Génération manuelle d'un certificat pour chiffrer les assertions SAML
Si le fichier Domino® server.id a un mot de passe, vous devez, en tant qu'administrateur, créer manuellement le fichier de certification et le fichier de métadonnées SAML. Le bouton Créer un certificat de l'application Catalogue IdP n'est pas opérationnel. Vous devez également créer ce fichier manuellement si vous envisagez de vérifier les assertions SAML à l'aide d'un certificat Internet déjà existant dans le fichier ID de serveur.
Procédure
-
Modifiez le fichier NOTES.INI du serveur Domino® et entrez les paramètres requis suivants :
SAMLAuthVersion=valueOù les valeurs sont :
1 - pour SAML 1.1
2 - pour SAML 2.0
SAMLUrl=https://your_SAML_service_provider_hostnamePar exemple : https://domino1.us.renovations.comRemarque : Si votre serveur Domino® n'est pas destiné à être activé pour le protocole SSL (requis avec un IdP ADFS, mais pas avec un IdP TFIM), cette adresse URL doit commencer par http au lieu de https, par exemple : http://domino1.us.renovations.comSAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20Si votre fédération est IBM® Tivoli® Federated Identity Manager, ce paramètre spécifie l'URL de déconnexion. Même si votre fédération ne nécessite pas ou ne prend pas en charge d'adresse URL de déconnexion, vous devez en entrer une, comme indiqué dans l'exemple qui précède, pour que la syntaxe des métadonnées d'exportation soit correcte.
-
Si le fichier ID du serveur dispose déjà d'un certificat Internet, vous pouvez l'utiliser (cette étape est facultative). Sur la console du serveur Domino® du serveur Domino®, entrez la commande suivante pour créer le certificat. Si le nom de la société est constitué de plusieurs mots, mettez celui-ci entre guillemets (") comme suit :
certmgmt create saml [overwrite][company "Renovations Home Improvement"]Remarque : Si vous ne spécifiez pas de société, la valeur par défautSAML Signingest utilisée. -
Notez la clé de hachage publique affichée sur la console après l'émission de la commande certmgmt create saml. La clé est la chaîne qui suit
public key hash=. Dans l'exemple ci-après, la clé estv6i9TOz7zP9GBCXxtrz+KA==Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA== -
Ouvrez de nouveau le fichier NOTES.INI du serveur Domino® et entrez les paramètres requis suivants, en utilisant la clé de hachage publique notée à l'étape 3 :
SAMLPublicKeyHash=your_hash_keyConseil : Si vous n'avez pas noté la clé de hachage, par exemple parce que vous n'êtes pas l'administrateur qui a accompli les étapes précédentes, ou que vous souhaitez utiliser un autre certificat existant, vous pouvez utiliser la commande CERTMGMT SHOW ALL pour afficher la clé. -
Entrez le paramètre NOTES.INI suivant en spécifiant une chaîne quelconque facile à identifier par vos administrateurs :
SAMLCompanyName=your_organization_nameLe texte que vous entrez pouryour_organization_namedoit correspondre au nom de la société tel que fourni à l'étape 2 lors de la création de la certification (certmgmt create saml). En variante, la valeur deyour_organization_namepeut correspondre au nom de l'objet qui s'affiche lorsque vous avez émis la commande CERTMGMT SHOW ALL. Si aucun nom de société n'a été fourni à l'étape 2, utilisez Signature SAML pour la valeur deSAMLCompanyName, par exemple :SAMLCompanyName=SAML Signing -
Entrez la commande suivante pour générer un fichier .XML de métadonnées (par exemple, tfim-meta.xml pour TFIM) à importer dans votre fédération :
certmgmt export saml xml filename.xml - Copiez le fichier de certificat exporté vers un emplacement depuis lequel vous pouvez l'importer vers le document de configuration d'IdP que vous configurez.
- Ouvrez le document de configuration d'IdP approprié. Sur l'onglet Gestion de certificats, sous Paramètres de gestion de certificats, copiez-collez la clé de hachage publique utilisée aux étapes précédentes dans le champ Certificate public key hash value (base 64).