Activation de la connexion fédérée à Notes
Activez la connexion fédérée à Notes pour permettre aux utilisateurs des clients Notes de lancer Notes et d'effectuer des opérations sécurisées sans être invités à saisir un mot de passe d'ID Notes.
Avant de commencer
- Si vous utilisez également une connexion fédérée au Web, activez-la et vérifiez qu'elle fonctionne.
- Avant d'activer la connexion fédérée à Notes pour tous les utilisateurs de client Notes, activez-la pour un utilisateur test et vérifiez que la connexion fédérée à Notes fonctionne pour cet utilisateur.
- Dans toute politique de sécurité appliquée à des utilisateurs Notes® que vous prévoyez d'inclure dans une connexion fédérée à Notes®, désactivez la synchronisation du mot de passe du client Notes® avec le mot de passe Internet.
- Consultez le tableau des configurations client incompatibles avec la connexion fédérée dans la rubrique Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée.
- Effectuez toutes les étapes figurant dans la section Configuration des serveurs de coffre d'ID pour une connexion SAML fédérée.
Procédure
- Dans l'annuaire Domino®, ouvrez la politique de paramètres de sécurité existante pour les utilisateurs du coffre d'ID de votre organisation.
- Dans l'onglet Coffre d'ID, vérifiez qu'un coffre est affecté.
- Sélectionnez .
- Sélectionnez Oui pou Activer la connexion fédérée à Notes avec l'IdP SAML.
-
Pour les clients ayant procédé à la mise à niveau vers la version 9.0.1, lorsque la politique est initialement déployée, sous Paramètres supplémentaires pour une connexion fédérée (Notes ou Web), sélectionnez la valeur Oui pour Autoriser l'authentification par mot de passe avec le coffre d'ID.
Conseil : Une fois qu'un utilisateur a été reconnu comme étant autorisé à utiliser la connexion fédérée, il est recommandé de définir la valeur Non au champ Autoriser l'authentification par mot de passe avec le coffre d'ID afin d'améliorer la sécurité. Ainsi, l'utilisateur doit s'authentifier auprès du coffre à l'aide de la connexion fédérée pour pouvoir télécharger l'ID utilisateur permettant de travailler sous Notes ou le Web. Compte tenu que ce paramètre de politique contrôle à la fois le comportement de Notes et du Web en matière de coffre des ID, vous ne devez attribuer la valeur Non que si la connexion unique doit être utilisée de manière exclusive.
- Facultatif : Créez des messages personnalisés pour les utilisateurs à notifier lorsque la connexion fédérée est activée ou désactivée.
- Cliquez sur l'onglet Clés et certificats.
- Pour ajouter le certificateur Notes® à la politique, cliquez sur Actualiser liens dans la section Valeurs par défaut d'accréditation administrative.
- Cliquez sur Pris en charge et sélectionnés, puis sur OK.
-
Cliquez sur l'onglet Certificateurs Notes, sélectionnez les certificats à l'origine de la signature sur les ID des utilisateurs Notes, puis cliquez sur OK.
Remarque : Si c'est un certificat Unité organisationnelle (OU) à l'origine de la signature des ID, ajoutez tous les certificats dans la hiérarchie, notamment le certificat Organisationnel.
- Cliquez sur l'onglet Certifications croisées Internet, sélectionnez la certification croisée depuis le certificateur racine de Notes vers le certificat exporté à partir d'ADFS ou de TFIM 2.0, puis cliquez sur OK.
- Cliquez sur l'onglet Certifications Internet, sélectionnez le certificat SSL exporté à partir d'ADFS ou de TFIM 2.0, puis cliquez sur OK.
-
Vérifiez qu'une chaîne contenant au moins trois certificats s'affiche (plus s'il existe des certificats d'unité organisationnelle) : le certificateur Notes dans la partie supérieure, la certification croisée Internet au milieu, ainsi que le certificat Internet dans la partie inférieure.
Par exemple :
- Facultatif : Entrez une formule sous Formule spécifique à la machine pour appliquer la politique à des ordinateurs spécifiques pour des clients disposant de plusieurs ordinateurs.
- Enregistrez et fermez la politique de sécurité.
-
Dans Domino® Administrator, ouvrez l'application de coffre d'ID ((idvault.nsf), stockée par défaut dans le répertoire IBM_ID_VAULT. Effectuez les étapes suivantes :
- Dans la vue Configuration, ouvrez le document du coffre à configurer pour l'authentification SAML.
- Dans le champ Configurations IdP approuvées pour la connexion à Notes fédérée, saisissez le nom d'hôte depuis le champ Noms d'hôtes ou adresses mappés vers ce site du document de configuration d'IdP du serveur de coffre d'ID, par exemple vault.domino1.us.renovations.com.
- Cliquez sur Enregistrer et fermer.