创建 Web 服务器 IdP 配置文档

为将参与 SAML 认证的 Web 服务器创建 IdP 配置文档。

开始之前

将您从 IdP 导出的元数据 .xml 文件(例如 FederationMetadata.xml)放在可以访问它的位置,以便可以将其导入到 IdP 配置文档中。
注: 如果要创建另一个 IdP 配置文档用于通过标识保险库进行联合登录,请创建该文件的备份副本。 当您将 .xml 文件导入到 IdP 配置文档中时,将从本地系统中删除该 .xml 文件。

关于此任务

如果您的 Web 服务器位于负载均衡器或 IP sprayer 的后面,请创建一个 Web 服务器 IdP 配置文档。您的 IdP 将连接到负载平衡器或 IP sprayer。如果您的 Web 服务器不在负载均衡器或 IP sprayer 的后面,请为每个 Web 服务器创建一个单独的 IdP 配置文档。

过程

  1. 打开 idpcat.nsf
  2. 单击添加 IdP 配置以新建配置文档。
  3. 单击导入 XML 文件,并选择从 IdP 导出的 metadata .xml 文件。在 ADFS 中,此文件名通常为 FederationMetadata.xml
    以下信息是从 .xml 文件中导入的。
    1. metadata.xml 文件生成其值的 IdP 配置文档中的字段
    字段 描述
    协议版本 以下某项:
    • SAML 2.0
    • SAML 1.1
    • TFIM
    联合产品 以下某项:
    • 兼容 AuthnRequest SAML 2.0
    • ADFS
    • TFIM
    注: Authn 是可用于 SAML 2.0 的标准认证协议。如果您的 IdP 配置为支持 Authn,则最佳做法是保持选中“兼容 AuthnRequest SAML 2.0”。
    工件解析服务 URL Domino® 为您在联合产品字段中指定的联合服务生成工件 URL。

    例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下工件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap.

    单点登录服务 URL 如果数据在已导入 XML 文件中可用,那么 Domino® 将为在联合产品字段中指定的联合服务生成登录 URL。

    例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下登录 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.

    注: 该字段中的值是到 IdP 的预期 URL 的子集。Domino® 服务器将根据需要生成完整 URL。
    签署的 X.509 证书 Domino® 从文件导入证书代码。
    加密 X.509 证书

    Domino® 从文件导入证书代码。

    注: 该字段仅在类型字段设置为 SAML 2.0 时才显示。
    协议支持枚举 Domino®类型字段中所指定的 SAML 发行版生成一个字符串,用于为其指定同时由指定的 IdP 支持的协议。此字符串将成为 Domino® 作为服务提供者为此配置文档中所指定 IdP 提供的认证 URL 的一部分。

    例如,url.oasis.names.tc:SAML:2.0:protocol

  4. 基本选项卡 > 映射到此站点的主机名或地址字段中,配置 Web 服务器 DNS 主机名。
    限制: 如果 Domino Web 服务器使用 SSL,则必须在每个主机名后加上 IP 地址,以分号分隔。
    重要: 您在此处输入的主机名应与在“服务器”文档的因特网协议/HTTP 选项卡上的主机名字段或“因特网站点(Web 站点)文档的”映射到此站点的主机名或地址字段中输入的主机名相匹配。

    例如,输入 mail01.us.renovations.com;n.nn.nnn.n

    如果使用负载均衡器在服务器之间分配请求,请包括负载均衡器以及目标 Web 服务器的主机名和 IP 地址。用分号或按 Enter 键来分隔服务器。例如:

    mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n

  5. 对于状态,请选择禁用。稍后在在 Domino 中启用 SAML 认证过程中将其启用。
  6. 服务提供程序标识字段中,输入一个值,以将 Web 服务器标识为 IdP 的服务提供商伙伴。
    • 该值必须是结构正确的 URL,但不能用于 HTTP 连接。
    • 如果使用 SSL(ADFS 需要),请在 URL 中指定 https:
    • 该值必须与您将创建以标识 Web 服务器的 IdP 信任或伙伴关系中的值匹配。例如,在 ADFS 中,此值必须与“依赖方信任”中的依赖方信任标识符框中指定的值匹配。
    例如:https://mail.us.renovations.com.
  7. 基本选项卡的 IdP 名称字段中,输入用于标识身份提供者的 Web 站点的名称;该名称不必准确,且只是为了管理方便。
    例如,如果 Renovations 组织具有使用 IBM® Tivoli® Federated Identity Manager 充当身份提供者的第三方托管的支持站点,那么管理员可能输入 Renovations 客户支持 (TFIM)。
  8. 保存并关闭 IdP 配置文档。您将看到以下消息,因为当前已禁用 IdP 配置文档,而且服务提供者 URL 无法解析。单击以继续操作并保存。 
    URL 无效,或者无法解析 DNS 名称:<URL>。仍要保存?
  9. 可选: 如果要确保对 SAML 断言进行加密以帮助保护敏感数据,请完成任务 生成证书以加密 SAML 断言。在完成任务 将 Domino Web 配置导出到 .xml 文件之前完成,以便在 idp.xml 文件中包含证书。