Création d'un document de configuration d'IdP du serveur de coffre d'ID

Ce document de configuration est utilisé pour la connexion fédérée au Web et la connexion fédérée à Notes.

Avant de commencer

Placez le fichier de métadonnées .xml que vous avez exporté depuis votre IdP, par exemple FederationMetadata.xml, dans un emplacement depuis lequel vous pouvez y accéder afin de pouvoir l'importer dans le document de configuration d'IdP.

Procédure

  1. Ouvrez idpcat.nsf.
  2. Cliquez sur Ajouter une configuration IdP pour créer un nouveau document de configuration.
  3. Cliquez sur Importer un fichier XML et sélectionnez le fichier de métadonnées .xml exporté à partir de l'IdP. Dans ADFS, ce nom de fichier est généralement FederationMetadata.xml.
    Les informations suivantes sont importées du fichier .xml.
    Tableau 1. Champs du document de configuration d'IdP dont les valeurs sont générées à partir du fichier metadata .xml
    Champ Description
    Version de protocole L'un des suivants :
    • SAML 2.0
    • SAML 1.1
    • TFIM
    Produit de fédération L'un des suivants :
    • AuthRequest compatible avec SAML 2.0
    • ADFS
    • TFIM
    Remarque : Authn est un protocole d'authentification standard disponible pour SAML 2.0. Si votre IdP est configuré pour prendre en charge Authn, la meilleure pratique consiste à ne pas désélectionner le protocole AuthnRequest compatible avec SAML 2.0.
    Adresse URL de service de résolution d'artefacts Domino® génère l'URL d'artefact pour le service de fédération que vous avez spécifié dans le champ Produit de fédération.

    Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL d'artefact suivante doit être générée : https://tfim.renovations.com/FIM/sps/samlTAM20/soap.

    Adresse URL de service de connexion unique Si les données sont disponibles dans le fichier XML importé, Domino® génère l'URL de connexion pour le service de fédération que vous avez spécifié dans le champ Produit de fédération.

    Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL de connexion suivante doit être générée : https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.

    Remarque : La valeur de ce champ est un sous-ensemble de l'adresse URL escomptée de l'IdP. Le serveur Domino® génère l'URL complète lorsque cela est nécessaire.
    Signature de certificat X.509 Domino® importe le code de certificat du fichier.
    Chiffrement de certificat X.509

    Domino® importe le code de certificat du fichier.

    Remarque : Ce champ s'affiche uniquement si le champ Type est défini sur SAML 2.0.
    Enumération des protocoles pris en charge Domino® génère une chaîne qui désigne les protocoles pour l'édition SAML spécifiée dans la zone Type qui sont également pris en charge le fournisseur d'identité spécifié. Cette chaîne devient partie intégrante des URL d'authentification fournies par Domino® en tant que fournisseur de services sur le fournisseur d'identité spécifié dans cette document de configuration.

    Par exemple, url.oasis.names.tc:SAML:2.0:protocol.

  4. Sous l'onglet Général, dans le champ Noms d'hôtes ou adresses mappés vers ce site, entrez le nom de l'hôte DNS du serveur de coffre d'ID, précédé de la chaîne vault. Par exemple : 
    vault.domino1.us.renovations.com
  5. Définissez Etat sur Désactivé. Activez-le plus tard lorsque vous activez la connexion fédérée.
  6. Dans le champ ID du fournisseur de services, entrez une valeur pour identifier le serveur de coffre d'ID en tant que partenaire de fournisseur de services avec l'IdP.
    Par exemple : https://vault.domino1.us.renovations.com
    • Cette valeur doit être correctement construite, mais n'est pas utilisée pour les connexions HTTP.
    • Si vous utilisez SSL (requis pour ADFS), spécifiez https: dans l'URL.
    • Cette valeur doit correspondre à la valeur qui se trouve dans l'IdP de confiance ou le partenariat que vous créerez pour identifier le serveur de coffre d'ID. Par exemple, dans ADFS, cette valeur doit correspondre à la valeur spécifiée dans le champ Identificateurs d'une partie utilisatrice de confiance dans le champ Partie utilisatrice de confiance.
  7. Dans l'onglet Paramètres client, effectuez les étapes suivantes, liées à la connexion fédérée à Notes :
    1. Définissez le champ Activer la connexion unique Windows sur Oui si vous utilisez l'authentification Windows intégrée (IWA) avec ADFS. Ce champ est nécessaire à la connexion fédérée du client Notes pour que Domino® sache comment configurer le navigateur intégré du client Notes®.
    2. Dans le champ Sites de confiance, listez les noms d'hôte Web de fournisseur d'identité de confiance (IdP) qui diffèrent du nom d'hôte configuré dans l'onglet Général. Séparez les entrées par un point-virgule ou un caractère de retour chariot.
    3. Laissez le champ Appliquer SSL défini sur Oui si le navigateur intégré du client Notes® nécessite que les URL utilisées à partir de l'IdP lors de la séquence de connexion soient protégées par une couche SSL.
  8. Enregistrez et fermez le document de configuration d'IdP.
  9. Facultatif : Si vous souhaitez vérifier que les assertions SAML sont chiffrées afin de protéger les données sensibles, exécutez la tâche Génération d'un certificat pour chiffrer les assertions SAML. Exécutez-la avant d'effectuer la tâche Exportation de la configuration du serveur de coffre d'ID vers un fichier .xml, afin que le certificat soit inclus dans le fichier idp.xml.