Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
Pourquoi et quand exécuter cette tâche
L'authentification SAML permet à l'utilisateur de s'authentifier auprès d'un fournisseur IdP (Identity Provider), afin qu'il puisse ensuite accéder à tout serveur en partenariat avec l'IdP. Les clients Notes® et Web peuvent tous deux se servir de l'authentification SAML. L'authentification dépend d'assertions d'identité XML signées. Le résultat pour l'utilisateur est une authentification transparente et une connexion unique avec une seule authentification pour plusieurs applications et serveurs Web Domino® différents ainsi que pour toute application tiers partenaire de l'IdP. Ce fournisseur détermine la méthode d'authentification unique ; il peut demander un mot de passe à l'utilisateur ou se servir de méthodes d'authentification sans mot de passe, comme l'authentification Integrated Windows™ (SPNEGO/Kerberos) pour les utilisateurs travaillant au sein d'un même Intranet.
- Pour les utilisateurs de client Notes® sur Windows™ ou Citrix, l'authentification SAML peut faciliter une solution de connexion unique, avec le fournisseur IdP configuré pour une authentification IWA (Integrated Windows™ Authentication). L'authentification SAML au démarrage du client Notes® porte le nom de Notes®connexion fédérée. En prime, vous n'avez pas à exécuter la tâche serveur HTTP sur le serveur de coffre Domino® car la portion HTTP de SAML est gérée au sein du client Notes®.
- Pour les utilisateurs de client Web tels que les utilisateurs HCL iNotes®, l'authentification SAML met également en œuvre une solution de connexion unique dans laquelle le fichier ID de l'utilisateur est téléchargé à partir du coffre d'ID Notes®. Ce type d'authentification SAML est appelé Connexion fédérée au Web et permet aux utilisateurs iNotes d'utiliser des opérations de courrier sécurisées.
- Pour les utilisateurs d'autres applications sur des serveurs Web, la connexion unique basée sur SAML est une alternative à l'autre méthode de connexion unique (SSO) déjà disponible dans Domino® : l'authentification de serveur multisession. SAML se révèle particulièrement utile lorsque votre environnement Domino® inclut des applications Web tierces qui servent vos accès utilisateur ou si l'authentification de serveur multisession est trop limitée pour votre organisation, par exemple, si l'environnement cible nécessite la connexion SSO entre des domaines DNS.
L'administrateur peut configurer un serveur Domino® pour utiliser l'authentification SAML en le déclarant partenaire d'un serveur d'identités fédérées sur site, tel que Microsoft ADFS (Active Directory Federation Services) Le serveur ADFS devient le fournisseur d'identité (IdP) et le serveur Domino® est enregistré auprès de ce serveur en tant que fournisseur du service d'authentification SAML.
Domino® prend en charge SAML 1.1 et SAML 2.0. La version SAML que vous utilisez dépend du fournisseur d'identité choisi. SAML 2.0 est la version recommandée à moins qu'une raison particulière impose à votre organisation d'utiliser SAML 1.1. SAML 1.1 peut s'imposer pour prendre en charge la connexion unique avec des applications spécifiques.
| Fournisseur d'identité (IdP) | Version SAML |
|---|---|
| IBM® Tivoli® TAM/TFIM (Tivoli Access Manager/Tivoli Federated Identity Manager) | SAML 1.1 ou SAML 2.0 |
| Microsoft™ ADFS (Active Directory Federation Services) Les versions suivantes sont prises en charge :
|
SAML 2.0 requis |
L'activation de l'authentification SAML peut entraîner des résultats imprévisibles avec les flux RSS si votre organisation les utilise.
Compatibilité
| Si votre organisation utilise... | SAML n'est pas recommandé car... |
|---|---|
| ID protégé par carte à puce | Les ID utilisateur de connexion fédérée ne peuvent pas être des ID protégés par carte à puce car le coffre d'ID requis pour la connexion fédérée à Notes® n'est pas utilisable avec un ID protégé par carte à puce. |
| Notes® Utilisateur itinérant dont le fichier ID est stocké sur le serveur dans un carnet d'adresses personnel d'itinérance. | Les utilisateurs de connexion fédérée ne peuvent pas être des utilisateurs itinérants Notes® dont les ID sont stockés dans un carnet d'adresses personnel d'itinérance car le coffre d'ID requis pour la connexion fédérée à Notes® ne sont pas utilisables avec les ID Notes® stockés dans un carnet d'adresses personnel d'itinérance. |
| Notes® sur un périphérique USB | La connexion fédérée ne peut pas être utilisée avec Notes® sur un périphérique USB, car le coffre d'ID requis pour la connexion fédérée à Notes® n'est pas utilisable avec Notes® sur un périphérique USB. |
| Notes® ID utilisateur avec plusieurs mots de passe | Les ID utilisateur de connexion fédérée ne peuvent pas être des ID utilisateur Notes® avec plusieurs mots de passe car le coffre d'ID requis pour la connexion fédérée à Notes® n'est pas utilisable avec des ID ayant plusieurs mots de passe. |
| Vérification des mots de passe basé sur le serveur pour des utilisateurs Notes® | Désactivez cette fonction sur les plateformes serveur lors de la configuration de tous les utilisateurs Notes® pour la connexion fédérée à Notes®. La vérification des mots de passe peut être imposée pour les utilisateurs d'une connexion non fédérée, mais pas pour les utilisateur de la connexion fédérée. |
| Composant de session unique Notes installé avec le client Notes | Cette configuration n'est pas prise en charge par la connexion fédérée à Notes. |
| Client Notes de base, client Domino Administrator | Ces clients ne sont pas pris en charge par la connexion fédérée à Notes. Le client Notes standard est requis. |