创建 Web 服务器 IdP 配置文档
为将参与 SAML 认证的 Web 服务器创建 IdP 配置文档。
开始之前
注: 如果要创建另一个 IdP 配置文档用于通过标识保险库进行联合登录,请创建该文件的备份副本。 当您将 .xml 文件导入到 IdP 配置文档中时,将从本地系统中删除该 .xml 文件。
关于此任务
过程
- 打开 idpcat.nsf。
- 单击添加 IdP 配置以新建配置文档。
-
单击导入 XML 文件,并选择从 IdP 导出的 metadata .xml 文件。在 ADFS 中,此文件名通常为 FederationMetadata.xml。
以下信息是从 .xml 文件中导入的。
表 1. 从 metadata.xml 文件生成其值的 IdP 配置文档中的字段 字段 描述 协议版本 以下某项: - SAML 2.0
- SAML 1.1
- TFIM
联合产品 以下某项: - 兼容 AuthnRequest SAML 2.0
- ADFS
- TFIM
注: Authn 是可用于 SAML 2.0 的标准认证协议。如果您的 IdP 配置为支持 Authn,则最佳做法是保持选中“兼容 AuthnRequest SAML 2.0”。工件解析服务 URL Domino® 为您在联合产品字段中指定的联合服务生成工件 URL。 例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下工件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap.
单点登录服务 URL 如果数据在已导入 XML 文件中可用,那么 Domino® 将为在联合产品字段中指定的联合服务生成登录 URL。 例如,对于 Renovations 组织,可能使用 TFIM、SAML 2.0 和 SSL 来生成以下登录 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.
注: 该字段中的值是到 IdP 的预期 URL 的子集。Domino® 服务器将根据需要生成完整 URL。签署的 X.509 证书 Domino® 从文件导入证书代码。 加密 X.509 证书 Domino® 从文件导入证书代码。
注: 该字段仅在类型字段设置为 SAML 2.0 时才显示。协议支持枚举 Domino® 为类型字段中所指定的 SAML 发行版生成一个字符串,用于为其指定同时由指定的 IdP 支持的协议。此字符串将成为 Domino® 作为服务提供者为此配置文档中所指定 IdP 提供的认证 URL 的一部分。 例如,url.oasis.names.tc:SAML:2.0:protocol。
-
在基本选项卡 > 映射到此站点的主机名或地址字段中,配置 Web 服务器 DNS 主机名。
限制: 如果 Domino Web 服务器使用 SSL,则必须在每个主机名后加上 IP 地址,以分号分隔。重要: 您在此处输入的主机名应与在“服务器”文档的因特网协议/HTTP 选项卡上的主机名字段或“因特网站点(Web 站点)文档的”映射到此站点的主机名或地址字段中输入的主机名相匹配。
例如,输入 mail01.us.renovations.com;n.nn.nnn.n。
如果使用负载均衡器在服务器之间分配请求,请包括负载均衡器以及目标 Web 服务器的主机名和 IP 地址。用分号或按 Enter 键来分隔服务器。例如:
mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n
- 对于状态,请选择禁用。稍后在在 Domino 中启用 SAML 认证过程中将其启用。
-
在服务提供程序标识字段中,输入一个值,以将 Web 服务器标识为 IdP 的服务提供商伙伴。
- 该值必须是结构正确的 URL,但不能用于 HTTP 连接。
- 如果使用 SSL(ADFS 需要),请在 URL 中指定 https:。
- 该值必须与您将创建以标识 Web 服务器的 IdP 信任或伙伴关系中的值匹配。例如,在 ADFS 中,此值必须与“依赖方信任”中的依赖方信任标识符框中指定的值匹配。
-
在基本选项卡的 IdP 名称字段中,输入用于标识身份提供者的 Web 站点的名称;该名称不必准确,且只是为了管理方便。
例如,如果 Renovations 组织具有使用 IBM® Tivoli® Federated Identity Manager 充当身份提供者的第三方托管的支持站点,那么管理员可能输入 Renovations 客户支持 (TFIM)。
-
保存并关闭 IdP 配置文档。您将看到以下消息,因为当前已禁用 IdP 配置文档,而且服务提供者 URL 无法解析。单击是以继续操作并保存。
URL 无效,或者无法解析 DNS 名称:<URL>。仍要保存?
- 可选: 如果要确保对 SAML 断言进行加密以帮助保护敏感数据,请完成任务 生成证书以加密 SAML 断言。在完成任务 将 Domino Web 配置导出到 .xml 文件之前完成,以便在 idp.xml 文件中包含证书。