Mise en garde des utilisateurs du client concernant SAML et la déconnexion

Détails sur la connexion et la déconnexion de l'IdP

Lorsqu'un IdP SAML est configuré de manière à se souvenir qu'un utilisateur s'est connecté sur un ordinateur particulier, l'IdP peut conserver des cookies ou définir un autre état afin d'identifier l'utilisateur. Les mécanismes de déconnexion de Notes/Domino n'affectent pas l'IdP ni l'état du bureau de l'utilisateur contenant les informations utilisateur définies par l'IdP.

Une fois qu'un utilisateur s'est connecté à l'IdP SAML, ce dernier peut fournir en toute transparence pour le compte de l'utilisateur des assertions SAML qui seront acceptées pour authentification par un serveur Domino® configuré en tant que fournisseur de services SAML. Il est essentiel que l'ordinateur de l'utilisateur final soit sécurisé (par exemple, à l'aide d'une fonction de "verrouillage d'ordinateur" du système d'exploitation ou un écran de veille protégé par mot de passe) de sorte à que personne n'utilise l'ordinateur laissé sans surveillance de l'utilisateur pour accéder aux ressources Notes/Domino.

Les utilisateurs Web de Domino® qui se partagent un même bureau sont particulièrement susceptibles d'entraîner une confusion au niveau de l'IdP. Une fois qu'un utilisateur s'est connecté à l'IDP, ce dernier peut supposer toute utilisation ultérieure est le fait du même utilisateur. Ce scénario peut être évité si plusieurs utilisateurs d'un même bureau doivent se connecter en tant qu'utilisateurs distincts au système d'exploitation et si l'IdP est configuré de manière à authentifier chaque utilisateur via l'authentification intégrée Windows™ à l'aide de SPNEGO/Kerberos (IWA). Si IWA est utilisé au niveau de l'IdP, ce dernier ne confondra pas les utilisateurs qui se sont connectés séparément au système d'exploitation.