SÉCURISATION
Pourquoi et quand exécuter cette tâche
Si vous configurez une connexion Notes fédérée, vous devez configurer un partenariat TFIM avec le serveur du coffre d'ID Notes. Bien que le serveur du coffre d'ID ne doive pas nécessairement être configuré en tant que serveur HTTP, le fichier ID du serveur de coffre d'ID doit, dans la plupart des configurations SAML 2.0, contenir un certificat Internet.
Conseil : Si vous configurez le partenariat IdP pour le chiffrement des assertions, la fédération doit être de niveau SAML 2.0 et la syntaxe de la clé du certificat Internet utilisé pour le partenariat avec le serveur Domino doit être définie pour autoriser le chiffrement.
Pour la plupart des configurations SAML 2.0, le fichier ID du serveur HTTP Domino (fournisseur de services SAML) doit contenir un certificat Internet. Il est recommandé de créer un nouveau certificat Internet pour la configuration SAML en utilisant pour cela soit le bouton Créer un certificat de l'application du catalogue IdP, soit la commande CERTMGMT de la console serveur. Il est possible de créer un nouveau certificat Internet par d'autres méthodes, par exemple au moyen de l'autorité de certification (AC) Domino, sous réserve que la syntaxe de la clé du certificat Internet autorise la signature. Si vous souhaitez utiliser un certificat signataire Internet existant (par exemple un certificat de protocole SSL), vous pouvez l'utiliser pour le partenariat SAML, sous réserve toutefois d'utiliser la commande CERTMGMT de la console serveur pour effectuer cette configuration.
Conseil : Si vous utilisez le certificat SSL du serveur, vous devez exporter le certificat et la clé privée à partir du fichier de jeu de clés SSL dans un fichier au format PKCS12. Ensuite, depuis la boîte de dialogue Sécurité utilisateur du client Notes, vous devez importer le certificat et la clé privée à partir du fichier PKCS12 dans le fichier ID du serveur.
Vous pouvez trouver des instructions générales et la documentation relatives à la configuration d'un partenaire TFIM dans les rubriques connexes. Si vous utilisez le certificat SSL du serveur, vous devez exporter le certificat et la clé privée à partir du fichier de jeu de clés SSL dans un fichier au format PKCS12. Ensuite, depuis la boîte de dialogue Sécurité utilisateur du client Notes, vous devez importer le certificat et la clé privée à partir du fichier PKCS12 dans le fichier ID du serveur.
Procédure
1. Lors de la création de la fédération TFIM sur l'IDP, utilisez le fichier de métadonnées Domino exporté. Voir la rubrique connexe sur la configuration d'une fédération TFIM (Tivoli Federated Identity Manager).
2. Configurez le partenariat avec les valeurs suivantes :
Remarque : Si SSL n'est pas configuré au niveau de Domino, ce paramètre contiendra http au lieu de https, par exemple, http://domino1.us.audimatique.com.
Une fois le document de configuration IdP et le partenariat du serveur Domino établis, redémarrez le serveur HTTP Domino pour que l'authentification SAML prenne effet.
Sur la console du serveur, démarrez le processus HTTP à l'aide de la commande :
load HTTP
Si le processus HTTP s'exécute déjà, tapez :
tell HTTP restart
Pour plus d'informations, recherchez dans le wiki Notes et Domino l'article consacré la configuration du serveur Domino en tant que partenaire de TFIM. La note technique IBM #1614543 des rubriques connexes fournit des liens vers ces articles.
Sujet parent : Configuration d'un serveur TFIM en tant que fournisseur d'identité (IdP) Sujet précédent : Configuration d'une fédération TFIM (Tivoli Federated Identity Manager) Sujet suivant : Enregistrement du serveur du fournisseur d'identité TFIM auprès de Domino en tant que fournisseur de services SAML
Information associée IBM Tivoli Federated Identity Manager, Version 6.2.1 : Ajout de votre partenaire Supplementary information on Security Assertion Markup Language (SAML) configuration combinations of IBM Domino and other products