自动生成证书以加密 SAML 断言

您可以生成证书,用于从 IdP 配置文档自动加密 SAML 断言。

关于此任务

从将对用户进行认证的服务器创建证书。对于 Web 用户(Web 联合登录),请为每个邮件服务器创建证书,以允许使用安全的邮件操作。对于 Notes 用户(Notes 联合登录),请从标识保险库服务器创建证书。

如果服务器标识文件不受密码保护并且您想要在服务器标识文件中创建新的因特网证书,那么可以使用本过程。否则,请遵循手动生成证书的过程。

要完成此任务,您必须被列在服务器文档的完全访问权管理员 > 管理员 > 签署或运行不受限制的方法和操作中(或属于其中一个组)。

使用 IdP 配置文档中的创建证书按钮自动生成证书。
注: 请先完成本过程,然后再使用 IdP 配置文档中的导出 XML 按钮将配置导出到 idp.xml 文件。然后,证书会自动包含在您导入到 IdP 的 Domino 元数据 .xml 文件 (idp.xml) 中。

过程

  1. 打开 idpcat.nsf 中的 Web 服务器 IdP 配置文档或标识保险库服务器 IdP 配置文档。请在您要生成证书的服务器上打开。
  2. 单击“证书管理”选项卡。
  3. 单击创建 SP 证书。在创建公司证书提示中,输入您的公司名称并单击确定,以将名称添加到公司名称字段。

    创建证书时,Domino® 会在“公司名称”字段中的字符串前附加“CN=”,并将此名称用作证书主题。在导入元数据文件之后,该名称可能显示在 IdP 配置中。

  4. Domino URL 字段中,输入字符串以标识 Domino® 服务器的 URL 中的标准 DNS 名称。
    例如,输入: 
    https://your_SAML_service_provider_hostname
    此字段中的字符串由 IdP 用作 URL 的起始部分,该 URL 用于将用户的 SAML 断言发送回 Domino®
    注: 此主机名不得包含 vault,即使其包含在“基本”选项卡上的服务提供者标识中。
    注: 如果没有在 Domino® 处配置 SSL 且您将 TFIM 用于 IdP,那么该设置将包括 http 而不是 https,例如:http://domino1.us.renovations.com.
    注: 通常,您可以重复在基本选项卡上的服务提供者标识字段中输入的字符串。但是,如果您要设置同时用于 Notes® 联合登录与 iNotes® Web 联合登录的标识保险库文件的合作伙伴关系,则请改为在 URL 中使用 iNotes® 服务器的 Web 地址的标准 DNS 名称(DNS 主机名或因特网站点名称)。例如:https://dom1.renovations.com.
  5. 单注销 URL 字段中,输入 URL。即使您的 IdP 不需要或支持单注销,您仍应该输入语义正确的 URL,以使导出的元数据文件有正确的语法。使用 SAML 2.0 配置的 TFIM IdP 要求在 IdP 和 Domino® 元数据文件中指定单点注销 URL,尽管 Domino® 当前未实施 SAML 2.0 单点注销功能。
    TFIM 的注销 URL 的示例为: 
    https://your_tfim_server.com/sps/samlTAM20/saml20

下一步做什么

将 Web 服务器或标识保险库服务器配置导出到 idp.xml