Aide d'IBM Domino 9.0.1 Social Edition Administrator

SÉCURISATION

Création d'un document Configuration de connexion unique Web
Le document de configuration de connexion unique Web est un document de configuration au niveau du domaine stocké dans l'annuaire IBM® Domino. Ce document, qui devrait être répliqué à tous les serveurs Domino qui participent à la connexion unique dans le domaine, est chiffré pour les serveurs et les administrateurs participants et contient une clé secrète partagée par les serveurs pour la vérification des données d'identification des utilisateurs.

Pour créer un document Configuration de connexion unique Web si vous utilisez les sites Internet

Avant de commencer

Prenez soin d'avoir créé un document de site Web et activé l'utilisation des documents de site Internet dans le document serveur.

Assurez-vous également que le document de site de votre client possède un serveur hôte/messagerie défini sur un serveur dans le même domaine que celui des serveurs participant à la connexion unique. Ceci vous garantit que toutes les clés publiques des serveurs participants sont disponibles lorsque le document de connexion unique est chiffré.

Procédure

1. Dans Domino Administrator, cliquez sur Fichiers et ouvrez l'annuaire Domino du serveur (généralement, NAMES.NSF).

2. Sélectionnez la vue Sites Internet.

3. Cliquez sur Créer configuration Web SSO.

4. Dans le document, cliquez sur Clés.

5. Initialisez la configuration de connexion unique Web avec la clé secrète partagée de l'une des deux façons suivantes :

Choisissez Domino uniquement (aucun serveur IBM WebSphere participant à la connexion unique), puis sélectionnez Créer la clé Domino SSO. Si vous choisissez cette option, n'exécutez pas l'étape 6, mais passez plutôt à l'étape 7.
Choisissez Domino et WebSphere (connexion unique avec WebSphere), puis passez à l'étape 6.

6. Renseignez le reste du document comme suit :

Tableau 1. Champs Domino et Configuration SSO WebSphere

Champ	Action
Nom de la configuration	Entrez le nom de la configuration de connexion unique en tenant compte des considérations suivantes : Si vous créez plusieurs documents Configuration de connexion unique Web, veillez à leur attribuer chacun un nom unique. Les documents de connexion unique Web sont recherchés par nom et si plusieurs documents portent le même nom, les configurations de connexion unique ne fonctionnent pas bien. En revanche, la création de plusieurs documents de connexion unique peut uniquement fonctionner dans certains cas. Nombre de documents de connexion unique ne sont pas reconnus par tous les protocoles. Par exemple, l'utilisation de la connexion unique avec des agents Java™ et d'autres composants utilisant les classes d'arrière-plan Java locales ne fonctionnera pas si vous optez pour un autre nom que le nom par défaut LtpaToken. Si la configuration de connexion unique concerne un environnement mixte incluant des serveurs de version 5.0x, le nom de la configuration doit être LtpaToken puisque les serveurs de version 5.0x fonctionnent uniquement avec ce nom de configuration.
Principal	(Obligatoire) Entrez le nom de l'organisation. Il doit correspondre au nom de l'organisation du site Web correspondant. Le document de connexion unique apparaît dans la vue Sites Internet, à côté des documents Site Web.
Domaine DNS	(Obligatoire) Entrez le domaine DNS (par exemple, .audimatique.com) pour lequel les jetons sont générés. Les serveurs activés pour la connexion unique doivent tous appartenir au domaine DNS défini. Lors de la saisie du domaine DNS, assurez-vous que le point à insérer au début a bel et bien été tapé. Par exemple, n'entrez pas `audimatique.com`, mais `.audimatique.com`. Si le domaine de connexion unique inclut des serveurs WebSphere, WebSphere traite le domaine DNS en tenant compte des majuscules et des minuscules. Assurez-vous alors que la valeur de domaine DNS respecte la casse appropriée.
Mapper les noms dans les jetons LTPA	Activez cette option pour mapper le nom d'utilisateur affiché dans un jeton LTPA créé par Domino au nom censé apparaître pour les serveurs WebSphere de connexion unique. Vous devez activer ce paramètre si vous disposez d'un environnement Domino et WebSphere mixte et si, dans ce cas, Domino et WebSphere ne partagent pas le même annuaire. N'activez pas cette option si vous souhaitez que les jetons LTPA créés par Domino contiennent en permanence le nom distinctif Domino de l'utilisateur.
Noms de serveurs Domino	Entrez les noms des serveurs Domino qui participeront à la connexion unique (par exemple, server1/renovations, server2/renovations). Ce document sera chiffré pour le créateur du document, les membres des champs Propriétaires et Administrateurs et les serveurs spécifiés dans le champ Noms du serveur Domino. Les groupes, les caractères génériques et les noms des serveurs WebSphere ne sont pas autorisés dans ce champ. Seuls les serveurs Domino peuvent être répertoriés en tant que serveurs participants dans le champ Noms de serveur. Remarque : Il existe une limite de taille de 64 Ko dans ce champ. Un message d'erreur apparaît lorsque la limite est atteinte, par exemple lorsque les noms de plusieurs centaines de serveurs sont entrés. Il est recommandé de créer plusieurs documents Configuration de connexion unique Web si cette limite est atteinte.
Intégration de connexion unique Windows™	Activez cette option pour permettre aux serveurs Domino d'utiliser la connexion unique Windows pour les clients Web.
Nom de cookie personnalisé de jeton Ltpa	Si vous ne vous servez pas du nom de cookie de navigateur par défaut `LtpaToken`, fournissez un nom personnalisé Domino à utiliser avec le cookie de navigateur. Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas `LtpaToken`, cette option ne s'affiche pas. Conseil : Ce nom personnalisé est utile en matière de compatibilité avec IBM WebSphere Portal. Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie à 128 caractères.
Nom de cookie personnalisé Ltpa Token2	Si vous ne vous servez pas du nom de cookie de navigateur par défaut `LtpaToken2`, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur. Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas `LtpaToken2`, cette option ne s'affiche pas. Conseil : Ce nom personnalisé est utile en matière de compatibilité avec IBM WebSphere Portal. Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.
Domaine LDAP	La valeur de ce champ est lue à partir du fichier de clés WebSphere. Ne modifiez ce champ que si le support IBM vous demande de le faire.
Expiration (minutes)	Spécifiez la période (en minutes) pendant laquelle le jeton est valide. Cette période débute au moment de l'émission du jeton. Le jeton est valide uniquement pendant le nombre de minutes spécifié. La valeur par défaut est de 30 minutes. Remarque : Si un délai d'inactivité de session est défini, la session peut prendre fin (en fonction de son inactivité) à une heure antérieure à l'heure d'expiration spécifiée.
Délai d'inactivité d'une session	(Configuration de connexion unique pour Domino uniquement) Activez cette option pour mettre fin à la session de connexion unique d'un utilisateur si cette session est inactive pendant une durée déterminée, puis spécifiez un délai d'expiration. Remarque : Si vous choisissez d'importer les clés LTPA WebSphere, cette option ne s'affiche pas dans le document Configuration de connexion unique Web.
Délai minimal (minutes)	Cette option s'affiche lorsque vous activez l'option Délai d'inactivité d'une session. Définissez la durée, en minutes, pendant laquelle une session utilisateur doit être inactive avant d'expirer.

Si vous avez importé des clés LTPA Websphere, renseignez les champs ci-dessous :

Tableau 2. Champs de la clé LTPA Websphere

Champ Action

Format de jeton Choisissez l'une des options suivantes :

LtpaToken (compatible avec Domino 7 et les versions antérieures)
LtpaToken2 (incompatible avec Domino 7 et les versions antérieures, mais offre des améliorations de sécurité SSO)
LtpaToken et LtpaToken2 (compatibles avec toutes les versions de Domino)

Remarque : Le format LtpaToken2 a été introduit dans l'édition 5.1.1 d'IBM WebSphere Server. La prise en charge de ce jeton améliore la sécurité pour les déploiements de connexion unique.

Domaine LDAP Spécifie le domaine LDAP au format suivant :

nom-hôte-qualifié-complet:port

Cette zone doit être la même pour tous les serveurs participants pour que le mécanisme des jetons LTPA fonctionne.

Version LTPA La valeur de ce champ est lue à partir du fichier de clés WebSphere.

7. Enregistrez le document Configuration de connexion unique Web. Un message sur la barre d'état indique le nombre de serveurs et de personnes pour lesquels le document a été chiffré. Le(s) document(s) s'affiche(nt) dans la vue Sites Internet.

Pour créer un document Configuration de connexion unique Web si vous utilisez la vue Configurations de serveur Web

Pourquoi et quand exécuter cette tâche

Utilisez cette procédure pour créer un document Configuration de connexion unique Web si votre serveur est un serveur version 5.0x ou si vous utilisez Domino 6 ou version ultérieure, mais n'utilisez pas les documents Site Web pour gérer vos sites Web.

Procédure

1. Dans Domino Administrator, cliquez sur Fichiers et ouvrez l'annuaire Domino du serveur (généralement, NAMES.NSF).

2. Sélectionnez la vue Serveurs.

3. Cliquez sur Créer configuration Web SSO.

4. Dans le document de configuration de connexion unique Web, cliquez sur Clés.

5. Initialisez la configuration de connexion unique Web avec la clé secrète partagée de l'une des deux façons suivantes :

Choisissez Domino uniquement (aucun serveur WebSphere participant à la connexion unique), puis sélectionnez Créer la clé Domino SSO. Si vous choisissez cette option, n'exécutez pas l'étape 6, mais passez plutôt à l'étape 7.
Choisissez Domino et WebSphere (connexion unique avec WebSphere), puis passez à l'étape 6.

6. Renseignez le reste du document comme suit :

Tableau 3. Champs Domino et Configuration SSO WebSphere

Champ	Action
Nom de la configuration	Entrez le nom de la configuration de connexion unique en tenant compte des considérations suivantes : Si vous créez plusieurs documents Configuration de connexion unique Web, veillez à leur attribuer chacun un nom unique. Les documents de connexion unique Web sont recherchés par nom et si plusieurs documents portent le même nom, les configurations de connexion unique ne fonctionneront pas bien. En revanche, la création de plusieurs documents de connexion unique peut uniquement fonctionner dans certains cas. Nombre de documents de connexion unique ne sont pas reconnus par tous les protocoles. Par exemple, l'utilisation de la connexion unique avec des agents Java et d'autres composants utilisant les classes d'arrière-plan Java locales ne fonctionnera pas si vous optez pour un autre nom que le nom par défaut LtpaToken. Si la configuration de connexion unique concerne un environnement mixte incluant des serveurs de version 5.0x, le nom de la configuration doit être LtpaToken puisque les serveurs de version 5.0x fonctionnent uniquement avec ce nom de configuration.
Principal	Laissez ce champ vide et ce document apparaît dans la vue Configurations Web.
Domaine DNS	(Obligatoire) Entrez le domaine DNS (par exemple, .audimatique.com) pour lequel les jetons sont générés. Les serveurs activés pour la connexion unique doivent tous appartenir au même domaine DNS. Lors de la saisie du domaine DNS, assurez-vous que le point à insérer au début a bel et bien été tapé. Par exemple, n'entrez pas `audimatique.com`, mais `.audimatique.com`. Si le domaine de connexion unique inclut des serveurs WebSphere, WebSphere traite le domaine DNS en tenant compte des majuscules et des minuscules. Assurez-vous alors que la valeur de domaine DNS respecte la casse appropriée.
Mapper les noms dans les jetons LTPA	Activez cette option pour mapper le nom d'utilisateur affiché dans un jeton LTPA créé par Domino au nom censé apparaître pour les serveurs WebSphere de connexion unique. Vous devez activer ce paramètre si vous disposez d'un environnement Domino et WebSphere mixte et si, dans ce cas, Domino et WebSphere ne partagent pas le même annuaire. N'activez pas cette option si vous souhaitez que les jetons LTPA créés par Domino contiennent en permanence le nom distinctif Domino de l'utilisateur.
Noms de serveurs Domino	Entrez les noms des serveurs Domino qui participeront à la connexion unique (par exemple, server1/renovations, server2/renovations). Ce document sera chiffré pour le créateur du document, les membres des champs Propriétaires et Administrateurs et les serveurs spécifiés dans le champ Noms du serveur Domino. Remarque : Les groupes, les caractères génériques et les noms des serveurs WebSphere ne sont pas autorisés dans ce champ. Seuls les serveurs Domino peuvent être répertoriés en tant que serveurs participants dans le champ Noms de serveur.
Intégration de connexion unique Windows	Activez cette option pour permettre aux serveurs Domino d'utiliser la connexion unique Windows pour les clients Web.
Nom de cookie personnalisé de jeton Ltpa	Si vous ne vous servez pas du nom de cookie de navigateur par défaut `LtpaToken`, fournissez un nom personnalisé Domino à utiliser avec le cookie de navigateur. Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas `LtpaToken`, cette option ne s'affiche pas. Conseil : Ce nom personnalisé est utile en matière de compatibilité avec IBM WebSphere Portal. Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.
Nom de cookie personnalisé Ltpa Token2	Si vous ne vous servez pas du nom de cookie de navigateur par défaut `LtpaToken2`, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur. Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas `LtpaToken2`, cette option ne s'affiche pas. Conseil : Ce nom personnalisé est utile en matière de compatibilité avec IBM WebSphere Portal. Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.
Expiration (minutes)	Spécifiez la période (en minutes) pendant laquelle le jeton est valide. Cette période débute au moment de l'émission du jeton. Le jeton est valide uniquement pendant le nombre de minutes spécifié. La valeur par défaut est de 30 minutes. Remarque : Si un délai d'inactivité de session est défini, la session peut prendre fin (en fonction de son inactivité) à une heure antérieure à l'heure d'expiration spécifiée.
Délai d'inactivité d'une session	Activez cette option pour mettre fin à la session de connexion unique d'un utilisateur si cette session est inactive pendant une durée déterminée, puis spécifiez un délai d'expiration. Remarque : Si vous choisissez d'importer les clés LTPA WebSphere, cette option ne s'affiche pas dans le document Configuration de connexion unique Web.
Délai minimal (minutes)	Cette option s'affiche lorsque vous activez l'option Délai d'inactivité d'une session. Définissez la durée, en minutes, pendant laquelle une session utilisateur doit être inactive avant d'expirer.

Si vous avez importé des clés LTPA Websphere, renseignez les champs ci-dessous :

Tableau 4. Champs de la clé LTPA Websphere

Champ Action

Format de jeton Choisissez l'une des options suivantes :

LtpaToken (compatible avec Domino 7 et les versions antérieures)
LtpaToken2 (incompatible avec Domino 7 et les versions antérieures, mais offre des améliorations de sécurité SSO)
LtpaToken et LtpaToken2 (compatibles avec toutes les versions de Domino)

Remarque : Le format LtpaToken2 a été introduit dans l'édition 5.1.1 d'IBM WebSphere Server. La prise en charge de ce jeton améliore la sécurité pour les déploiements de connexion unique.

Domaine LDAP Spécifie le domaine LDAP au format suivant :

<nom-hôte-qualifié-complet>:<port>

Cette zone doit être la même pour tous les serveurs participants pour que le mécanisme des jetons LTPA fonctionne.

Version LTPA La valeur de ce champ est lue à partir du fichier de clés WebSphere.

Remarque :

Si vous recevez des messages sur le client indiquant qu'une clé particulière est introuvable pour le chiffrement du document, vous devez peut-être modifier le document Site de votre client pour qu'il s'oriente sur un serveur de messagerie et d'annuaire différent, possédant toutes les clés publiques comprises dans les documents Serveur et Personne.

Tâches associées
Configuration du mappage du nom d'utilisateur dans le jeton LTPA connexion unique
Authentification liée à la session sur plusieurs serveurs (connexion unique)
Configuration de la connexion unique Windows pour les clients Web

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide

Tout le contenu de l'aide

Champ	Action
Format de jeton	Choisissez l'une des options suivantes : LtpaToken (compatible avec Domino 7 et les versions antérieures) LtpaToken2 (incompatible avec Domino 7 et les versions antérieures, mais offre des améliorations de sécurité SSO) LtpaToken et LtpaToken2 (compatibles avec toutes les versions de Domino) Remarque : Le format LtpaToken2 a été introduit dans l'édition 5.1.1 d'IBM WebSphere Server. La prise en charge de ce jeton améliore la sécurité pour les déploiements de connexion unique.
Domaine LDAP	Spécifie le domaine LDAP au format suivant : nom-hôte-qualifié-complet`:`port Cette zone doit être la même pour tous les serveurs participants pour que le mécanisme des jetons LTPA fonctionne.
Version LTPA	La valeur de ce champ est lue à partir du fichier de clés WebSphere.