Avant de commencer

• Procurez-vous une copie du fichier metadata.xml exporté depuis l'IdP et préparez son contenu pour importation lors de la création du document de configuration d'IdP. Vous pouvez stocker ce fichier dans tout emplacement accessible pour le client Domino Administrator.
• L'application de catalogue IdP (idpcat.nsf) doit résider sur le même serveur que le coffre des ID.
• Si l'application de catalogue IdP existe déjà, vous devez bénéficier de l'accès pour y créer des documents.
• Pour la plupart des configurations SAML 2.0, le fichier ID du serveur de coffre d'ID doit contenir un certificat Internet. Créez un nouveau certificat en utilisant au choix le bouton Créer un certificat de l'application de catalogue IDP (option recommandée), la commande certmgmt de la console serveur, ou encore l'autorité de certification Domino. Si vous disposez d'un certificat Internet existant, vous pouvez le réutiliser (la commande certmgmt show all de la commande du serveur affiche les clés de hachage de tous les certificats existants de sorte que vous pouvez dériver la clé dont vous avez besoin pour SAML).

Les paramètres de configuration SAML pour la connexion fédérée à Notes sont spécifiés dans le(s) document(s) de configuration d'IdP de l'application de catalogue IdP (idpcat.nsf). Le document de configuration d'IdP contient plusieurs champs dont les valeurs sont automatiquement fournies lorsque vous importez le fichier metadata.xml depuis l'IdP.

Important : Si le serveur Domino dispose d'un fichier server.id protégé par mot de passe, l'administrateur ne peut pas utiliser le bouton Créer un certificat décrit dans cette rubrique. Consultez plutôt la rubrique connexe Création manuelle d'un fichier de métadonnées Domino.

Remarque : Cette procédure suppose que le serveur de coffre d'ID Domino participant à la connexion fédérée à Notes n'a pas de serveur Web Domino configuré, mais votre organisation peut, au besoin, utiliser une telle combinaison.

Remarque : Pour prendre en charge la connexion fédérée à Notes, certains champs de ce document de configuration d'IdP (ID du fournisseur de services et adresse URL Domino) doivent être spécifiés à l'aide d'une chaîne qui simule l'adresse URL qui serait utilisée si le serveur de coffre d'ID était également configuré en tant que serveur Web Domino. Toutefois, cela ne signifie pas que le serveur de coffre d'ID doit réellement être configuré en tant que serveur Web Domino.

Procédure

1. A partir du client Domino Administrator, créez une application de catalogue IdP (idpcat.nsf), à l'aide du modèle de nom de fichier idpcat.ntf, ou ouvrez l'application si elle existe déjà.

ATTENTION : Si votre serveur s'exécute sous UNIX™ ou IBM® i, assurez-vous que le nom du fichier est entièrement en minuscules.

Remarque : Si l'application ipdcat.nsf est dupliquée sur d'autres serveurs SAML participants, leurs entrées seront ajoutées dans la LCA.

Remarque : Si votre organisation dispose de plusieurs documents de site Internet et que vous voulez que l'authentification SAML soit utilisée sur ces divers sites Web, créez des documents de configuration d'IdP associés distincts pour chaque site Internet participant. Pour plus d'informations, voir la rubrique connexe sur la configuration de SAML pour le document de site Internet.

Conseil : Si vous configurez un partenariat pour le coffre des ID utilisé à la fois pour la connexion fédérée Notes et la connexion Web fédérée iNotes, vous devez indiquer un nom d'hôte virtuel commençant par vault. devant l'adresse Web du serveur iNotes (nom d'hôte DNS ou nom de site Internet), et ne pas indiquer d'adresse IP dans l'entrée.

Par exemple, si le nom d'hôte DNS du serveur iNotes est dom1.renovations.com, vous devez spécifier un nom virtuel de type vault.dom1.renovations.com, sans adresse IP.

Par exemple, si l'organisation Renovations dispose d'un site de support hébergé par un tiers qui fera office de fournisseur d'identité, à l'aide d'IBM Tivoli Federated Identity Manager, l'administrateur peut accéder au site Renovations Customer Support (TFIM).

Important : SAML 2.0 est requis si votre fédération est configurée sur l'ADFS Microsoft™.

8. Dans le champ Produit de fédération, sélectionnez TFIM pour Tivoli Federated Identity Manager ou ADFS pour Microsoft Active Directory Federation Services, selon le service de fédération que vous prévoyez d'utiliser pour l'authentification SAML. La valeur par défaut est ADFS.

9. Dans le champ ID du fournisseur de services, entrez une chaîne qui identifie Domino en tant que partenaire du fournisseur de services auprès de l'IdP.

Cette chaîne est généralement identique à l'URL HTTP du serveur HTTP Domino, par exemple, http://domino1.us.audimatique.com.

Remarque : Si SSL est configuré sur Domino ou si vous utilisez l'ADFS pour l'IdP, cette chaîne doit inclure https, par exemple : https://domino1.us.audimatique.com. Si vous utilisez l'ADFS pour l'IdP, SSL est requis et vous devez inclure https dans la chaîne.

Important : Une entrée est requise dans ce champ pour pouvoir utiliser le bouton Créer un certificat de l'onglet Gestion de certificat.

Il est recommandé de laisser intactes les informations fournies par le fichier XML importé.

Remarque : Si la fédération est configurée sur l'ADFS, ce fichier peut avoir un nom légèrement différent, par exemple, FederationMetadata.xml.

Tableau 1. Champs du document de configuration d'IdP dont les valeurs sont générées à partir du fichier metadata.xml

Champ	Description
Adresse URL de service de résolution d'artefacts	Domino génère l'URL d'artefact pour le service de fédération spécifié dans le champ Produit. Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL d'artefact suivante doit être générée : https://tfim.audimatique.com/FIM/sps/samlTAM20/soap.
Adresse URL de service de connexion unique	Si les données sont disponibles dans le fichier XML importé, Domino génère l'URL de connexion pour le service de fédération spécifié dans le champ Produit. Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL de connexion suivante doit être générée : https://tfim.audimatique.com/FIM/sps/samlTAM20/logininitial. Remarque : La valeur de ce champ est un sous-ensemble de l'adresse URL escomptée de l'IdP. Le serveur Domino génère l'adresse URL complète si nécessaire.
Signature de certificat X.509	Domino importe le code du certificat à partir du fichier.
Chiffrement de certificat X.509	Domino importe le code du certificat à partir du fichier. Remarque : Ce champ s'affiche uniquement si le champ Type est défini sur SAML 2.0.
Enumération des protocoles pris en charge	Domino génère une chaîne désignant le(s) protocole(s) de la version SAML spécifiée dans le champ Type également pris en charge par l'IdP désigné. Cette chaîne fera partie des adresses URL d'authentification fournies par Domino comme fournisseur de services à l'IdP désigné dans le document de configuration. Par exemple, url.oasis.names.tc:SAML:2.0:protocol.

a. Laissez le champ) Activer la connexion unique Windows défini sur Oui si ce document IdP correspond à un IdP qui utilise l'authentification d'utilisateur de connexion unique Windows™ (SPNEGO/Kerberos). Ce champ est nécessaire à la connexion fédérée du client Notes pour que Domino sache comment configurer le navigateur intégré du client Notes.

Pour plus d'informations, recherchez dans le wiki Notes et Domino l'article consacré à la configuration d'ADFS pour l'authentification Windows intégrée (IWA). La note technique IBM #1614543 des rubriques connexes peut éventuellement fournir des liens vers ce type d'articles.

b. Dans le champ Sites de confiance, listez les noms d'hôte Web de fournisseur d'identité de confiance (IdP) qui diffèrent du nom d'hôte configuré dans l'onglet Général. Séparez les entrées par un point-virgule ou un caractère de retour chariot.

c. Laissez le champ Appliquer SSL défini sur Oui si le navigateur intégré du client Notes nécessite que les URL utilisées à partir de l'IdP lors de la séquence de connexion soient protégées par une couche SSL.

a. Renseignez le champ Nom de la société afin d'identifier le certificat dans le fichier de métadonnées Domino (idp.xml) à exporter. Utilisez n'importe quelle chaîne convenant à vos administrateurs.

Vous pouvez utiliser le nom qui désigne le serveur Domino, par exemple Domino US Renovations, ou un nom virtuel pour désigner une configuration particulière de site Internet sur le serveur Domino, par exemple, Domino East Coast US Renovations.

Conseil : Le nom ne doit pas obligatoirement correspondre à un élément de la configuration de l'IdP. Cependant, cette chaîne doit être compatible avec la syntaxe du fichier idp.xml, c'est-à-dire qu'elle ne peut pas contenir de caractères tels que des chevrons (< ou >).


b. Cliquez sur Créer un certificat. Si vous y êtes invité, enregistrez le document, revenez dans l'onglet, puis cliquez une deuxième fois sur le bouton.

Lorsque vous créez un certificat, Domino ajoute "CN=" au début de la chaîne dans le champ Nom de la société et utilise ce nom comme objet du certificat. Le nom peut être visible dans la configuration de l'IdP après importation du fichier de métadonnées.

c. Dans le champ URL Domino, entrez une chaîne pour identifier le nom DNS qualifié complet habilité dans une adresse URL du serveur Domino.

Par exemple, entrez :

https://nom-hôte_de_votre_fournisseur_de_services_SAML

L'IdP utilise la chaîne que contient ce champ comme partie initiale de l'adresse URL qui permet de renvoyer à Domino l'assertion SAML de l'utilisateur.

Remarque : Si SSL n'est pas configuré au niveau de Domino et que vous utilisez TFIM pour l'IdP, ce paramètre doit inclure http au lieu de https, par exemple : http://domino1.us.audimatique.com.

Remarque : Généralement, vous pouvez répéter la chaîne que vous avez saisie dans le champ ID du fournisseur de services sur l'onglet Général. Toutefois, si vous configurez un partenariat pour le coffre des ID utilisé à la fois pour la connexion fédérée Notes et la connexion fédérée Web iNotes, vous pouvez utiliser le nom DNS qualifié complet de l'adresse Web du serveur iNotes (nom d'hôte DNS ou nom de site Internet) dans une adresse URL. Par exemple : https://dom1.renovations.com.

Remarque : Généralement, vous pouvez répéter la chaîne que vous avez saisie dans le champ ID du fournisseur de services sur l'onglet Général. Toutefois, si vous configurez un partenariat pour le coffre des ID utilisé à la fois pour la connexion fédérée Notes et la connexion fédérée Web iNotes, vous pouvez utiliser le nom DNS qualifié complet de l'adresse Web du serveur iNotes (nom d'hôte DNS ou nom de site Internet) dans une adresse URL. Par exemple : https://dom1.renovations.com.


d. Dans le champ URL de déconnexion unique, entrez une adresse URL. Même si votre IdP ne nécessite pas ou ne prend pas en charge une déconnexion unique, vous devez entrer une adresse URL syntaxiquement correcte de sorte que le fichier de métadonnées exportées possède une syntaxe correcte. L'IdP TFIM associé à une configuration SAML 2.0 requiert qu'une URL de déconnexion unique soit spécifiée au niveau de l'IdP et dans le fichier de métadonnées Domino, même si Domino ne met pas actuellement en oeuvre de fonctionnalité de déconnexion unique SAML 2.0.

Exemple d'URL de déconnexion :

https://votre_serveur_tfim.com/sps/samlTAM20/saml20

Remarque : Ce bouton n'est visible que si une version précédemment créée du fichier idp.xml n'est pas déjà jointe.

Sujet parent : Prise en charge de la connexion fédérée sur le client Notes
Sujet précédent : Configuration de la fédération et du fournisseur d'identité SAML
Sujet suivant : Configuration du coffre d'ID pour la connexion fédérée à Notes

Tâches associées
Création manuelle d'un fichier de métadonnées Domino
Activation du serveur Web Domino pour fournir l'authentification SAML
Configuration de SAML à partir du document Site Internet (Site Web)

Information associée
Supplementary information on Security Assertion Markup Language (SAML) configuration combinations of IBM Domino and other products

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide