备 Active Directory Federation Services (ADFS)

如果您的 IdP 是 Microsoft™ Active Directory Federation Services (ADFS)，请完成以下步骤以准备将 ADFS 与 Domino 一起使用。

关于此任务

以下步骤均基于 ADFS 4.0，如果使用较早版本，可能会有所不同。

过程

验证您是否满足以下要求：
- 安装并配置了以下任一版本的 ADFS：
  - 2.0 （随 Windows Server 2008 R2 一起提供）
  - 3.0 （随 Windows Server 2012 R2 一起提供）
  - 4.0 （随 Windows Server 2016 一起提供）
- 由认证中心 (CA) 签名的 ADFS 服务器上的安全套接字层 (SSL) 证书。CA 根证书应通过域策略部署到客户端，这是 ADFS 的最佳做法。
- 除非具有 Active Directory 信任关系，否则以下组件必须位于同一 Active Directory 域中：
  - ADFS 服务器
  - 用户记录
  - 用户从其中登录的客户端计算机。（仅集成 Windows™ 认证）
验证 ADFS 服务器是否可运行。相关步骤，请参阅 Microsoft 文章验证联合服务器是否可运行。
请转到 https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx，并测试用户是否可登录。
- 如果看到错误此页面无法显示，请在页面中启用 IdP 签名：
  1. 在 ADFS 服务器上的 Windows PowerShell 中，运行以下命令：
```
Get-AdfsProperties
```
  2. 查看输出中的 EnableIdpInitiatedSignonPage 行是否为 False：
```
EnableIdpInitiatedSignonPage    :False
```
  3. 如果值为 False，请运行以下命令将其设置为 True：
```
set-ADfsProperties -EnableIdPInitiatedSignonPage $true
```
  4. 运行以下命令以确认更改：
```
Get-AdfsProperties
```
  5. 重新启动 ADFS 服务。
验证以下两个字段的内容是否与每个用户匹配：
- Domino 目录“个人”文档中的因特网地址字段。
- 用户 ADFS 属性框中的电子邮件字段。
可选： 如果您将使用集成 Windows 认证，那么可能需要在浏览器中启用它。有关更多信息，请参阅为集成 Windows 认证配置浏览器。

注：用户登录名与其电子邮件地址不一样，尽管它们看起来像电子邮件地址。