为标识保险库服务器设置依赖方信任

在 Active Directory Federated Services (ADFS) 中为 Domino 标识保险库服务器设置依赖方信任。这些过程描述了 ADFS 3.0 和 ADFS 4.0 的步骤。

关于此任务

此过程适用于 Active Directory Federation Services (ADFS)。如果使用 Tivoli Federated Identity Manager (TFIM),则建立伙伴关系。有关更多信息,请参阅 Notes 和 Domino Wiki 中的文章Cookbook:在 TFIM 上设置新的合作伙伴

过程

  1. 在 ADFS 中,选择启动 > 管理工具 > AD FS 管理
  2. 导航到“依赖方信任”文件夹。
  3. 选择操作 > 添加依赖方信任
  4. 单击启动以运行添加依赖方信任向导。
  5. 在“选择数据源”窗口中,选择从文件导入有关依赖方的数据,选择从相应的标识保险库服务器 IdP 配置文档中导出的 idp.xml 文件。然后,单击下一步
    注:idp.xml 文件导入时,将自动填充步骤 6-10 的值。如果选择手动输入有关依赖方的数据,则自行输入这些值。
  6. 在“选择显示名称”窗口中,输入代表服务提供者的显示名称,例如 Domino Renovations 保险库。单击下一步
  7. 在“选择概要文件”窗口中,选择 AD FS 概要文件,然后单击下一步
  8. 在“配置证书”窗口中,单击下一步
  9. 在“配置 URL”窗口中,选择启用对 SAML 2.0 WebSSO 协议的支持。对于依赖方 SAML 2.0 SSO 服务 URL,请输入以下 URL:
    https://<host>/names.nsf?SAMLIDLogin
    其中 <host> 是 Web 服务器或标识保险库服务器,具体取决于您是否使用 Web 联合登录:
    1. 在标识保险服务器依赖方信任中指定依赖方 SAML 2.0 SSO 服务 URL 主机名
    如果使用 Web 联合登录 如果仅使用 Notes 联合登录
    指定将参与联合登录的 Web 服务器的 DNS 主机名。例如:
    https://mail.us.renovations.com/names.nsf?SAMLIDLogin
    • 请注意,URL 的结束字符串为 /names.nsf?SAMLIDLogin。此字符串与 Web 服务器信任文档的 URL 的结尾字符串不同,它为 /names.nsf?SAMLLogin
    • 指定 Web 服务器主机名,而不是标识保险库服务器主机名。这样,iNotes 用户就可以从标识保险服务器获取凭证以进行联合登录。
    • 主机名必须与您创建的 Web 服务器 IdP 配置文档映射到该站点的主机名或地址字段中包含的主机名匹配。不要使用标识保险库服务器 IdP 配置文档中指定的主机名。
    • 每个“信任”文档只能指定一个 Web 服务器主机。
    • 如果负载均衡器后面有多个 Web 服务器主机,请在此处指定负载均衡器主机名。如果没有负载平衡器,请重复此过程并为每个 Web 服务器创建一个单独的“信任”文档。
    指定将参与联合登录的 Domino 标识保险库服务器的 DNS 主机名。例如:
    https://vault.domino1.us.renovations.com/names.nsf?SAMLIDLogin
    • 主机名必须与您创建的标识保险库服务器 IdP 配置文档映射到该站点的主机名或地址字段中包含的主机名匹配。
    以下示例显示了使用 Web 联合登录时为 Web 服务器指定的主机名:
    “配置 URL”窗口中的依赖方 SAML 2.0 SSO 服务 URL
  10. 在“配置标识符”窗口的依赖方信任标识符字段中,输入 URL 以标识“标识保险库服务器”,然后单击添加下一步
    此 URL 必须与您在标识保险库服务器的 IdP 配置文档的服务提供者标识字段中指定的 URL 匹配。例如: https://vault.domino1.us.renovations.com
    注: 该 URL 仅用作标识符,不用于 HTTP 连接。

    “配置标识符”窗口中的依赖方信任标识符
  11. 单击下一步跳过“立即配置多因素身份验证?” 窗口。
  12. 在“选择发布授权规则”窗口中,选择允许所有用户访问此依赖方,然后单击下一步
  13. 在“准备添加信任”窗口中,单击下一步
  14. 在“完成”窗口中,选择向导关闭时,打开此依赖方信任的“编辑声明规则”对话框,然后单击关闭
  15. 如果在向导关闭时未打开“编辑声明规则”对话框,请右键单击您创建的“依赖方信任”的名称,然后选择编辑声明规则...
  16. 在“编辑声明规则”对话框中,单击添加规则
  17. 在“选择规则模板”对话框中,对于“选择规则类型”,选择发送 LDAP 属性作为声明,然后单击下一步
  18. 完成“配置规则”对话框:
    1. 对于声明规则名称,输入 EmailAddressToNameID
    2. 对于属性存储,选择 Active Directory
    3. 对于 LDAP 属性,选择 E-Mail-Addresses
    4. 对于传出声明类型,选择名称标识
    5. 单击完成
  19. 在“编辑声明规则”对话框中,单击应用,然后单击确定
  20. AD FS 信任关系 > 依赖方信任文件夹中:
    1. 右键单击为 Domino 创建的新依赖方信任,然后选择属性
    2. 单击“端点”选项卡。
    3. 对于 SAML Assertion Consumer Endpoints,请验证是否存在 Domino 的 POST 绑定 URL。另外,如果有工件绑定 URL,请删除它,因为 Domino 仅使用 POST 绑定。

      Domino 的端点 POST 绑定 URL。