Pourquoi et quand exécuter cette tâche

L'authentification SAML permet à l'utilisateur de s'authentifier auprès d'un fournisseur IdP (Identity Provider), afin qu'il puisse ensuite accéder à tout serveur en partenariat avec l'IdP. Les clients Notes et Web peuvent tous deux se servir de l'authentification SAML. L'authentification dépend d'assertions d'identité XML signées. Le résultat pour l'utilisateur est une authentification transparente et une connexion unique avec une seule authentification pour plusieurs applications et serveurs Web Domino différents ainsi que pour toute application tiers partenaire de l'IdP. Ce fournisseur détermine la méthode d'authentification unique ; il peut demander demander un mot de passe à l'utilisateur ou se servir de méthodes d'authentification sans mot de passe, comme l'authentification Integrated Windows™ (SPNEGO/Kerberos) pour les utilisateurs travaillant au sein d'un même intranet.

Une organisation peut utiliser l'authentification SAML dans trois cas. Votre organisation peut avoir besoin de certaines ou de toutes les configurations.

• Pour les utilisateur de client Notes sous Windows ou Citrix, l'authentification SAML peut mettre en oeuvre une solution de connexion unique, en général avec le fournisseur IdP configuré pour l'authentification Windows intégrée (IWA). L'authentification SAML au démarrage du client Notes est désignée sous le nom de connexion fédérée à Notes. En prime, vous n'avez pas à exécuter la tâche serveur HTTP sur le serveur de coffre Domino car la portion HTTP de SAML est gérée au sein du client Notes.
• Pour les utilisateur de client iNotes, l'authentification SAML met également en oeuvre une solution de connexion unique dans laquelle le fichier ID de l'utilisateur est téléchargé à partir du coffre d'ID Notes. L'authentification SAML pour les utilisateurs iNotes est appelée connexion fédérée Web. Vous trouverez des instructions pour la configuration de SAML pour des clients iNotes dans le Wiki Notes et Domino de l'aide sur l'administration IBM iNotes.
• Pour les utilisateurs d'autres applications sur des serveurs Web, la connexion unique basée sur SAML est une alternative à l'autre méthode de connexion unique (SSO) déjà disponible dans Domino : l'authentification de serveur multisession. SAML se révèle particulièrement utile lorsque votre environnement Domino inclut des applications Web tierces qui servent vos accès utilisateur ou si l'authentification de serveur multisession est trop limitée pour votre organisation, par exemple, si l'environnement cible nécessite la connexion SSO entre des domaines DNS.

Domino prend en charge SAML 1.1 et SAML 2.0. La version SAML que vous utilisez dépend du fournisseur d'identité choisi. SAML 2.0 est la version recommandée à moins qu'une raison particulière impose à votre organisation d'utiliser SAML 1.1. SAML 1.1 peut s'imposer pour prendre en charge la connexion unique avec des applications spécifiques.

Selon le niveau de version SAML requis pour des applications participantes, les fournisseurs d'identité suivants prenant en charge SAML peuvent faire office de fédération avec laquelle Domino est en partenariat :

Tableau 1. Versions SAML prises en charge par les fournisseurs d'identité

Fournisseur d'identité (IdP)	Version SAML
IBM TAM/TFIM (Tivoli Access Manager/Tivoli Federated Identity Manager)	SAML 1.1 ou SAML 2.0
Microsoft™ ADFS (Active Directory Federation Services)	SAML 2.0 requis

Important : L'authentification SAML inclut des horodatages. Vérifiez que les horloges des ordinateurs de l'IdP SAML et du fournisseur de services SAML Domino sont synchronisées sur la même heure. Si les horloges sont trop désynchronisées, une assertion SAML risque d'être rejetée car elle semble indiquer une heure erronée. Ceci est particulièrement problématique si la machine de l'IdP est en avance sur l'heure du serveur Domino, de sorte que Domino rejette une assertion qui semble indiquer une heure future.

Pour plus d'informations sur les paramètres du fichier NOTES.INI permettant d'éviter un décalage d'horloge, faites une recherche dans le wiki Notes et Domino, ainsi que dans les notes techniques du support IBM.

Compatibilité

Le tableau suivant répertorie les configurations client avec lesquelles SAML n'est pas ou est seulement partiellement compatible.

Tableau 2. Configurations client incompatible avec SAML

Si votre organisation utilise...	SAML n'est pas recommandé car...
ID protégé par carte à puce	Les ID utilisateur de connexion fédérée ne peuvent pas être des ID protégés par carte à puce car le coffre d'ID requis pour la connexion fédérée à Notes n'est pas utilisable avec un ID protégé par carte à puce.
Utilisateur itinérant Notes dont le fichier ID est stocké sur le serveur dans un carnet d'adresses personnel d'itinérance.	Les utilisateurs de connexion fédérée ne peuvent pas être des utilisateurs itinérants Notes dont les ID sont stockés dans un carnet d'adresses personnel d'itinérance car le coffre d'ID requis pour la connexion fédérée à Notes ne sont pas utilisables avec les ID Notes stockés dans un carnet d'adresses personnel d'itinérance.
Notes sur un périphérique USB	La connexion fédérée ne peuvent pas être utilisée avec Notes sur un périphérique USB car le coffre d'ID requis pour la connexion fédérée à Notes n'est pas utilisable avec Notes sur un périphérique USB.
ID utilisateur Notes avec plusieurs mots de passe	Les ID utilisateur de connexion fédérée ne peuvent pas être des ID utilisateur Notes avec plusieurs mots de passe car le coffre d'ID requis pour la connexion fédérée à Notes n'est pas utilisable avec des ID ayant plusieurs mots de passe.
Vérification des mots de passe basé sur le serveur pour des utilisateurs Notes	Désactivez cette fonction sur les plateformes serveur lors de la configuration de tous les utilisateurs Notes pour la connexion fédérée à Notes. La vérification des mots de passe peut être imposée pour les utilisateurs d'une connexion non fédérée, mais pas pour les utilisateur de la connexion fédérée.

Procédure

Effectuez les tâches suivantes.

1. Choix d'une fédération à configurer comme fournisseur d'identité (IdP)
Les fédérations compatibles avec Domino sont IBM Tivoli Federated Identity Manager (TFIM) et Microsoft Active Directory Federated Services (ADFS). D'autres services de fédération sont éventuellement disponibles. Voir sur le site de support IBM pour plus d'informations.

2. Configuration de SAML dans Domino
Cette procédure permet de garantir la participation d'un serveur Web Domino à la connexion unique. La norme SAML (Security Assertion Markup Language) permet à un serveur Domino d'accréditer une assertion d'authentification provenant d'un fournisseur d'identité (IdP) spécifié.

3. Prise en charge de la connexion fédérée sur le client Notes
L'authentification d'identité fédérée à l'aide de la norme SAML (Security Assertion Markup Language) exonère les utilisateurs du client Notes de l'obligation de fournir un mot de passe Notes via l'utilisation de la connexion fédérée à Notes. Les ID utilisateur doivent être stockés dans un coffre d'ID dont le serveur Domino est configuré avec des noms d'hôte pour les partenariats du fournisseur d'identité (IdP). Le contenu des fichiers ID des utilisateurs du client Notes est stocké en mémoire sur le client une fois téléchargé depuis le coffre d'ID.

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide