创建标识保险库服务器 IdP 配置文档
此配置文档用于 Notes 联合登录和 Web 联合登录。
开始之前
过程
- 打开 idpcat.nsf。
- 单击添加 IdP 配置以新建配置文档。
-
单击导入 XML 文件,并选择从 IdP 导出的 metadata .xml 文件。在 ADFS 中,此文件名通常为 FederationMetadata.xml。
以下信息是从 .xml 文件中导入的。
表 1. 从 metadata .xml 文件生成其值的 IdP 配置文档中的字段 字段 描述 协议版本 以下某项: - SAML 2.0
- SAML 1.1
- TFIM
联合产品 以下某项: - 兼容 AuthRequest SAML 2.0
- ADFS
- TFIM
注: Authn 是可用于 SAML 2.0 的标准认证协议。如果您的 IdP 配置为支持 Authn,则最佳做法是保持选中“兼容 AuthnRequest SAML 2.0”。工件解析服务 URL Domino® 为您在联合产品字段中指定的联合服务生成工件 URL。 例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下工件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap.
单点登录服务 URL 如果数据在已导入 XML 文件中可用,那么 Domino® 将为在联合产品字段中指定的联合服务生成登录 URL。 例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下登录 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.
注: 该字段中的值是到 IdP 的预期 URL 的子集。Domino® 服务器将根据需要生成完整 URL。签署的 X.509 证书 Domino® 从文件导入证书代码。 加密 X.509 证书 Domino® 从文件导入证书代码。
注: 该字段仅在类型字段设置为 SAML 2.0 时才显示。协议支持枚举 Domino® 为类型字段中所指定的 SAML 发行版生成一个字符串,用于为其指定同时由指定的 IdP 支持的协议。此字符串将成为 Domino® 作为服务提供者为此配置文档中所指定 IdP 提供的认证 URL 的一部分。 例如,url.oasis.names.tc:SAML:2.0:protocol。
-
在基本选项卡的映射到此站点的主机名或地址字段中,输入标识符保险库的 DNS 主机名,以字符串 vault. 开头,例如:
vault.domino1.us.renovations.com - 对于状态,请选择禁用。稍后在启用联合登录时启用它。
-
在服务提供者标识字段中,输入一个值,以将标识保险库服务器标识为 IdP 的服务提供者伙伴。
例如: https://vault.domino1.us.renovations.com
- 该值必须具有正确结构,但不能用于 HTTP 连接。
- 如果使用 SSL(ADFS 需要),请在 URL 中指定 https:。
- 该值必须与您将创建以标识标识保险库服务器的 IdP 信任或伙伴关系中的值匹配。例如,在 ADFS 中,此值必须与“依赖方信任”中的依赖方信任标识符框中指定的值匹配。
-
在客户机设置选项卡上,完成以下与 Notes 联合登录相关的步骤:
- 如果将集成 Windows 认证 (IWA) 与 ADFS 一起使用,则将启用 Windows 单点登录设置为“是”。Notes 联合登录需要该字段,以便 Domino® 知道如何设置 Notes® 客户机嵌入式浏览器。
- 在信任的站点字段中,列出不同于基本选项卡中配置的主机名的信任身份提供者 (IdP) Web 主机名。用分号或回车字符分隔各项。
- 如果 Notes® 客户机嵌入式浏览器要求在登录顺序中在 IdP 处访问的任何 URL 应该受到 SSL 的保护,请将强制使用 SSL 字段保持设置为“是”。
- 保存并关闭 IdP 配置文档。
- 可选: 如果要确保对 SAML 断言进行加密以保护敏感数据,请完成任务 生成证书以加密 SAML 断言。在完成任务 将标识保险库服务器配置导出到 .xml 文件之前完成,以便在 idp.xml 文件中包含证书。