Création d'un document de configuration d'IdP de serveur Web

Créez un document de configuration d'IdP pour les serveurs Web qui participeront à l'authentification SAML.

Avant de commencer

Placez le fichier de métadonnées .xml que vous avez exporté depuis votre IdP, par exemple FederationMetadata.xml, dans un emplacement depuis lequel vous pouvez y accéder afin de pouvoir l'importer dans le document de configuration d'IdP.
Remarque : Si vous créez un autre document de configuration d'IdP, pour une connexion fédérée au coffre d'ID par exemple, sauvegardez une copie du fichier. Lorsque vous importez le fichier .xml dans le document de configuration d'IdP, le fichier .xml est supprimé de votre système local.

Pourquoi et quand exécuter cette tâche

Si vos serveurs Web se trouvent derrière un équilibreur de charge ou un diffuseur IP, créez un document de configuration d'IdP de serveur Web. Votre IdP se connectera à l'équilibreur de charge ou au diffuseur IP. Si vos serveurs Web ne se trouvent pas derrière un équilibreur de charge ou un diffuseur IP, créez un document de configuration d'IdP séparé pour chaque serveur Web.

Procédure

  1. Ouvrez idpcat.nsf.
  2. Cliquez sur Ajouter une configuration IdP pour créer un nouveau document de configuration.
  3. Cliquez sur Importer un fichier XML et sélectionnez le fichier de métadonnées .xml exporté à partir de l'IdP. Dans ADFS, ce nom de fichier est généralement FederationMetadata.xml.
    Les informations suivantes sont importées du fichier .xml.
    Tableau 1. Champs du document de configuration d'IdP dont les valeurs sont générées à partir du fichier metadata.xml
    Champ Description
    Version de protocole L'un des suivants :
    • SAML 2.0
    • SAML 1.1
    • TFIM
    Produit de fédération L'un des suivants :
    • AuthnRequest compatible avec SAML 2.0
    • ADFS
    • TFIM
    Remarque : Authn est un protocole d'authentification standard disponible pour SAML 2.0. Si votre IdP est configuré pour prendre en charge Authn, la meilleure pratique consiste à ne pas désélectionner le protocole AuthnRequest compatible avec SAML 2.0.
    Adresse URL de service de résolution d'artefacts Domino® génère l'URL d'artefact pour le service de fédération que vous avez spécifié dans le champ Produit de fédération.

    Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL d'artefact suivante doit être générée : https://tfim.renovations.com/FIM/sps/samlTAM20/soap.

    Adresse URL de service de connexion unique Si les données sont disponibles dans le fichier XML importé, Domino® génère l'URL de connexion pour le service de fédération que vous avez spécifié dans le champ Produit de fédération.

    Par exemple, pour l'organisation Renovations, qui utilise TFIM, SAML 2.0 et SSL, l'URL de connexion suivante doit être générée : https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.

    Remarque : La valeur de ce champ est un sous-ensemble de l'adresse URL escomptée de l'IdP. Le serveur Domino® génère l'URL complète lorsque cela est nécessaire.
    Signature de certificat X.509 Domino® importe le code de certificat du fichier.
    Chiffrement de certificat X.509

    Domino® importe le code de certificat du fichier.

    Remarque : Ce champ s'affiche uniquement si le champ Type est défini sur SAML 2.0.
    Enumération des protocoles pris en charge Domino® génère une chaîne qui désigne les protocoles pour l'édition SAML spécifiée dans la zone Type qui sont également pris en charge le fournisseur d'identité spécifié. Cette chaîne devient partie intégrante des URL d'authentification fournies par Domino® en tant que fournisseur de services sur le fournisseur d'identité spécifié dans cette document de configuration.

    Par exemple, url.oasis.names.tc:SAML:2.0:protocol.

  4. Dans l'onglet Général > Noms d'hôtes ou adresses mappés vers ce site, configurez le ou les noms d'hôte du DNS du serveur Web.
    Restriction : Si votre serveur Domino Web utilise SSL, vous devez inclure une adresse IP après chaque nom d'hôte, en les séparant par un point-virgule.
    Important : Les noms d'hôte entrés ici doivent correspondre à l'entrée dans le champ Nom(s) d'hôte de l'onglet Protocoles Internet/HTTP du document Serveur ou dans le champ Noms d'hôtes ou adresses mappés vers ce site d'un document de site Internet (site Web).

    Par exemple, entrez mail01.us.renovations.com;n.nn.nnn.n.

    Si vous utilisez un équilibreur de charge pour distribuer des requêtes sur les serveurs, ajoutez le nom de l'hôte et l'adresse IP pour l'équilibreur de charge, ainsi que les noms d'hôte et les adresses IP des serveurs Web cible. Séparez les serveurs par des points-virgules ou appuyez sur Entrée. Par exemple :

    mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n

  5. Définissez Etat sur Désactivé. Activez cette option plus tard, dans le cadre de la procédure Activation de l'authentification SAML dans Domino.
  6. Dans le champ ID du fournisseur de services, entrez une valeur pour identifier les serveurs Web en tant que partenaire de fournisseur de services avec l'IdP.
    • Cette valeur doit être une URL correctement construite, mais n'est pas utilisée pour les connexions HTTP.
    • Si vous utilisez SSL (requis pour ADFS), spécifiez https: dans l'URL.
    • Cette valeur doit correspondre à la valeur qui se trouve dans l'IdP de confiance ou le partenariat que vous créerez pour identifier le serveur Web. Par exemple, dans ADFS, cette valeur doit correspondre à la valeur spécifiée dans le champ Identificateurs d'une partie utilisatrice de confiance dans le champ Partie utilisatrice de confiance.
    Par exemple : https://mail.us.renovations.com.
  7. Dans le champ Nom IdP de l'onglet Général, entrez un nom pour identifier le site Web du fournisseur d'identité (IdP) ; le nom n'a pas à être tout à fait exact, il vise uniquement à vous faciliter les tâches d'administration.
    Par exemple, si l'organisation Renovations dispose d'un site de support hébergé par un tiers qui fera office de fournisseur d'identité, à l'aide d'IBM® Tivoli® Federated Identity Manager, l'administrateur peut accéder au site Renovations Customer Support (TFIM).
  8. Enregistrez et fermez le document de configuration d'IdP. Le message suivant s'affiche, car le document de configuration d'IdP est actuellement désactivé et l'URL du fournisseur de services ne peut pas être résolue. Cliquez sur Oui pour poursuivre et enregistrer. 
    URL non valide. Autrement, le nom de DNS ne peut pas être résolu : <URL>. Voulez-vous les enregistrer ?
  9. Facultatif : Si vous souhaitez vérifier que les assertions SAML sont chiffrées afin de protéger les données sensibles, exécutez la tâche Génération d'un certificat pour chiffrer les assertions SAML. Exécutez-la avant d'effectuer la tâche Exportation de la configuration Web de Domino vers un fichier .xml, afin que le certificat soit inclus dans le fichier idp.xml.