Création d'un document Configuration de connexion unique Web

Le document de configuration de connexion unique Web est un document de configuration au niveau du domaine stocké dans l'annuaire HCL Domino®. Ce document, qui devrait être répliqué à tous les serveurs Domino® qui participent à la connexion unique dans le domaine, est chiffré pour les serveurs et les administrateurs participants et contient une clé secrète partagée par les serveurs pour la vérification des données d'identification des utilisateurs.

Pour créer un document Configuration de connexion unique Web si vous utilisez les sites Internet

Avant de commencer

Prenez soin d'avoir créé un document de site Web et activé l'utilisation des documents de site Internet dans le document serveur.

Assurez-vous également que le document de site de votre client possède un serveur hôte/messagerie défini sur un serveur dans le même domaine que celui des serveurs participant à la connexion unique. Ceci vous garantit que toutes les clés publiques des serveurs participants sont disponibles lorsque le document de connexion unique est chiffré.

Procédure

  1. Dans Domino® Administrator, cliquez sur Fichiers et ouvrez l'annuaire Domino® du serveur (généralement, NAMES.NSF).
  2. Sélectionnez la vue Sites Internet.
  3. Cliquez sur Créer configuration Web SSO .
  4. Dans le document, cliquez sur Clés.
  5. Initialisez la configuration de connexion unique Web avec la clé secrète partagée de l'une des deux façons suivantes :
    • Choisissez Domino uniquement (aucun serveur IBM® WebSphere® participant à la connexion unique), puis sélectionnez Créer la clé Domino SSO. Si vous choisissez cette option, n'exécutez pas l'étape 6, mais passez plutôt à l'étape 7.
    • Choisissez Domino et WebSphere (connexion unique avec WebSphere®), puis passez à l'étape 6.
  6. Renseignez le reste du document comme suit :
    Tableau 1. Champs Domino® et WebSphere® SSO WebSphere

    Champ

    Action

    Nom de la configuration

    Entrez le nom de la configuration de connexion unique en tenant compte des considérations suivantes :

    • Si vous créez plusieurs documents Configuration de connexion unique Web, veillez à leur attribuer chacun un nom unique. Les documents de connexion unique Web sont recherchés par nom et si plusieurs documents portent le même nom, les configurations de connexion unique ne fonctionnent pas bien. En revanche, la création de plusieurs documents de connexion unique peut uniquement fonctionner dans certains cas. Nombre de documents de connexion unique ne sont pas reconnus par tous les protocoles. Par exemple, l'utilisation de la connexion unique avec des agents Java et d'autres composants utilisant les classes d'arrière-plan Java locales ne fonctionnera pas si vous optez pour un autre nom que le nom par défaut LtpaToken.
    • Si la configuration de connexion unique concerne un environnement mixte incluant des serveurs de version 5.0x, le nom de la configuration doit être LtpaToken puisque les serveurs de version 5.0x fonctionnent uniquement avec ce nom de configuration.

    Principal

    (Obligatoire) Entrez le nom de l'organisation. Il doit correspondre au nom de l'organisation du site Web correspondant. Le document de connexion unique apparaît dans la vue Sites Internet, à côté des documents Site Web.

    Domaine DNS

    (Obligatoire) Entrez le domaine DNS (par exemple, .audimatique.com) pour lequel les jetons sont générés. Les serveurs activés pour la connexion unique doivent tous appartenir au domaine DNS défini.

    Lors de la saisie du domaine DNS, assurez-vous que le point à insérer au début a bel et bien été tapé. Par exemple, n'entrez pas renovations.com, mais .renovations.com.

    Si le domaine de connexion unique inclut des serveurs WebSphere®, WebSphere® traite le domaine DNS en tenant compte des majuscules et des minuscules. Assurez-vous alors que la valeur de domaine DNS respecte la casse appropriée.

    Mapper les noms dans les jetons LTPA

    Activez cette option pour mapper le nom d'utilisateur affiché dans un jeton LTPA créé par Domino au nom censé apparaître pour les serveurs WebSphere® de connexion unique. Vous devez activer ce paramètre si vous disposez d'un environnement Domino® et WebSphere mixte et si, dans ce cas, Domino® et WebSphere® ne partagent pas le même annuaire.

    N'activez pas cette option si vous souhaitez que les jetons LTPA créés par Domino contiennent en permanence le nom distinctif Domino® de l'utilisateur.

    Domino® Noms des serveurs

    Entrez les noms des serveurs Domino® qui participeront à la connexion unique (par exemple, server1/renovations, server2/renovations). Ce document sera chiffré pour le créateur du document, les membres des champs Propriétaires et Administrateurs et les serveurs spécifiés dans le champ Noms du serveur Domino.

    Les groupes, les caractères génériques et les noms des serveurs WebSphere® ne sont pas autorisés dans ce champ. Seuls les serveurs Domino® peuvent être répertoriés en tant que serveurs participants dans le champ Noms de serveur.

    Remarque : Il existe une limite de taille de 64 Ko dans ce champ. Un message d'erreur apparaît lorsque la limite est atteinte, par exemple lorsque les noms de plusieurs centaines de serveurs sont entrés. Il est recommandé de créer plusieurs documents Configuration de connexion unique Web si cette limite est atteinte.

    Windows Intégration de connexion unique

    Activez cette option pour permettre aux serveurs Domino® d'utiliser la connexion unique Windows pour les clients Web.

    Nom de cookie personnalisé de jeton Ltpa

    Si vous ne vous servez pas du nom de cookie de navigateur par défaut LtpaToken, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur.

    Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas LtpaToken, cette option ne s'affiche pas.
    Conseil : Ce nom personnalisé est utile en matière de compatibilité avec HCL Digital Experience.

    Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.

    Nom de cookie personnalisé Ltpa Token2

    Si vous ne vous servez pas du nom de cookie de navigateur par défaut LtpaToken2, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur.

    Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas LtpaToken2, cette option ne s'affiche pas.
    Conseil : Ce nom personnalisé est utile en matière de compatibilité avec HCL Digital Experience.

    Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.

    Domaine LDAP

    		 La valeur de ce champ est lue à partir du fichier de clés WebSphere. Ne modifiez ce champ que si le support vous demande de le faire.

    Expiration (minutes)

    Spécifiez la période (en minutes) pendant laquelle le jeton est valide. Cette période débute au moment de l'émission du jeton. Le jeton est valide uniquement pendant le nombre de minutes spécifié. La valeur par défaut est de 30 minutes.

    Remarque : Si un délai d'inactivité de session est défini, la session peut prendre fin (en fonction de son inactivité) à une heure antérieure à l'heure d'expiration spécifiée.

    Délai d'inactivité d'une session

    (Configuration de connexion unique pour Domino uniquement) Activez cette option pour mettre fin à la session de connexion unique d'un utilisateur si cette session est inactive pendant une durée déterminée, puis spécifiez un délai d'expiration.

    Remarque : Si vous choisissez d'importer les clés LTPA WebSphere, cette option ne s'affiche pas dans le document Configuration de connexion unique Web.

    Délai minimal (minutes)

    Cette option s'affiche lorsque vous activez l'option Délai d'inactivité d'une session. Définissez la durée, en minutes, pendant laquelle une session utilisateur doit être inactive avant d'expirer.

    Si vous avez importé des clés LTPA Websphere, renseignez les champs ci-dessous :

    Tableau 2. Champs de la clé LTPA Websphere

    Champ

    Action

    Format de jeton

    Choisissez l'une des options suivantes :

    • LtpaToken (compatible avec Domino® 7 et les versions antérieures)
    • LtpaToken2 (incompatible avec Domino® 7 et les versions antérieures, mais offre des améliorations de sécurité SSO)
    • LtpaToken et LtpaToken2 (compatibles avec toutes les versions de Domino®)
    Remarque : Le format LtpaToken2 a été introduit dans la version 5.1.1 d'IBM® WebSphere® Server. La prise en charge de ce jeton améliore la sécurité pour les déploiements de connexion unique.

    Domaine LDAP

    Spécifie le domaine LDAP au format suivant : 

    fully-qualified-host-name:port

    Cette zone doit être la même pour tous les serveurs participants pour que le mécanisme des jetons LTPA fonctionne.

    Version LTPA

    La valeur de ce champ est lue à partir du fichier de clés WebSphere®.

  7. Enregistrez le document Configuration de connexion unique Web. Un message sur la barre d'état indique le nombre de serveurs et de personnes pour lesquels le document a été chiffré. Le(s) document(s) s'affiche(nt) dans la vue Sites Internet.

Pour créer un document Configuration de connexion unique Web si vous utilisez la vue Configurations de serveur Web

Pourquoi et quand exécuter cette tâche

Utilisez cette procédure pour créer un document Configuration de connexion unique Web si votre serveur est un serveur version 5.0x ou si vous utilisez Domino® 6 ou version ultérieure, mais n'utilisez pas les documents Site Web pour gérer vos sites Web.

Procédure

  1. Dans Domino® Administrator, cliquez sur Fichiers et ouvrez l'annuaire Domino® du serveur (généralement, NAMES.NSF).
  2. Sélectionnez la vue Serveurs.
  3. Cliquez sur Créer configuration Web SSO .
  4. Dans le document de configuration de connexion unique Web, cliquez sur Clés.
  5. Initialisez la configuration de connexion unique Web avec la clé secrète partagée de l'une des deux façons suivantes :
    • Choisissez Domino uniquement (aucun serveur WebSphere® participant à la connexion unique), puis sélectionnez Créer la clé Domino SSO. Si vous choisissez cette option, n'exécutez pas l'étape 6, mais passez plutôt à l'étape 7.
    • Choisissez Domino et WebSphere (connexion unique avec WebSphere®), puis passez à l'étape 6.
  6. Renseignez le reste du document comme suit :
    Tableau 3. Champs Domino® et WebSphere® SSO WebSphere

    Champ

    Action

    Nom de la configuration

    Entrez le nom de la configuration de connexion unique en tenant compte des considérations suivantes :

    • Si vous créez plusieurs documents Configuration de connexion unique Web, veillez à leur attribuer chacun un nom unique. Les documents de connexion unique Web sont recherchés par nom et si plusieurs documents portent le même nom, les configurations de connexion unique ne fonctionneront pas bien. En revanche, la création de plusieurs documents de connexion unique peut uniquement fonctionner dans certains cas. Nombre de documents de connexion unique ne sont pas reconnus par tous les protocoles. Par exemple, l'utilisation de la connexion unique avec des agents Java et d'autres composants utilisant les classes d'arrière-plan Java locales ne fonctionnera pas si vous optez pour un autre nom que le nom par défaut LtpaToken.
    • Si la configuration de connexion unique concerne un environnement mixte incluant des serveurs de version 5.0x, le nom de la configuration doit être LtpaToken puisque les serveurs de version 5.0x fonctionnent uniquement avec ce nom de configuration.

    Principal

    Laissez ce champ vide et ce document apparaît dans la vue Configurations Web.

    Domaine DNS

    (Obligatoire) Entrez le domaine DNS (par exemple, .audimatique.com) pour lequel les jetons sont générés. Les serveurs activés pour la connexion unique doivent tous appartenir au même domaine DNS.

    Lors de la saisie du domaine DNS, assurez-vous que le point à insérer au début a bel et bien été tapé. Par exemple, n'entrez pas renovations.com, mais .renovations.com.

    Si le domaine de connexion unique inclut des serveurs WebSphere®, WebSphere® traite le domaine DNS en tenant compte des majuscules et des minuscules. Assurez-vous alors que la valeur de domaine DNS respecte la casse appropriée.

    Mapper les noms dans les jetons LTPA

    Activez cette option pour mapper le nom d'utilisateur affiché dans un jeton LTPA créé par Domino au nom censé apparaître pour les serveurs WebSphere® de connexion unique. Vous devez activer ce paramètre si vous disposez d'un environnement Domino® et WebSphere mixte et si, dans ce cas, Domino® et WebSphere® ne partagent pas le même annuaire.

    N'activez pas cette option si vous souhaitez que les jetons LTPA créés par Domino contiennent en permanence le nom distinctif Domino® de l'utilisateur.

    Domino® Noms des serveurs

    Entrez les noms des serveurs Domino® qui participeront à la connexion unique (par exemple, server1/renovations, server2/renovations). Ce document sera chiffré pour le créateur du document, les membres des zones Propriétaires et Administrateurs et les serveurs indiqués dans la zone Noms de serveur Domino®.

    Remarque : Les groupes, les caractères génériques et les noms des serveurs WebSphere® ne sont pas autorisés dans ce champ. Seuls les serveurs Domino® peuvent être répertoriés en tant que serveurs participants dans le champ Noms de serveur.

    Windows Intégration de connexion unique

    Activez cette option pour permettre aux serveurs Domino® d'utiliser la connexion unique Windows pour les clients Web.

    Nom de cookie personnalisé de jeton Ltpa

    Si vous ne vous servez pas du nom de cookie de navigateur par défaut LtpaToken, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur.

    Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas LtpaToken, cette option ne s'affiche pas.
    Conseil : Ce nom personnalisé est utile en matière de compatibilité avec HCL Digital Experience.

    Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.

    Nom de cookie personnalisé Ltpa Token2

    Si vous ne vous servez pas du nom de cookie de navigateur par défaut LtpaToken2, fournissez un nom personnalisé Domino à utiliser avec le cookie du navigateur.

    Remarque : Si vous avez sélectionné un Format de jeton qui ne comporte pas LtpaToken2, cette option ne s'affiche pas.
    Conseil : Ce nom personnalisé est utile en matière de compatibilité avec HCL Digital Experience.

    Le nom du cookie ne doit pas commencer par le symbole du dollar et ne doit pas comporter les caractères trait de soulignement, virgule, point-virgule ni espace. Certains navigateurs ne peuvent pas traiter les caractères non ASCII et peuvent également comporter des caractères spéciaux non utilisables. Domino limite le nom du cookie a 128 caractères.

    Expiration (minutes)

    Spécifiez la période (en minutes) pendant laquelle le jeton est valide. Cette période débute au moment de l'émission du jeton. Le jeton est valide uniquement pendant le nombre de minutes spécifié. La valeur par défaut est de 30 minutes.

    Remarque : Si un délai d'inactivité de session est défini, la session peut prendre fin (en fonction de son inactivité) à une heure antérieure à l'heure d'expiration spécifiée.

    Délai d'inactivité d'une session

    Activez cette option pour mettre fin à la session de connexion unique d'un utilisateur si cette session est inactive pendant une durée déterminée, puis spécifiez un délai d'expiration.

    Remarque : Si vous choisissez d'importer les clés LTPA WebSphere, cette option ne s'affiche pas dans le document Configuration de connexion unique Web.

    Délai minimal (minutes)

    Cette option s'affiche lorsque vous activez l'option Délai d'inactivité d'une session. Définissez la durée, en minutes, pendant laquelle une session utilisateur doit être inactive avant d'expirer.

    Si vous avez importé des clés LTPA Websphere, renseignez les champs ci-dessous :

    Tableau 4. Champs de la clé LTPA Websphere

    Champ

    Action

    Format de jeton

    Choisissez l'une des options suivantes :

    • LtpaToken (compatible avec Domino® 7 et les versions antérieures)
    • LtpaToken2 (incompatible avec Domino® 7 et les versions antérieures, mais offre des améliorations de sécurité SSO)
    • LtpaToken et LtpaToken2 (compatibles avec toutes les versions de Domino®)
    Remarque : Le format LtpaToken2 a été introduit dans la version 5.1.1 d'IBM® WebSphere® Server. La prise en charge de ce jeton améliore la sécurité pour les déploiements de connexion unique.

    Domaine LDAP

    Spécifie le domaine LDAP au format suivant : 

    <fully-qualified-host-name>:<port>

    Cette zone doit être la même pour tous les serveurs participants pour que le mécanisme des jetons LTPA fonctionne.

    Version LTPA

    La valeur de ce champ est lue à partir du fichier de clés WebSphere®.

  7. Enregistrez le document Configuration de connexion unique Web. Un message sur la barre d'état indique le nombre de serveurs et de personnes pour lesquels le document a été chiffré. Le(s) document(s) s'affiche(nt) dans la vue Configurations de serveur Web.
    Remarque : Si vous recevez des messages sur le client indiquant qu'une clé particulière est introuvable pour le chiffrement du document, vous devez peut-être modifier le document Site de votre client pour qu'il s'oriente sur un serveur de messagerie et d'annuaire différent, possédant toutes les clés publiques comprises dans les documents Serveur et Personne.