ID 볼트 서버의 신뢰 당사자 트러스트 설정

ADFS(Active Directory Federated Services)에서 Domino ID 볼트 서버의 신뢰 당사자 트러스트를 설정합니다. 이 절차에서는 ADFS 3.0 및 ADFS 4.0의 단계를 설명합니다.

이 태스크 정보

이 절차는 ADFS(Active Directory Federation Services)에 적용됩니다. TFIM(Tivoli Federated Identity Manager)을 사용하는 경우에는 파트너십을 설정합니다. 자세한 내용은 Notes 및 Domino wiki에서 쿡북: TFIM에서 새 파트너 설정 문서를 참조하십시오.

프로시저

  1. ADFS에서 시작 > 관리 도구 > AD FS 관리를 선택합니다.
  2. 신뢰 당사자 트러스트 폴더로 이동합니다.
  3. 작업 > 신뢰 당사자 트러스트 추가를 선택합니다.
  4. 시작을 클릭하여 신뢰 당사자 트러스트 추가 마법사를 실행합니다.
  5. 데이터 소스 선택 창에서 파일에서 신뢰 당사자에 대한 데이터 가져오기를 선택하고, 해당하는 ID 볼트 서버 IdP 환경 설정 문서에서 내보낸 idp.xml 파일을 선택합니다. 그리고 다음을 클릭합니다.
    주: idp.xml 파일에서 가져오면 6~10단계의 값이 자동으로 채워집니다. 수동으로 신뢰 당사자 관련 데이터 입력을 선택하는 경우에는 이러한 값을 직접 입력합니다.
  6. 표시 이름 선택 창에 서비스 제공자를 나타내는 표시 이름(예: Domino Renovations 저장소)을 입력합니다. 다음을 클릭합니다.
  7. 프로필 선택 창에서 AD FS 프로필을 선택하고 다음을 클릭합니다.
  8. 인증서 구성 창에서 다음을 클릭합니다.
  9. URL 구성 창에서 SAML 2.0 WebSSO 프로토콜 지원 사용을 선택합니다. 신뢰 당사자 SAML 2.0 SSO 서비스 URL에 다음 URL을 입력합니다. 
    https://<host>/names.nsf?SAMLIDLogin
    여기서 <host>는 웹 연합 로그인을 사용하는지 여부에 따라 웹 서버나 ID 볼트 서버입니다.
    1. ID 볼트 서버 신뢰 당사자 트러스트에서 신뢰 당사자 SAML 2.0 SSO 서비스 URL 호스트 이름 지정
    웹 연합 로그인을 사용하는 경우 Notes 연합 로그인만 사용하는 경우
    연합 로그인에 참여할 웹 서버의 DNS 호스트 이름을 지정합니다. 예를 들어, 다음과 같습니다.
    https://mail.us.renovations.com/names.nsf?SAMLIDLogin
    • URL의 끝 문자열은 /names.nsf?SAMLIDLogin입니다. 이 문자열은 웹 서버 트러스트 문서에 대한 URL의 끝 문자열인 /names.nsf?SAMLLogin과 다릅니다.
    • ID 볼트 서버 호스트 이름이 아니라 웹 서버 호스트 이름을 지정합니다. 이렇게 하면 iNotes 사용자가 ID 볼트 서버에서 연합 로그인을 위한 자격 증명을 가져올 수 있습니다.
    • 이 호스트 이름은 작성하는 웹 서버 IdP 환경 설정 문서이 사이트에 매핑된 호스트 이름 또는 주소 필드에 포함되는 호스트 이름과 일치해야 합니다. ID 볼트 서버 IdP 환경 설정 문서에 지정된 호스트 이름을 사용하지 마십시오.
    • 트러스트 문서당 웹 서버 호스트를 하나만 지정할 수 있습니다.
    • 로드 밸런서 뒤에 여러 웹 서버 호스트가 있는 경우에는 여기에 로드 밸런서 호스트 이름을 지정합니다. 로드 밸런서가 없는 경우에는 이 절차를 반복하여 웹 서버마다 별도의 트러스트 문서를 만듭니다.
    연합 로그인에 참여할 Domino ID 서버의 DNS 호스트 이름을 지정합니다. 예를 들어, 다음과 같습니다.
    https://vault.domino1.us.renovations.com/names.nsf?SAMLIDLogin
    • 이 호스트 이름은 작성한 ID 볼트 서버 IdP 환경 설정 문서이 사이트에 매핑된 호스트 이름 또는 주소 필드에 포함되는 호스트 이름과 일치해야 합니다.
    다음 예제에서는 웹 연합 로그인을 사용할 때 웹 서버에 대해 지정한 호스트 이름을 보여 줍니다.
    URL 구성 창에 있는 신뢰 당사자 SAML 2.0 SSO 서비스 URL
  10. 식별자 구성 창에서 신뢰 당사자 트러스트 식별자 필드에 ID 볼트 서버를 식별하는 URL을 입력한 후 추가다음을 클릭합니다.
    이 URL은 ID 볼트 서버 IdP 환경 설정 문서의 서비스 제공자 ID 필드에 지정하는 URL과 일치해야 합니다. 예를 들어, 다음과 같습니다. https://vault.domino1.us.renovations.com
    주: 이 URL은 식별자로만 사용되며 HTTP 연결에는 사용되지 않습니다.

    식별자 구성 창에 있는 신뢰 파트너 트러스트 식별자
  11. 다음을 클릭하여 지금 다단계 인증을 구성하시겠습니까? 창을 건너뜁니다.
  12. 발급 권한 부여 규칙 선택 창에서 모든 사용자가 이 신뢰 당사자에 액세스할 수 있도록 허용을 선택하고 다음을 클릭합니다.
  13. 트러스트 추가 준비 완료 창에서 다음을 클릭합니다.
  14. 마침 창에서 마법사를 닫을 때 이 신뢰 당사자 트러스트의 클레임 규칙 편집 대화 상자 열기를 선택하고 닫기를 클릭합니다.
  15. 마법사를 닫을 때 클레임 규칙 편집 대화 상자가 열리지 않으면 만든 신뢰 당사자 트러스트의 이름을 마우스 오른쪽 단추로 클릭하고 클레임 규칙 편집...을 선택합니다.
  16. 클레임 규칙 편집 대화 상자에서 규칙 추가를 클릭합니다.
  17. 규칙 템플리트 선택 대화 상자의 규칙 유형 선택에서 LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
  18. 다음과 같이 규칙 구성 대화 상자를 완료합니다.
    1. 클레이임 규칙 이름EmailAddressToNameID를 입력합니다.
    2. 특성 저장소에서 Active Directory를 선택합니다.
    3. LDAP 특성에서 E-Mail-Addresses를 선택합니다.
    4. 나가는 클레임 유형에서 이름 ID를 선택합니다.
    5. 완료를 누르십시오.
  19. 클레임 규칙 편집 대화 상자에서 적용확인을 클릭합니다.
  20. AD FS 트러스트 관계 > 신뢰 당사자 트러스트 폴더에서 다음을 수행합니다.
    1. Domino에 대해 만든 새 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
    2. 끝점 탭을 클릭합니다.
    3. SAML 어설션 소비자 끝점에서 Domino의 POST 바인딩 URL이 있는지 확인합니다. 또한 아티팩트 바인딩 URL이 있는 경우 Domino에서는 POST 바인딩만 사용하므로 제거합니다.

      Domino의 끝점 POST 바인딩 URL.