Génération automatique d'un certificat pour chiffrer les assertions SAML
Vous pouvez générer un certificat à utiliser pour chiffrer automatiquement les assertions SAML depuis un document de configuration IdP.
Pourquoi et quand exécuter cette tâche
Créez le certificat depuis le serveur qui authentifiera les utilisateurs. Pour les utilisateurs Web (connexion fédérée au Web), créez le certificat pour chaque serveur de messagerie, afin d'autoriser l'utilisation d'opérations de courrier sécurisées. Pour les utilisateurs Notes (connexion fédérée à Notes), créez le certificat depuis le serveur de coffre d'ID.
Vous pouvez suivre cette procédure si le fichier d'ID de serveur n'est pas protégé par un mot de passe et si vous souhaitez créer un nouveau certificat Internet dans le fichier d'ID de serveur. Autrement, suivez la procédure pour générer le certificat manuellement.
Pour exécuter cette tâche, vous devez être répertorié (ou appartenir à un groupe) dans le document serveur, dans Administrateurs avec accès total >Administrateurs > Signer ou exécuter des méthodes et des opérations non restrictives.
Procédure
- Ouvrez un document de configuration d'IdP du serveur Web ou le document de configuration d'IdP du serveur de coffre d'ID dans idpcat.nsf. Ouvrez-le sur le serveur sur lequel vous souhaitez générer le certificat.
- Cliquez sur l'onglet Gestion des certificats.
-
Cliquez sur Créer un certificat SP. Dans l'invite Créer un certificat d'entreprise, saisissez le nom de votre entreprise, puis cliquez sur OK pour ajouter le nom au champ Nom de l'entreprise.
Lorsque vous créez le certificat, Domino® ajoute "CN=" au début de la chaîne dans la zone Nom de la société et utilise ce nom comme objet de certificat. Le nom peut être visible dans la configuration de l'IdP après importation du fichier de métadonnées.
-
Dans la zone Domino URL, entrez une chaîne qui identifie le nom DNS qualifié complet dans une URL du serveur Domino®.
Par exemple, entrez :
La chaîne de cette zone est utilisée par le fournisseur d'identité comme partie initiale de l'URL pour le renvoi de l'assertion SAML de l'utilisateur à Domino®.https://your_SAML_service_provider_hostnameRemarque : Ce nom d'hôte ne doit jamais contenirvault. même si l'ID du fournisseur de serveur indiqué dans l'onglet Général l'inclut.Remarque : Si la sécurité SSL n'est pas configurée sur Domino® et que vous utilisez TFIM pour l'IdP, ce paramètre doit inclure http au lieu de https, par exemple : http://domino1.us.renovations.com.Remarque : Généralement, vous pouvez répéter la chaîne que vous avez saisie dans le champ ID du fournisseur de services sur l'onglet Général. Toutefois, si vous configurez un partenariat pour le coffre d'ID utilisé à la fois Notes® pour la connexion fédérée et la connexion fédérée au Web iNotes®, vous pouvez utiliser le nom DNS qualifié complet de l'adresse Web du serveur iNotes® (nom d'hôte DNS ou nom de site Internet) dans une adresse URL. Par exemple : https://dom1.renovations.com. -
Dans le champ URL de déconnexion unique, entrez une adresse URL. Même si votre IdP ne nécessite pas ou ne prend pas en charge une déconnexion unique, vous devez entrer une adresse URL syntaxiquement correcte de sorte que le fichier de métadonnées exportées possède une syntaxe correcte. La configuration de fournisseur d'identité TFIM avec SAML 2.0 nécessite qu'une URL de déconnexion unique soit spécifiée au niveau du fournisseur d'identité et dans le fichier de métadonnées Domino®, même si Domino® n'implémente pas une fonction de déconnexion unique SAML 2.0.
Exemple d'URL de déconnexion pour TFIM :
https://your_tfim_server.com/sps/samlTAM20/saml20