完成 SAML 的 Domino 先决条件

完成 SAML 要求的以下 Domino 配置。

单点登录

如果用户将访问多个 Domino 服务器或 WebSphere 和 Domino 服务器,则需要单点登录。在配置 SAML 认证之前,请配置单点登录并测试其是否有效。最佳做法是使用多服务器会话认证,而不是单服务器会话认证。有关更多信息,请参阅 基于会话的多服务器认证(单点登录)

TLS 证书

如果用户需要安全的 HTTPS 连接来访问 Domino 服务器,或者如果您有移动式客户端,那么在 Domino Web 服务器上配置有效的 TLS 证书。证书应从认证中心 (CA) 生成,而不应为自签名证书; 目前大多数浏览器不支持自签名证书。有关更多信息,请参阅使用证书管理器管理 TLS 证书
注: 如果仅使用 Notes 联合登录,而不使用基本的 Web SAML 认证或 Web 联合登录,则 Domino 服务器上不需要 TLS 证书。使用 Notes 联合登录时,Notes 客户端和 ADFS 服务器都不会通过 HTTPS 连接到 Domino 服务器。

安全性设置

配置以下安全性设置:
  • 在服务器配置文档的“安全性”选项卡上禁用强制执行因特网密码锁定字段。
  • 禁用已在分配给 SAML 用户的安全策略中启用的任何 Web 密码管理设置(例如将 Notes® 客户端密码与因特网密码同步)。

Domino Web 服务器设置(推荐)

因为 SAML 配置要求协调 Domino® 和身份提供程序 (IdP) 的配置,所以 Domino® Web 服务器配置在独立于 IdP 使用时应该首先基本上稳定。因此,在配置 SAML 之前,请考虑设置 Domino® HTTP 服务器以进行单服务器会话认证。该任务包括配置 Domino® 以作为 Web 用户登录(例如,在 Domino® 服务器设置期间,已在 Domino® 目录中配置的 Domino® 管理员)。作为此管理员,您可以作为 Domino® 用户登录之后,在 Domino® 服务器上成功浏览到 URL,该服务器准备好进行 SAML 配置和启用。

时钟同步

重要: SAML 认证包括时间戳记。确保 SAML IdP 计算机和 Domino® SAML 服务提供程序计算机已将其时钟同步,以便这些计算机共享当前时间的同一表示法。如果时钟不同步程度过大,那么可能拒绝 SAML 断言,因为断言似乎具有无效的时间。如果 IdP 机器时间早于 Domino® 服务器时间,这会尤其成问题,这样 Domino® 将拒绝似乎指定了将来时间的断言。
有关可避免时钟偏差的 NOTES.INI 设置信息,请参阅 Notes 和 Domino Wiki 中的以下文章: