自动生成证书以加密 SAML 断言
您可以生成证书,用于从 IdP 配置文档自动加密 SAML 断言。
关于此任务
从服务器创建证书,该证书将加密 Domino 中的 SAML 断言。证书创建步骤运行代理程序,以在您单击按钮的服务器的服务器标识内创建新证书。确保使用的 idpcat.nsf 副本位于要添加新证书的服务器标识的服务器上。对于使用 Web 的基本 SAML 认证,请连接到 Domino Web 服务器上 idpcat.nsf 副本。
对于有权访问标识符保险库中 Notes 标识的 Web 用户(Web 联合登录),您需要两个 idpcat.nsf 文档。一个文档用于向邮件服务器进行 SAML 认证;对于此文档,打开邮件服务器上的 idpcat.nsf 副本。第二个 idpcat 文档用于访问标识符保险库以允许安全邮件操作;对于此文档,打开标识符保险库服务器上的 idpcat.nsf 副本。
对于 Notes 用户(Notes 联合登录),请从标识符保险库服务器创建证书。
如果服务器标识文件不受密码保护并且您想要在服务器标识文件中创建新的因特网证书,那么可以使用本过程。否则,请遵循手动生成证书的过程。
要完成此任务,您必须被列在服务器文档的完全访问权管理员 > 管理员 > 签署或运行不受限制的方法和操作中(或属于其中一个组)。
使用 IdP 配置文档中的创建 SP 证书按钮自动生成证书。
注: 请先完成本过程,然后再使用 IdP 配置文档中的导出 XML 按钮将配置导出到 ServiceProvider.xml 文件。然后,证书会自动包含在您导入到 IdP 的 Domino 元数据 .xml 文件 (ServiceProvider.xml) 中。
过程
- 打开 idpcat.nsf 中的 Web 服务器 IdP 配置文档或标识符保险库服务器 IdP 配置文档。请在您要生成证书的服务器上打开。
- 单击“证书管理”选项卡。
-
单击创建 SP 证书。在创建公司证书提示中,输入您的公司名称并单击确定,以将名称添加到公司名称字段。
注:
- 输入 idpcat.nsf 中没有其他 IdP 配置文档使用的公司名称。如果在多个 IdP 配置文档中使用了一个公司名称,那么所有这些 IdP 配置文档都不起作用。
- 创建证书时,Domino® 会在“公司名称”字段中的字符串前附加“CN=”,并将此名称用作证书主题。在导入元数据文件之后,该名称可能显示在 IdP 配置中。
-
在 Domino URL 字段中,输入字符串以标识 Domino® 服务器的 URL 中的标准 DNS 名称。
例如,输入:
此字段中的字符串由 IdP 用作 URL 的起始部分,该 URL 用于将用户的 SAML 断言发送回 Domino®。https://your_SAML_service_provider_hostname注: 此主机名不得包含vault,即使其包含在“基本”选项卡上的服务提供者标识中。注: 通常,您可以重复在基本选项卡上的服务提供者标识字段中输入的字符串。但是,如果您要设置同时用于 Notes® 联合登录与 iNotes® Web 联合登录的标识符保险库文件的合作伙伴关系,则请改为在 URL 中使用 iNotes® 服务器的 Web 地址的标准 DNS 名称(DNS 主机名或因特网站点名称)。例如:https://dom1.renovations.com。