在 ADFS 3.0 上为 Web 服务器设置依赖方信任

使用此过程为参与 SAML 认证的 Domino Web 服务器在 ADFS 3.0 中设置依赖方信任。

过程

  1. 在 ADFS 中,选择启动 > 管理工具 > AD FS 管理
  2. 导航到“依赖方信任”文件夹。
  3. 选择操作 > 添加依赖方信任
  4. 单击启动以运行添加依赖方信任向导。
  5. 在“选择数据源”窗口中,选择从文件导入有关依赖方的数据,选择从相应的 Web 服务器 IdP 配置文档中导出的 ServiceProvider.xml 文件。然后,单击下一步
    注:ServiceProvider.xml 文件导入时,将自动填充步骤 6-10 的值。如果选择手动输入有关依赖方的数据,则自行输入这些值。
  6. 在“选择显示名称”窗口中,输入代表服务提供者的显示名称,例如 Domino Renovations Web 站点。单击下一步
  7. 在“选择概要文件”窗口中,选择 AD FS 概要文件,然后单击下一步
  8. 在“配置证书”窗口中,单击下一步
  9. 在“配置 URL”窗口中,选择启用对 SAML 2.0 WebSSO 协议的支持。对于依赖方 SAML 2.0 SSO 服务 URL,请输入以下 URL: 
    https://<host>/names.nsf?SAMLLogin
    其中,<host> 是将参与联合登录的 Domino Web 服务器的 DNS 主机名。例如:
    https://mail.us.renovations.com/names.nsf?SAMLLogin
    • 主机名必须与您创建的 Web 服务器 IdP 配置文档中映射到该站点的主机名或地址字段中指定的主机名匹配。
    • 每个“信任”文档只能指定一个 Web 服务器主机。如果负载均衡器或 sprayer 后面有多个 Web 服务器主机,请在此处指定负载均衡器或 sprayer 主机名。如果没有负载平衡器或 sprayer,请重复此过程并为每个 Web 服务器创建一个单独的“信任”文档。
    • 每个带有“信任”文档的 Web 服务器都需要一个对应的 IdPcat 配置文档。

    Web 服务器的“配置 URL”窗口中的依赖方 SAML 2.0 SSO 服务 URL
  10. 在“配置标识符”窗口的依赖方信任标识符字段中,输入 URL 以标识 Web 服务器,然后单击添加下一步
    此 URL 必须与您在 Web 服务器 IdP 配置文档的服务提供者标识字段中指定的 URL 匹配。例如: https://mail.us.renovations.com
    注: 该 URL 仅用作标识符,不用于 HTTP 连接。

    Web 服务器的“配置标识符”窗口中的依赖方信任标识符
  11. 单击下一步跳过“立即配置多因素身份验证?” 窗口。
  12. 在“选择发布授权规则”窗口中,选择允许所有用户访问此回复方,然后单击下一步
  13. 在“准备添加信任”窗口中,单击下一步
  14. 在“完成”窗口中,选择向导关闭时,打开此依赖方信任的“编辑声明规则”对话框,然后单击关闭
  15. 如果在向导关闭时未打开“编辑声明规则”对话框,请右键单击您创建的“依赖方信任”的名称,然后选择编辑声明规则...
  16. 在“编辑声明规则”对话框中,单击添加规则
  17. 在“选择规则模板”对话框中,对于“选择规则类型”,选择发送 LDAP 属性作为声明,然后单击下一步
  18. 完成“配置规则”对话框:
    1. 对于声明规则名称,输入 EmailAddressToNameID
    2. 对于属性存储,选择 Active Directory
    3. 对于 LDAP 属性,选择 E-Mail-Addresses
    4. 对于传出声明类型,选择名称标识
    5. 单击完成
  19. 在“编辑声明规则”对话框中,单击应用,然后单击确定
  20. AD FS 信任关系 > 依赖方信任文件夹中:
    1. 右键单击为 Domino 创建的新依赖方信任,然后选择属性
    2. 单击“端点”选项卡。
    3. 对于 SAML Assertion Consumer Endpoints,请验证是否存在 Domino 的 POST 绑定 URL。另外,如果有工件绑定 URL,请删除它,因为 Domino 仅使用 POST 绑定。

      Domino Web 服务器的端点 POST 绑定 URL