创建 Web SSO 配置文档

“Web SSO 配置”文档是存储在 HCL Domino®目录中的域范围的配置文档。此文档(应复制到参与单点登录域的所有 Domino® 服务器)将针对参与服务器和管理员进行加密,并包含一个共享密钥,以供服务器用于验证用户凭证。

创建“Web SSO 配置”文档(如果使用的是“因特网站点”视图)

开始之前

确保已创建“Web 站点”文档,并且在“服务器”文档中启用了使用“因特网站点”文档。

另请确保客户机位置文档将主/邮件服务器设置为与参与 SSO 的服务器在同一域中的服务器。这可确保在加密 SSO 文档时能够找到参与服务器的所有公用密钥。

过程

  1. Domino® Administrator 中,单击文件,然后打开服务器的 Domino® 目录(通常是 NAMES.NSF)。
  2. 选择因特网站点视图。
  3. 单击创建 Web SSO 配置
  4. 在文档中,单击密钥
  5. 通过下列两种方法之一用共享密钥初始化 Web SSO 配置:
    • 选择仅限 Domino(没有 IBM® WebSphere® 服务器参与单点登录),然后选择创建 Domino SSO 密钥。如果选择此选项,请勿完成步骤 6,而应转至步骤 7。
    • 选择Domino 和 WebSphere(使用 WebSphere® 进行单点登录),然后继续步骤 6。
  6. 完成文档其余部分,如下所示:
    1. Domino®WebSphere® SSO 配置字段

    字段

    操作

    配置名称

    输入 SSO 配置的名称,同时谨记以下几点:

    • 如果创建多个“Web SSO 配置”文档,请确保给予每个文档一个唯一的名称。按照名称定位 Web SSO 文档,如果多个文档有相同的名称,那么 SSO 配置不能正常工作。但是,创建的多个 SSO 文档只能在限定的环境下工作。所有协议都不能识别多个 SSO 文档。尤其是在使用除缺省名称 LtpaToken 以外的名称时,涉及使用本地 Java 后端类的 Java 代理程序及其他组件的 SSO 都将不起作用。
    • 如果单点登录配置是一个包含 R 5.0xf 服务器的混合发行版配置,那么配置名称必须是 LtpaToken,因为 R 5.0xf 服务器只使用该配置名称。

    组织名称

    (必须填写)输入组织名称。此名称必须与相应的 Web 站点的组织名称相匹配。这样 SSO 文档将与“Web 站点”文档一起出现在因特网站点视图中。

    DNS 域

    (必需)输入将生成的令牌的 DNS 域(例如,.renovations.com)。启用单点登录的所有服务器必须属于您所指定的 DNS 域。

    当输入 DNS 域时,请确保输入初始名称。例如,不要输入 renovations.com;而应输入 .renovations.com

    如果 SSO 域包含 WebSphere® 服务器,那么 WebSphere® 会将 DNS 域视为区分大小写,这样可确保使用正确的大小写来指定 DNS 域值。

    映射 LTPA 令牌中的名称

    启用此选项可将出现在 Domino 所创建的 LTPA 令牌中的用户名映射到 WebSphere® SSO 服务器所需要的用户名。如果是 Domino® 和 Websphere 混合环境,并且 Domino®WebSphere® 不共享同一目录,那么应启用此设置。

    如果希望 Domino 所创建的 LTPA 令牌继续包含用户的 Domino® 专有名称,那么不要启用此选项。

    Domino® 服务器名称

    输入将参与单点登录的 Domino® 服务器的名称(例如,server1/renovations、server2/renovations)。此文档将针对文档创建者、所有者管理员字段的成员,以及 Domino 服务器名称字段中指定的服务器进行加密。

    此字段中不允许出现组、通配符和 WebSphere® 服务器的名称。只有 Domino® 服务器才能作为参与服务器在“服务器名称”字段中列出。

    注: 该字段大小应不超过 64K。当达到该限制时(例如,当输入了几百个服务器的名称时),将出现错误消息。如果达到了此限制,那么建议创建多个 Web SSO 文档。

    Windows 单点登录集成

    启用此选项可允许 Domino® 服务器使用 Web 客户机的 Windows 单点登录。

    LtpaToken 定制 Cookie 名称

    如果不使用缺省名称 LtpaToken 作为浏览器 cookie 名称,请输入要用于浏览器 cookie 的 Domino 的定制名称。

    注: 如果选择了不包含 LtpaToken 的标记格式,则此选项不会出现。
    提示: 此定制名称对与 HCL Digital Experience 兼容有帮助。

    Cookie 名称不能以美元符号字符开头,也不能包含下划线、逗号、分号或空格字符。有些浏览器无法处理非 ASCII 字符,且还可能指定了无法使用的特殊字符。Domino 将 cookie 名称限制为 128 个字符。

    LtpaToken2 定制 Cookie 名称

    如果不使用缺省名称 LtpaToken2 作为浏览器 cookie 名称,请输入要用于浏览器 cookie 的 Domino 的定制名称。

    注: 如果选择了不包含 LtpaToken2 的标记格式,则此选项不会出现。
    提示: 此定制名称对与 HCL Digital Experience 兼容有帮助。

    Cookie 名称不能以美元符号字符开头,也不能包含下划线、逗号、分号或空格字符。有些浏览器无法处理非 ASCII 字符,且还可能指定了无法使用的特殊字符。Domino 将 cookie 名称限制为 128 个字符。

    LDAP 域

    		 此字段的值是从 WebSphere 密钥文件读取的。仅当支持指示您编辑此字段时才能对其进行编辑。

    到期时间(分钟)

    指定令牌有效的时间段(分钟)。此时间段从令牌发布的时间开始算起。令牌只对所指定的分钟数有效。缺省值是 30 分钟。

    注: 如果配置了“空闲会话超时时间”,那么会话超时时间(基于闲置时间)可能会比所指定的到期时间早。

    空闲会话超时时间

    (仅限 Domino 的 SSO 配置)启用此选项以在指定时间内没有活动的情况下结束用户的 SSO 会话,然后提供“最低超时”值。

    注: 如果您选择导入 Websphere LTPA 密钥,那么此选项不会出现在“Web SSO 配置”文档中。

    最小超时时间(分钟)

    如果您启用了“空闲会话超时时间”,将会显示此选项。以分钟为单位指定时间长度(这此时间内,用户会话在超时前不能显示任何活动)。

    如果导入了 Websphere LTPA 密钥,请填写以下字段:

    2. Websphere LTPA 密钥字段

    字段

    操作

    令牌格式

    选择以下某个选项:

    • LtpaToken (与 Domino® 7 及早期版本兼容)
    • LtpaToken2(与 Domino® 7 及早期版本不兼容,但在 SSO 安全方面作了改进)
    • LtpaToken 和 LtpaToken2 (与 Domino® 的所有版本兼容)
    注: IBM® WebSphere® Server R5.1.1 中引入了 LtpaToken2 格式。对此令牌的支持提高了 SSO 部署的安全性。

    LDAP 域

    以此格式指定 LDAP 域: 

    fully-qualified-host-name:port

    对于所有参与的服务器,此域必须相同,LTPA 令牌机制才能起作用。

    LTPA 版本

    此字段的值是从 WebSphere® 密钥文件读取的。

  7. 保存“Web SSO 配置”文档。状态栏中的消息指出该文档针对其进行加密的服务器/用户的数目。文档将出现在因特网站点视图中。

创建“Web SSO 配置”文档(如果使用的是“Web 服务器配置”视图)

关于此任务

如果服务器为 R5.0x 服务器,或者虽然您使用的是 Domino® 6 或更高版本,但未使用“Web 站点”文档来管理 Web 站点,请使用以下过程创建“Web SSO 配置”文档。

过程

  1. Domino® Administrator 中,单击文件,然后打开服务器的 Domino® 目录(通常是 NAMES.NSF)。
  2. 选择服务器视图。
  3. 单击创建 Web SSO 配置
  4. 在“Web SSO 配置”文档中,单击密钥
  5. 通过下列两种方法之一用共享密钥初始化 Web SSO 配置:
    • 选择仅限 Domino(没有 WebSphere® 服务器参与单点登录),然后选择创建 Domino SSO 密钥。如果选择此选项,请勿完成步骤 6,而应转至步骤 7。
    • 选择Domino 和 WebSphere(使用 WebSphere® 进行单点登录),然后继续步骤 6。
  6. 完成文档其余部分,如下所示:
    3. Domino®WebSphere® SSO 配置字段

    字段

    操作

    配置名称

    输入 SSO 配置的名称,同时谨记以下几点:

    • 如果创建多个“Web SSO 配置”文档,请确保给予每个文档一个唯一的名称。按照名称定位 Web SSO 文档,如果多个文档有相同的名称,那么 SSO 配置不能正常工作。但是,创建的多个 SSO 文档只能在限定的环境下工作。所有协议都不能识别多个 SSO 文档。尤其是在使用除缺省名称 LtpaToken 以外的名称时,涉及使用本地 Java 后端类的 Java 代理程序及其他组件的 SSO 都将不起作用。
    • 如果单点登录配置是一个包含 R 5.0xf 服务器的混合发行版配置,那么配置名称必须是 LtpaToken,因为 R 5.0xf 服务器只使用该配置名称。

    组织名称

    保留此字段为空,此文档将出现在“Web 配置”视图中。

    DNS 域

    (必需)输入生成的令牌所属的 DNS 域(例如 .renovations.com)。启用单点登录的所有服务器必须属于同一个 DNS 域。

    当输入 DNS 域时,请确保输入初始名称。例如,不要输入 renovations.com;而应输入 .renovations.com

    如果 SSO 域包含 WebSphere® 服务器,那么 WebSphere® 会将 DNS 域视为区分大小写,这样可确保使用正确的大小写来指定 DNS 域值。

    映射 LTPA 令牌中的名称

    启用此选项可将出现在 Domino 所创建的 LTPA 令牌中的用户名映射到 WebSphere® SSO 服务器所需要的用户名。如果是 Domino® 和 Websphere 混合环境,并且 Domino®WebSphere® 不共享同一目录,那么应启用此设置。

    如果希望 Domino 所创建的 LTPA 令牌继续包含用户的 Domino® 专有名称,那么不要启用此选项。

    Domino® 服务器名称

    输入将参与单点登录的 Domino® 服务器的名称(例如,server1/renovations、server2/renovations)。此文档将针对文档创建者、所有者和管理员字段的成员,以及 Domino® 服务器名称字段中指定的服务器进行加密。

    注: 此字段中不允许出现组、通配符和 WebSphere® 服务器的名称。只有 Domino® 服务器才能作为参与服务器在“服务器名称”字段中列出。

    Windows 单点登录集成

    启用此选项可允许 Domino® 服务器使用 Web 客户机的 Windows 单点登录。

    LtpaToken 定制 Cookie 名称

    如果不使用缺省名称 LtpaToken 作为浏览器 cookie 名称,请输入要用于浏览器 cookie 的 Domino 的定制名称。

    注: 如果选择了不包含 LtpaToken 的标记格式,则此选项不会出现。
    提示: 此定制名称对与 HCL Digital Experience 兼容有帮助。

    Cookie 名称不能以美元符号字符开头,也不能包含下划线、逗号、分号或空格字符。有些浏览器无法处理非 ASCII 字符,且还可能指定了无法使用的特殊字符。Domino 将 cookie 名称限制为 128 个字符。

    LtpaToken2 定制 Cookie 名称

    如果不使用缺省名称 LtpaToken2 作为浏览器 cookie 名称,请输入要用于浏览器 cookie 的 Domino 的定制名称。

    注: 如果选择了不包含 LtpaToken2 的标记格式,则此选项不会出现。
    提示: 此定制名称对与 HCL Digital Experience 兼容有帮助。

    Cookie 名称不能以美元符号字符开头,也不能包含下划线、逗号、分号或空格字符。有些浏览器无法处理非 ASCII 字符,且还可能指定了无法使用的特殊字符。Domino 将 cookie 名称限制为 128 个字符。

    到期时间(分钟)

    指定令牌有效的时间段(分钟)。此时间段从令牌发布的时间开始算起。令牌只对所指定的分钟数有效。缺省值是 30 分钟。

    注: 如果配置了“空闲会话超时时间”,那么会话超时时间(基于闲置时间)可能会比所指定的到期时间早。

    空闲会话超时时间

    启用此选项以在指定时间内没有活动的情况下结束用户的 SSO 会话,然后提供“最低超时”值。

    注: 如果您选择导入 Websphere LTPA 密钥,那么此选项不会出现在“Web SSO 配置”文档中。

    最小超时时间(分钟)

    如果您启用了“空闲会话超时时间”,将会显示此选项。以分钟为单位指定时间长度(这此时间内,用户会话在超时前不能显示任何活动)。

    如果导入了 Websphere LTPA 密钥,请填写以下字段:

    4. Websphere LTPA 密钥字段

    字段

    操作

    令牌格式

    选择以下某个选项:

    • LtpaToken (与 Domino® 7 及早期版本兼容)
    • LtpaToken2(与 Domino® 7 及早期版本不兼容,但在 SSO 安全方面作了改进)
    • LtpaToken 和 LtpaToken2 (与 Domino® 的所有版本兼容)
    注: IBM® WebSphere® Server R5.1.1 中引入了 LtpaToken2 格式。对此令牌的支持提高了 SSO 部署的安全性。

    LDAP 域

    以此格式指定 LDAP 域: 

    <fully-qualified-host-name>:<port>

    对于所有参与的服务器,此域必须相同,LTPA 令牌机制才能起作用。

    LTPA 版本

    此字段的值是从 WebSphere® 密钥文件读取的。

  7. 保存“Web SSO 配置”文档。状态栏中的消息指出该文档针对其进行加密的服务器/用户的数目。文档将出现在 Web 服务器配置视图中。
    注: 如果客户机上出现消息指出没有找到加密文档的特定密钥,那么必须更改客户机的“位置”文档,使其指向另一台邮件/目录服务器,该服务器的服务器和个人文档中应包括所有的公用密钥。