生成证书以加密 SAML 断言
如果断言包括的属性包含敏感个人数据(例如,社会安全号),那么贵组织可能需要将 SAML 断言加密。Domino®将整个 SAML 断言加密;无法对特定属性进行部分加密。
关于此任务
要加密 SAML 断言,必须在 server.id 文件中导入 Domino 的因特网证书。此步骤可以通过 IdP 配置文档自动完成。自动方法最简单,但并非任何时候都可以使用这种方法。如果满足以下任一条件,则必须手动生成证书:
- Domino 服务器的服务器标识文件受密码保护。
- 您想重新使用服务器标识文件中已经存在的因特网证书。
- 服务器文档的完全访问权管理员 > 管理员 > 签署或运行不受限制的方法和操作中未列出 IdP 目录的签名者(或者该签名者不属于其中一个组)。
注: 您可以通过其他方法来创建因特网证书,例如使用 Domino® 认证中心 (CA),只要因特网证书密钥用途允许用于签署。
注: 将 IdP 配置导出到 idp.xml 之前,请完成此过程。这样,idp.xml 就会包含证书,且会将证书与其他 Domino 配置信息一起导入到您的 IdP 中。