Authentification par mot de passe
Découvrez comment activer l'authentification par mot de passe sur un serveur Domino ou un site Internet pour une sécurité améliorée.
Avant que tu commences
- Créez un nouveau site Internet si vous le souhaitez
-
Si vous souhaitez activer l'authentification par mot de passe pour un nouveau nom d'hôte DNS, par exemple à des fins de test, créez un nouveau site Internet pour ce nouveau nom d'hôte. Pour plus de détails, voir Présentation des documents de sites Internet sur les serveurs Domino .
- Activer l'authentification de session
- Activez l'authentification de session dans le document serveur ou le document Site Internet pour les sites Web concernés.Dans l'onglet Moteur Web Domino , définissez la liste déroulante "Authentification de session" sur Serveur unique (DomAuthSessId) ou sur Serveurs multiples (SSO) (LTPAToken). Notez que « SAML » n'est pas réellement une forme d'authentification de session bien qu'il figure dans le menu déroulant d'authentification de session.
Pour plus d'informations sur l'authentification de session multi-serveur, consultez Authentification basée sur une session multi-serveur (authentification unique) .
À propos de cette tâche
- L'authentification par mot de passe est uniquement prise en charge sur les serveurs Domino sous Linux 64 bits ou Windows 64 bits.
- La fonctionnalité de mot de passe dans les navigateurs Web évolue et s'améliore rapidement. Pour une expérience utilisateur optimale, nous vous recommandons d'utiliser les navigateurs Web actuels.
- MacOS 10 et versions antérieures ne prennent pas en charge les mots de passe. MacOS 11 (et Safari 16.1) sont des versions minimales.
Procédure
- Créez la base de données de mots de passe.
Créez passkey.nsf à partir du modèle avancé passkey.ntf.
Par défaut, cette base de données doit se trouver à la root du répertoire de données et doit avoir un nom de fichier entièrement en minuscules « passkey.nsf ». Le nom et l'emplacement de passkey.nsf peuvent être modifiés à l'aide du fichier PASSKEY_DATABASE notes.ini, qui doit être défini sur un chemin relatif au répertoire de données du serveur Domino. Par exemple, PASSKEY_DATABASE=test\mypasskeys.nsf obligerait Domino à ouvrir mypasskeys.nsf dans le sous-répertoire test sous le répertoire de données.
Nous recommandons de limiter l'accès à cette base de données, en particulier l'accès en écriture, et de chiffrer cette base de données, sauf si la fonctionnalité de symétrie de cluster est utilisée.
Si l'authentification par mot de passe est souhaitée pour plusieurs serveurs Domino 14, passkey.nsf devra être régulièrement répliqué entre ces serveurs afin qu'une clé de passe créée sur un serveur Domino puisse être utilisée pour un autre serveur.
- Facultatif : personnalisez le nom de la partie de confiance du serveur Domino.
Lors de la création, chaque clé d'accès est limitée à une seule partie utilisatrice (RP) et ne peut être utilisée que par les origines Web appartenant à cette RP. Les RP ne peuvent pas détecter les propriétés ni même l'existence de mots de passe étendus à différents RP. Cette portée est effectuée via un identifiant de partie de confiance (ID RP) basé sur le nom de domaine de l'hôte - essentiellement l'origine HTTP sans le schéma ni le port. Par exemple, https://www.domino.example.com:8443 aurait un domaine effectif de www.domino.example.com . WebAuthn permet également aux RP d'utiliser un sous-domaine enregistrable de leur domaine effectif comme ID RP. Par exemple, https://www.domino.example.com:8443 peut avoir un ID RP de www.domino.example.com , domino.example.com ou example.com , mais pas .com ou login.example. com.
Par défaut, Domino utilisera le domaine effectif du site Web comme ID RP et utilisera le champ « Nom descriptif de ce site » de l'onglet Bases de la documentation du site Internet comme nom « convivial » pour le RP. Le nom convivial est affiché par les navigateurs Web dans certaines circonstances et est utilisé dans passkey.nsf lors du tri des clés d'accès par site. Si les documents du site Internet ne sont pas utilisés, le nom convivial sera vide à moins que le PASSKEY_SERVER_FRIENDLY_NAME notes.ini ne soit utilisé comme décrit ci-dessous.
Vous pouvez utiliser les variables notes.ini suivantes pour configurer Domino afin qu'il utilise un sous-domaine enregistrable pour l'ID RP, afin que les clés d'accès enregistrées sur un serveur Domino puissent être utilisées sur un autre serveur associé :Remarque : PASSKEY_SKIP_LEVEL=N et PASSKEY_DOMAIN_LEVELS=N s'excluent mutuellement.- PASSKEY_SKIP_LEVEL=N
Utilisez pour ignorer les N premières parties du domaine effectif lors de la construction de l'ID RP. Par exemple, PASSKEY_SKIP_LEVEL=1 pourrait être utilisé pour permettre à server01.domino.example.com , server02.domino.example.com et server03.domino.example.com d'utiliser tous un ID RP de domino.example.com et de partager des clés d'accès. . Si ces sites étaient hébergés sur différents serveurs Domino, alors passkey.nsf devrait être répliqué entre eux.
- PASSKEY_DOMAIN_LEVELS=N
Peut être utilisé pour utiliser uniquement les N dernières parties du domaine effectif lors de la construction de l'ID RP.
Par exemple, PASSKEY_DOMAIN_LEVELS=3 pourrait être utilisé pour permettre à server01.domino.example.com , www.mytest.domino.example.com et domino.example.com d'utiliser tous un ID RP de domino.example.com et de partager des clés d'accès. . Si ces sites étaient hébergés sur différents serveurs Domino, alors passkey.nsf devrait être répliqué entre eux.
- PASSKEY_SERVER_FRIENDLY_NAME=my_friendly_site_name
Utilisez pour changer le nom convivial du RP. Ceci est utile lorsqu'un administrateur souhaite que plusieurs documents de sites Internet partagent des clés d'accès et souhaite qu'ils soient tous perçus comme un seul site ou service.
- PASSKEY_SKIP_LEVEL=N
- Activez l’authentification par mot de passe.
Activez l'authentification par mot de passe dans la documentation du serveur ou dans le document du site Internet.
Dans la catégorie « Authentification TLS » de l'onglet Sécurité , définissez Clé d'accès (WebAuthn) sur Oui .
- Facultatif : configurez un formulaire de connexion par mot de passe à l'aide de domcfg.nsf.
Le formulaire de connexion à la session par défaut de Domino comprend un remplissage automatique par clé d'accès via l'interaction avec les champs de nom d'utilisateur ou de mot de passe et une connexion modale par clé d'accès via le bouton Se connecter avec une clé d'accès .
Si vous utilisez des formulaires de connexion personnalisés stockés dans ou basés sur domcfg.nsf (ou les formulaires de connexion par défaut de cette base de données), le modèle domcfg5.ntf inclut le formulaire $$LoginUserFormPasskey , qui contient la saisie automatique de clé d'accès et la fonctionnalité modale de clé d'accès. Ce formulaire peut être utilisé tel quel, ou la logique de ce formulaire peut être incorporée dans un formulaire de connexion personnalisé.
Pour utiliser le formulaire de connexion par mot de passe, ouvrez domcfg.nsf, cliquez sur le bouton Ajouter un mappage .
Créez ensuite un nouveau mappage de formulaire « Connexion » avec le formulaire cible défini sur « $$LoginUserFormPasskey ».
Pour plus d'informations sur la personnalisation du formulaire de connexion HTML, voir Personnalisation du formulaire de connexion HTML .
Que faire ensuite
En option, vous pouvez configurer d'autres paramètres d'authentification par clé d'accès, par exemple les mises à jour de l'heure de la dernière connexion, l'attestation, la limite d'enregistrement de la clé d'accès et la vérification de l'utilisateur. Pour plus d'informations, voir Configurations de clé d'accès facultatives .