配置 Web 客户机 Windows™ 单点登录环境中的用户名映射

参与 Web 客户机 Windows™ 单点登录的 Web 用户拥有 Active Directory 帐户。他们通常在 Domino® 目录中也拥有“个人”文档。配置用户名映射可支持 HCL Domino®服务器协调在两个目录中找到的用户名。

用户名映射要达到三个目标。首先，当 Domino® 服务器在 Active Directory 中找到用户的 LDAP 专有名称以及在 Domino® 目录中找到用户的 HCL Notes® 专有名称时，支持服务器验证这两个名称是否属于同一个用户。为了链接这两个名称，服务器会验证 Active Directory 用户帐户中用户的 mail 属性值与“个人”文档中“因特网地址”的值是否相同。

其次，可能需要名称映射来确定用户的 Notes® 专有名称。在某些服务器不使用 Domino® 目录而是只使用 Active Directory 的 SSO 环境中，用户的 LTPA 令牌会包含用户的 Active Directory 专有名称。例如，IBM® WebSphere® Application Server服务器可配置为将 Active Directory 用于用户存储库。在此环境中，LTPA 令牌通常包含 Web 用户的 Active Directory 专有名称。由于 Domino® 数据库上的 ACL 通常会引用 Web 用户的 Notes® 专有名称，因此必须将 LTPA 令牌中的 Active Directory 专有名称映射到 Notes® 专有名称，从而使 Domino® 服务器可确定 Web 用户对其数据库的访问权。如果 LTPA 令牌已配置为包含用户的 Notes® 专有名称（使用 Domino® SSO 密钥时为缺省值）而不是包含从 WebSphere® 导入的 SSO 密钥，那么不必执行此步骤。

最后，用户名映射指定用于在 Windows™ 单点登录不可用时用于验证用户密码以及 Web 用户连接到 SSO 域中的服务器时初始必须登录到的目录。Windows™ 单点登录不适用于：

• 通过因特网连接的 Web 客户机
• 通过内部网连接但未设置 Windows™ 单点登录的 Web 客户机
• 通过内部网连接且设置为使用 Windows™ 单点登录但未登录到 Active Directory 域的 Web 客户机
• 在 Domino® Web 服务器计算机上运行的 Web 客户机

配置名称映射的方法

配置用户名映射的方法取决于主要是通过 Active Directory 还是 Domino® 目录来管理用户。您应该会考虑使用更容易修改和维护的目录。如果使用单独认证应用程序来认证因特网用户，那么还可以最大程度地减少目录修改。