启用 Notes 联合登录
启用 Notes 联合登录,以允许 Notes 客户机用户启动 Notes 并执行安全操作,而不会提示您输入 Notes 标识密码。
开始之前
- 如果您也使用 Web 联合登录,请启用它并测试其是否有效。
- 在为所有 Notes 客户机用户启用 Notes 联合登录之前,请为测试用户启用它,并测试 Notes 联合登录是否适用于该用户。
- 在应用于您计划包含在 Notes® 联合登录中的 Notes® 用户的任何安全策略中,请禁止 Notes® 客户机密码与因特网密码同步。
- 请参阅主题 使用安全性断言标记语言 (SAML) 来配置联合身份认证中与联合登录不兼容的客户机配置表。
- 完成 配置标识保险库服务器以进行联合 SAML 登录部分中的所有步骤。
过程
- 在 Domino® 目录中,打开贵组织的标识保险库用户的现有安全设置策略。
- 在标识保险库选项卡上,确保存在分配的保险库。
- 选择选项卡。
- 为使用 SAML IdP 启用 Notes 联合登录选择“是”。
-
对于已升级到 9.0.1 的客户机用户,在初始部署策略时,请在联合登录的其他设置(Notes 或 Web)下,对允许使用标识保险库进行密码认证选择“是”。
提示: 用户经验证使用联合登录后,建议进行安全性改进,将允许使用标识保险库进行密码认证更改为“否”。如果不允许使用标识保险库进行密码认证,则用户需要使用联合登录向保险库文件认证,才能下载用于 Notes 或 Web 的用户标识。因为该策略设置使用标识保险库文件来控制 Notes 和 Web 行为,所以仅当应该专用联合登录时才将设置更改为“否”。
- 可选: 在启用或禁用联合登录时为用户创建定制消息以通知用户。
- 选择密钥和证书选项卡。
- 要将 Notes® 验证者添加到策略中,请在管理信任缺省值部分中,单击更新链接。
- 选择选择受支持然后单击确定。
-
单击 Notes 验证者选项卡,选择对 Nothes 用户标识签名的证书,然后单击确定。
注: 如果这些标识由组织单位 (OU) 证书签名,请在层次结构中包括所有证书,其中包括组织证书。
- 单击因特网交叉证书选项卡,从 Notes 根验证者到从 ADFS 或 TFIM 2.0 导出的证书中选择交叉证书,然后单击确定。
- 单击因特网证书选项卡,选择从 ADFS 或 TFIM 2.0 导出的 SSL 证书,然后单击确定。
-
验证是否显示了至少包含三个证书的链(如果有组织单位证书,则包含更多证书):顶部是 Notes 验证者,中间是因特网交叉证书,底部是因特网证书。
例如:
- 可选: 在计算机特定公式下输入公式为拥有多台计算机的客户将策略应用于特定计算机。
- 保存并关闭安全策略。
-
在 Domino® Administrator 中,打开标识保险库应用程序 ((idvault.nsf),缺省情况下此应用程序存储在 IBM_ID_VAULT 目录中。请完成以下步骤:
- 从“配置”视图,打开将为 SAML 认证配置的保险库的保险库文档。
- 在 Notes 联合登录核准的 IdP 配置字段中,输入标识保险库服务器 IdP 配置文档映射到该站点的主机名或地址字段中的主机名,例如 vault.domino1.us.renovations.com。
- 单击保存并关闭。