Avant de commencer

• Le fournisseur d'identité (IdP) que vous prévoyez d'utiliser avec le serveur Web Domino doit être configuré avant d'activer SAML sur le serveur Web Domino. Voir les rubriques connexes.
• Procurez-vous une copie du fichier metadata.xml exporté depuis le fournisseur d'identité (IdP) et préparez son contenu pour importation lors de la création du document de configuration d'IdP. Vous pouvez stocker ce fichier dans tout emplacement accessible pour le client Domino Administrator.
• Si l'application de catalogue IdP (idpcat.nsf) existe déjà, vous bénéficiez de l'accès pour y créer des documents.
• Il est recommandé d'utiliser la sécurité SSL pour votre configuration SAML ; si votre fédération est ADFS (Microsoft™ Active Directory), SSL est obligatoire.
• L'administrateur qui effectue les étapes décrites dans cette procédure de création de certificat et d'exportation de métadonnées doit être répertorié (ou appartenir à un groupe) dans le document Serveur, sous Administrateurs avec accès total, Administrateurs et Signer ou exécuter des méthodes et des opérations non restrictives.
• Le fichier idpcat.nsf ne doit pas être activé pour le verrouillage de document.

  Remarque : Si ces conditions ne sont pas remplies, les agents du fichier idpcat.nsf ne peuvent pas être utilisés pour effectuer les étapes de création de certificat et d'exportation de métadonnées. Si vous préférez réaliser ces étapes à l'aide d'une séquence de commandes dans la console du serveur Domino, voir la rubrique connexe sur la création manuelle d'un fichier de métadonnées Domino.

Le document de configuration d'IdP contient plusieurs champs dont les valeurs sont automatiquement fournies lorsque vous importez le fichier metadata.xml depuis l'IdP.

Important : Si le serveur Domino dispose d'un fichier server.id protégé par mot de passe, l'administrateur ne peut pas utiliser le bouton Créer un certificat décrit à l'étape 9 pour créer un fichier de métadonnées. A la place, voir la tâche de cette séquence de création du fichier de métadonnées Domino si le fichier server.id est protégé par mot de passe.

Important : Si vous modifiez ultérieurement un document de configuration d'IdP SAML existant ou en ajoutez un nouveau, redémarrez le processus HTTP sur le serveur Web Domino de sorte que les modifications soient prises en compte.

Remarque : L'activation de l'authentification SAML peut entraîner des résultats imprévisibles avec les flux RSS si votre organisation les utilise.

Procédure

1. A partir du client Domino Administrator, créez une application de catalogue IdP (idpcat.nsf), à l'aide du modèle de nom de fichier idpcat.ntf, ou ouvrez l'application si elle existe déjà.

Important : L'application Catalogue IdP ne peut pas posséder de titre arbitraire. Vous devez obligatoirement lui attribuer le titre idpcat. Dans le système de fichiers, l'application doit porter le nom de fichier idpcat.nsf.

ATTENTION : Si votre serveur s'exécute sous UNIX™, assurez-vous que le nom du fichier est entièrement en minuscules.

Remarque : Si l'application ipdcat.nsf est dupliquée sur d'autres serveurs SAML participants, leurs entrées seront ajoutées dans la LCA.

Remarque : Si votre organisation dispose de plusieurs documents de site Internet et que vous voulez que l'authentification SAML soit utilisée sur ces divers sites Web, créez des documents de configuration d'IdP associés distincts pour chaque site Internet participant. Pour plus d'informations, voir la rubrique connexe sur la configuration de SAML pour le document de site Internet.

Important : L'adresse IP ou Web entrée ici doit correspondre à l'entrée dans le champ Nom(s) d'hôte de l'onglet Protocoles Internet/HTTP du document Serveur ou dans le champ Noms d'hôtes ou adresses mappés vers ce site du document de site Internet correspondant. De cette façon, vous pouvez spécifier toutes les combinaisons nom d'hôte/adresse IP qui doivent se partager le partenariat de fournisseur d'identité commun.

Restriction : Si votre organisation utilise SSL comme recommandé, vous devez inclure une adresse IP.

Par exemple, si l'organisation Renovations dispose d'un site de support hébergé par un tiers qui fera office de fournisseur d'identité, à l'aide d'IBM® Tivoli Federated Identity Manager, l'administrateur peut accéder au site Renovations Customer Support (TFIM).

Important : SAML 2.0 est requis si votre fédération est configurée sur l'ADFS Microsoft.

8. Dans le champ Produit de fédération, sélectionnez TFIM pour IBM Tivoli Federated Identity Manager ou ADFS pour Microsoft Active Directory Federation Services, selon le service de fédération que vous prévoyez d'utiliser pour l'authentification SAML. La valeur par défaut est ADFS.

9. Dans le champ ID du fournisseur de services, entrez la chaîne qui identifie Domino en tant que partenaire du fournisseur de services auprès de l'IdP.

Cette chaîne est généralement identique à l'URL HTTP du serveur HTTP Domino, par exemple, https://domino1.us.audimatique.com.

Remarque : Si SSL n'est pas configuré au niveau de Domino et que vous utilisez TFIM pour l'IdP, ce paramètre doit inclure http au lieu de https, par exemple : http://domino1.us.audimatique.com. Si vous utilisez l'ADFS pour l'IdP, SSL est requis et vous devez inclure https dans la chaîne.

Important : Une entrée est requise dans ce champ pour pouvoir utiliser le bouton Créer un certificat de l'onglet Gestion de certificat.

Il est recommandé de laisser intactes les informations fournies par le fichier XML importé.

Remarque : Si la fédération est configurée sur l'ADFS, ce fichier peut avoir un nom légèrement différent, par exemple, FederationMetadata.xml.

Tableau 1. Champs du document de configuration d'IdP dont les valeurs sont générées à partir du fichier metadata.xml

Champ	Description
Adresse URL de service de résolution d'artefacts	Domino génère l'URL d'artefact pour le service de fédération spécifié dans le champ Produit. Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL d'artefact suivante doit être générée : https://tfim.audimatique.com/FIM/sps/samlTAM20/soap.
Adresse URL de service de connexion unique	Si les données sont disponibles dans le fichier XML importé, Domino génère l'URL de connexion pour le service de fédération spécifié dans le champ Produit. Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL de connexion suivante doit être générée : https://tfim.audimatique.com/FIM/sps/samlTAM20/logininitial. Remarque : La valeur de ce champ est un sous-ensemble de l'adresse URL escomptée de l'IdP. Le serveur Domino génère l'adresse URL complète si nécessaire.
Signature de certificat X.509	Domino importe le certificat à partir du fichier.
Chiffrement de certificat X.509	Domino importe le certificat à partir du fichier. Remarque : Ce champ s'affiche uniquement si le champ Type est défini sur SAML 2.0.
Enumération des protocoles pris en charge	Domino génère une chaîne désignant le(s) protocole(s) de la version SAML spécifiée dans le champ Type également pris en charge par l'IdP désigné. Cette chaîne fera partie des adresses URL d'authentification fournies par Domino comme fournisseur de services à l'IdP désigné dans le document de configuration. Par exemple, url.oasis.names.tc:SAML:2.0:protocol.

a. Laissez le champ) Activer la connexion unique Windows défini sur Oui si ce document IdP correspond à un IdP qui utilise l'authentification d'utilisateur de connexion unique Windows™ (SPNEGO/Kerberos). Ce champ est nécessaire à la connexion fédérée du client Notes pour que Domino sache comment configurer le navigateur intégré du client Notes.

Pour plus d'informations, recherchez dans le wiki Notes et Domino l'article consacré à la configuration d'ADFS pour l'authentification Windows intégrée (IWA). La note technique IBM #1614543 des rubriques connexes peut éventuellement fournir des liens vers ce type d'articles.

b. Dans le champ Sites de confiance, listez les noms d'hôte Web de fournisseur d'identité de confiance (IdP) qui diffèrent du nom d'hôte configuré dans l'onglet Général. Séparez les entrées par un point-virgule ou un caractère de retour chariot.

c. Laissez le champ Appliquer SSL défini sur Oui si le navigateur intégré du client Notes nécessite que les URL utilisées à partir de l'IdP lors de la séquence de connexion soient protégées par une couche SSL.

a. Renseignez le champ Nom de la société afin d'identifier le certificat dans le fichier de métadonnées Domino (idp.xml) à exporter. Utilisez n'importe quelle chaîne convenant à vos administrateurs.

Vous pouvez utiliser le nom qui désigne le serveur Domino, par exemple Domino US Renovations, ou un nom virtuel pour désigner une configuration particulière de site Internet sur le serveur Domino, par exemple, Domino East Coast US Renovations.

Conseil : Le nom ne doit pas obligatoirement correspondre à un élément de la configuration de l'IdP. Cependant, cette chaîne doit être compatible avec la syntaxe du fichier idp.xml, c'est-à-dire qu'elle ne peut pas contenir de caractères tels que des chevrons (< ou >).


b. Cliquez sur Créer un certificat. Si vous y êtes invité, enregistrez le document, revenez dans l'onglet, puis cliquez une deuxième fois sur le bouton.

Lorsque vous créez un certificat, Domino ajoute "CN=" au début de la chaîne dans le champ Nom de la société et utilise ce nom comme objet du certificat. Le nom peut être visible dans la configuration de l'IdP après importation du fichier de métadonnées.

c. Dans le champ URL Domino, entrez une chaîne pour identifier le nom DNS qualifié complet habilité dans une adresse URL du serveur Domino.

Par exemple, entrez :

https://nom-hôte_de_votre_fournisseur_de_services_SAML

L'IdP utilise la chaîne que contient ce champ comme partie initiale de l'adresse URL qui permet de renvoyer à Domino l'assertion SAML de l'utilisateur.

Remarque : Si SSL n'est pas configuré au niveau de Domino et que vous utilisez TFIM pour l'IdP, ce paramètre doit inclure http au lieu de https, par exemple : http://domino1.us.audimatique.com.

Remarque : Vous pouvez utiliser la chaîne entrée dans le champ ID du fournisseur de services de l'onglet Général.

Remarque : Vous pouvez utiliser la chaîne entrée dans le champ ID du fournisseur de services de l'onglet Général.


d. Dans le champ URL de déconnexion unique, entrez une adresse URL si l'IdP en nécessite une, par exemple si votre fédération est TFIM (Tivoli Federated Identity Manager) 2.0). L'IdP TFIM associé à une configuration SAML 2.0 requiert qu'une URL de déconnexion unique soit spécifiée au niveau de l'IdP et dans le fichier de métadonnées Domino, même si Domino ne met pas actuellement en oeuvre de fonctionnalité de déconnexion unique SAML 2.0.

Exemple d'URL de déconnexion :

https://votre_serveur_tfim.com/sps/samlTAM20/saml20

Remarque : Ce bouton n'est visible que si une version précédemment créée du fichier idp.xml n'est pas déjà jointe.

Que faire ensuite

Si vous utilisez des documents de site Internet, suivez les procédures les concernant, décrites dans les rubriques connexes, pour activer SAML et spécifier le cookie de session préféré.

Remarque : Si vous modifiez ultérieurement le type d'authentification dans le document de site Internet pour supprimer SAML, la modification n'a aucun effet sur la désactivation de SAML sauf si ce document de configuration d'IdP est désactivé ou supprimé.

Sujet parent : Configuration de SAML dans Domino
Sujet suivant : Création manuelle d'un fichier de métadonnées Domino

Tâches associées
Configuration d'un serveur TFIM en tant que fournisseur d'identité (IdP)
Configuration des services de fédération Microsoft Active Directory (ADFS) en tant que fédération pour un partenaire Domino
Utilisation deDomino comme fournisseur de sécurité SAML avec SSL
Configuration de SAML à partir du document Site Internet (Site Web)
Création manuelle d'un fichier de métadonnées Domino

Référence associée
Mise en garde les utilisateurs du client concernant SAML et la déconnexion

Information associée
Supplementary information on Security Assertion Markup Language (SAML) configuration combinations of IBM Domino and other products

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide