SAML의 Domino 사전 필수 단계 완료

SAML에서 필요한 다음 Domino 구성을 완료하십시오.

디렉토리 이름 매핑(ADFS에만 해당)

Active Directory mail 속성의 사용자 주소가 Domino 디렉토리 개인 문서의 인터넷 주소 필드와 동일한 경우 추가 디렉토리 구성이 필요하지 않습니다. 그렇지 않으면 Notes 식별 이름을 altSecurityIdentities와 같은 Active Directory 속성에 추가해야 합니다. 그런 다음 해당 속성을 사용하여 Domino 이름을 Active Directory의 이름에 매핑하도록 디렉토리 보조자를 구성합니다. 자세한 정보는 원격 LDAP 디렉토리에서 Notes 식별 이름 사용의 내용을 참조하십시오.

싱글 사인온

사용자가 둘 이상의 Domino 서버나 WebSphere와 Domino 서버에 액세스할 경우 싱글 사인온이 필요합니다. SAML 인증을 구성하기 전에 싱글 사인온을 구성하고 테스트합니다. 단일 서버 세션 인증보다 다중 서버 세션 인증을 사용하는 것이 좋습니다. 자세한 정보는 다중 서버 세션 기반 인증(single sign-on)의 내용을 참조하십시오.

SSL certificate

Domino와 IdP 사이에 HTTPS 연결이 필요한 경우(ADFS의 경우) Domino 서버의 유효한 SSL 인증서를 사용하여 키 링 파일을 구성합니다. 인증서는 자체 서명된 것보다는 CA(인증 기관)에서 생성된 것이어야 합니다. 대부분의 최신 브라우저에서는 자체 서명 인증서를 지원하지 않습니다. 자세한 정보는 자체 서명 또는 써드파티 인증서로 키링 파일 생성의 내용을 참조하십시오.
주: Notes 연합 로그인만 사용하고 기본 웹 SAML 인증이나 웹 연합 로그인은 사용하지 않는 경우 Domino 서버에서 SSL 인증서가 필요하지 않습니다. Notes 연합 로그인을 사용할 때는 Notes 클라이언트도 ADFS 서버도 HTTPS를 통해 Domino 서버에 연결하지 않습니다.

ID 볼트

웹 연합 로그인 또는 Notes 연합 로그인의 경우 ID 볼트를 설정해야 하고 참여하는 사용자에게 해당 저장소의 ID가 있어야 합니다. 사용자가 보안 정책 설정을 통해 저장소에 지정되어 있는지 확인합니다. 자세한 정보는 사용자에게 볼트 할당의 내용을 참조하십시오.

저장소를 사용하려면 iNotes를 사용으로 설정해야 합니다. iNotes 사용자의 ID 파일이 저장소에 업로드되었는지 확인하기 위해 저장소 관리자는 ID 볼트 애플리케이션을 열고 저장소 사용자 보기에서 사용자의 이름을 확인할 수 있습니다. 자세한 정보는 데이터베이스에 ID를 저장하여 볼트를 사용하는 프로그램 설정의 내용을 참조하십시오.

Notes 클라이언트 사용자는 자신의 ID가 저장소에 있는지 확인할 수 있습니다. 이렇게 하려면 파일 > 보안 > 사용자 보안을 클릭하고 이 ID 파일이 저장소에 백업되었습니다가 표시되는지 확인합니다.
이 ID 파일이 저장소에 백업되었습니다 설정

보안 설정

다음 보안 설정을 구성합니다.
  • 서버 구성 문서의 보안 탭에서 인터넷 비밀번호 잠금 적용 필드를 사용 안함으로 설정합니다.
  • SAML 사용자에게 지정되는 보안 정책에서 사용으로 설정되는 Notes® 클라이언트 비밀번호와 인터넷 비밀번호 동기화와 같은 웹 비밀번호 관리 설정을 사용 안함으로 설정합니다.

Domino 웹 서버 테스트(권장)

SAML을 구성하려면 Domino® 및 ID 제공자(IdP)에 대한 협력 구성이 필요하므로, 먼저 Domino® 웹 서버가 IdP와 독립적으로 사용될 때 매우 견고하게 구성되어 있어야 합니다. 따라서 SAML을 구성하기 전에 단일 서버 세션 인증 확인을 위한 Domino® HTTP 서버 설정을 고려하십시오. 이 태스크에는 웹 사용자(예를 들어, Domino® 서버 설치 시 Domino® 디렉토리에 구성된 Domino® 관리자)로 로그인하도록 Domino®를 구성하는 작업이 포함됩니다. 이 관리자가 Domino® 사용자로 로그인하여 Domino® 서버에서 URL을 성공적으로 찾아볼 수 있게 되면 서버에서 SAML을 구성하고 사용할 수 있습니다.

시계 동기화

중요사항: SAML 인증에는 시간소인이 포함됩니다. SAML IdP 컴퓨터와 Domino® SAML 서비스 제공자 컴퓨터의 시계가 동기화되도록 하여 두 컴퓨터가 동일한 현재 시간 표기법을 공유할 수 있게 해야 합니다. 두 시계 간에 시간 차가 너무 크면 어설션의 시간이 유효하지 않은 것처럼 여겨질 수 있으므로 SAML 어설션이 거부될 수 있습니다. 이는 특히 IdP 머신 시간이 Domino® 서버 시간보다 빠른 경우에 문제가 됩니다. Domino®는 미래 시간을 지정하는 것으로 여겨지는 어설션을 거부합니다.
클록 스큐를 피할 수 있는 NOTES.INI 설정에 대한 정보는 Notes 및 Domino wiki에서 다음 문서를 참조하십시오.