安全性功能

Domino 12.0.2 提供了与安全相关的以下功能和增强功能。

安全性断言标记语言 (SAML)

SAML 联合登录更改
从 Domino 服务提供者发送到身份提供者的签名 AuthnRequests 的缺省格式已从 Post 绑定更改为 Redirect 绑定。
要还原为使用 Post 绑定作为缺省格式,请使用 notes.ini 设置 SAML_REDIRECT_BINDING_SIGN=0。
有关更多信息,请参阅使用安全性断言标记语言 (SAML) 来配置联合身份认证
旧签名证书的归档
对旧 IDP 签名证书的支持添加到了 Domino 服务提供者与 IdP 目录数据库中的身份提供者的依赖信任。

当 Domino 将新的 IdP xml 元数据文件导入到现有 IdP 目录文档中时,会存储新的签名证书,并且先前的签名证书(如果存在)将保存为 IdP 旧证书。

可以在证书管理选项卡 - 检查旧证书按钮中检查和除去 IdP 旧证书。

如果当前 IdP 签名证书验证失败,那么旧的签名证书将用于验证 SAML 响应和断言签名。

要了解相关信息,请参阅创建 Web 服务器 IdP 配置文档

OpenID Connect (OIDC)

Domino 12.0.2 支持两种新的联合身份登录技术,这些技术利用从 OpenID Connect (OIDC) 提供者获取的签名 JSON Web 令牌 (JWT)。

通过带有 PKCE 的 OIDC 授权码流的单点登录 (SSO)
有关此功能的信息,请参阅为 Web 用户配置基于 OIDC 的 SSO
使用 OIDC 的 HTTP Bearer 认证
请参阅使用 OIDC 提供者配置 HTTP Bearer 认证

CertMgr 更新

  • CertMgr 在 AIX 上也可用,允许它请求和管理 TLS 证书。
  • CertMgr 支持客户端方式以自动创建 certstore.nsf 副本,并可以选择复制。
  • 更新了 Domino 目录和证书库中的因特网 CA 根证书,以包括附加字段。有关详细信息,请参阅更新了因特网 CA 根证书
  • CertMgr 支持在 TLS 凭证文档中指定的目标 URL 端点上验证 TLS 证书。此验证检查证书到期情况,并在证书到期时通知管理员。有关更多信息,请参阅证书 URL 运行状况检查

管理工具更新

管理快速
AdminQ 可加快处理影响 Web 用户(例如 HCL Verse 用户)的用户标识的管理进程 (AdminP) 请求。通过 AdminQ,Web 用户无需向 HCL Notes 客户端进行认证即可完成这些请求的处理。
Domino 12.0.2 中添加了以下 TOTP 增强功能:
  • AdminQ 在域管理服务器和保险库管理服务器上自动运行。
  • 用户重命名请求不再要求标识保险库位于域管理服务器上。
  • 现在支持用户重新验证请求。
  • 现在支持用户公用密钥翻转请求。
有关更多信息,请参阅使用 AdminQ 处理 Web 用户请求
用于为现有服务器创建 MicroCA 证书的 Domino 控制台命令
对于现有服务器,Domino 控制台命令会生成 microCA 证书以替换以前的进程,即使用自签名证书为服务器控制器和基于 Java 的 Domino 控制台建立初始 SSL/TLS 连接。有关详细信息,请参阅使用 Domino 控制台为现有服务器创建 MicroCA 证书

数据库加密改进

数据库加密的新缺省选择是 128 位 AES。以前是强加密。从以下任意菜单路径设置数据库加密时,现在可以使用 256 位 AES 加密选项:
  • 文件 > 复制 > 新建副本
  • 文件 > 应用程序 > 新建副本
  • 文件 > 首选项 > 复制与同步 > 缺省值
  • 文件 > 安全性 > 用户安全性 > Notes 数据 > Notes 数据库
  • 文件 > 应用程序 > 属性 > 加密设置