SÉCURISATION
Pourquoi et quand exécuter cette tâche
La configuration de SAML implique au minimum deux tâches : spécifier l'authentification SAML dans l'annuaire Domino et créer un document qui contiendra les paramètres de configuration de SAML. Si votre organisation utilise des sites Internet, vous devez spécifier l'authentification dans le document Serveur ou dans un ou plusieurs documents de site Internet. Les paramètres de configuration de SAML sont ensuite spécifiés dans le(s) document(s) Configuration IdP de l'application Catalogue IdP (idpcat.nsf).
Ensemble, ces documents déterminent si Domino, en tant que fournisseur de service SAML, accrédite les assertions SAML provenant d'un fournisseur d'identité (IdP) donné. La clé publique de l'IdP, stockée dans le document Configuration IdP de l'application Catalogue IdP, est utilisée pour la vérification cryptographique de l'assertion SAML émise par l'IdP.
Il est recommandé d'utiliser la sécurité SSL pour votre configuration SAML ; si votre fédération est ADFS (Microsoft™ Active Directory), SSL est obligatoire.
Conseil : La configuration SAML nécessitant une configuration coopérative pour Domino et pour le fournisseur d'identité (IdP), la configuration du serveur Web Domino doit avant tout être fondamentalement viable lorsqu'elle est utilisée indépendamment d'un IdP. Par conséquent, avant de configurer SAML, veillez à configurer le serveur HTTP Domino pour l'authentification de session sur un serveur unique. Cette tâche implique la configuration de Domino pour la connexion en tant qu'utilisateur Web (par exemple, l'administrateur Domino configuré dans l'annuaire Domino lors de la configuration du serveur Domino). Une fois que cet administrateur peut se connecter en tant qu'utilisateur Domino, en explorant avec succès les adresses URL du serveur Domino, le serveur est prêt pour la configuration et l'activation de SAML.
Remarque : Lorsque votre organisation utilise SAML pour l'authentification de session, désactivez le champ Appliquer le verrouillage de l'accès Internet par mot de passe dans l'onglet Sécurité du document Configuration du serveur. De plus, désactivez tous les paramètres de gestion des mots de passe d'accès au Web (par exemple, la synchronisation du mot de passe du client Notes avec le mot de passe Internet) qui ont été activés dans les politiques de sécurité appliquées aux utilisateurs SAML. Pour plus d'informations sur le verrouillage de l'accès Internet par mot de passe, voir la rubrique connexe.
Procédure
Effectuez les tâches suivantes :
2. Création manuelle d'un fichier de métadonnées Domino Si le fichier Domino server.id a un mot de passe, vous devez, en tant qu'administrateur, créer manuellement le fichier de certification et le fichier de métadonnées SAML. Le bouton Créer un certificat de l'application Catalogue IdP n'est pas opérationnel. Vous devez également créer ce fichier manuellement si vous envisagez de vérifier les assertions SAML à l'aide d'un certificat Internet déjà existant dans le fichier ID de serveur.
3. Configuration de SAML à partir du document Site Internet (Site Web) Utilisez cette procédure lorsque vous configurez l'authentification SAML pour Domino dans un ou plusieurs documents Site Internet (Site Web).
4. Utilisation deDomino comme fournisseur de sécurité SAML avec SSL Pour des raisons de sécurité, lorsque vous configurez l'authentification d'identité fédérée sur un serveur Web Domino, il est recommandé de sécuriser le serveur avec SSL (protocole https). En outre, la configuration SSL est requise si votre IdP utilise l'ADFS. En revanche, SSL n'est pas obligatoire si le serveur Domino n'est pas configuré en tant que serveur Web, par exemple, s'il s'agit d'un serveur Domino utilisé pour héberger le coffre d'ID qui prend en charge la connexion fédérée pour le client Notes.
5. Chiffrement des assertions SAML Votre organisation peut exiger que les assertions SAML soient chiffrées si elles incluent des attributs contenant des données personnelles sensibles, par exemple, des numéros de sécurité sociale.
Tâches associées Sécurisation des mots de passe Internet Création d'un document de site Internet