使用安全性断言标记语言 (SAML) 来配置联合身份认证

联合身份是实现单点登录,为用户提供方便并帮助减少管理成本的方式。在 Domino®Notes® 中,用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。

关于此任务

SAML 认证允许用户向指定的身份供应商 (IdP) 认证一次,在这之后,用户可以访问任何与该 IdP 有合作关系的服务器。Notes® 客户机和 Web 客户机用户都可使用基于 SAML 的认证。认证取决于签名的 XML 身份断言。用户的结果是透明认证以及具有针对多个 Domino® Web 服务器和应用程序以及与 IdP 也具有伙伴关系的任何第三方应用程序的一次性认证的单点登录。IdP 确定一次性认证的方法;它可能提示用户输入密码或者将非密码的认证方法用于内部网内的用户(例如集成的 Windows 认证 (SPNEGO/Kerberos)。

以下是组织可能使用 SAML 认证的三个案例。贵组织可能需要任何或所有的配置。
  • 对于 Windows 或 Citrix 上的 Notes® 客户机用户,SAML 认证可以促进单点登录解决方案,通常是用于为集成的 Windows 认证 (IWA) 配置的 IdP。Notes® 客户机启动时的 SAML 认证称为Notes®联合登录。作为奖励,HTTP server 任务无需在 Domino® 保险库服务器上运行,因为 SAML 的 HTTP 部分是在 Notes® 客户机内处的。
  • 对于 Web 客户机用户,例如 HCL iNotes®用户,SAML 认证还可促进单点登录解决方案,在此解决方案中,用户的标识文件是从 Notes® 标识保险库下载的。这种 SAML 认证被称为 Web 联合登录,它允许 iNotes 用户使用安全邮件操作。
  • 对于 Web 服务器上的其他应用程序的用户,基于 SAML 的单点登录是在 Domino® 中已经可用的另一个单点登录 (SSO) 的另一方法(多会话服务器认证)的备用方法。在 Domino® 环境包括您的用户访问其服务的第三方 Web 应用程序时,或者如果多会话服务器认证对于贵组织而言限制性太强(例如,如果目标环境要求跨 DNS 域的 SSO),SAML 是最有用的。

管理员可以设置 Domino® 服务器通过使其成为现场的联合身份服务器的伙伴(例如,Microsoft Active Directory Federation Services (ADFS))来使用 SAML 认证。TAM/TFIM 服务器变为身份提供者 (IdP),且 Domino® 服务器向其注册为 SAML 认证服务的提供程序。

Domino® 同时支持 SAML 1.1 和 SAML 2.0。您使用的 SAML 版本部分取决于您对身份提供程序的选择。除非贵组织有具体原因要使用 SAML 1.1,否则建议使用 SAML 2.0。可能需要 SAML 1.1 来支持特定应用程序的单点登录。

根据参与的应用程序所需的 SAML 级别,支持 SAML 的以下身份提供程序可以充当 Domino® 是其伙伴的联合:
1. 身份提供程序支持的 SAML 版本
身份提供程序 (IdP) SAML 版本
IBM® Tivoli® Access Manager/Tivoli Federated Identity Manager (TAM/TFIM) SAML 1.1 或 SAML 2.0
Microsoft Active Directory Federation Services (ADFS)。
支持以下版本:
  • 2.0 (随 Windows Server 2008 R2 一起提供)
  • 3.0 (随 Windows Server 2012 R2 一起提供)
  • 4.0 (随 Windows Server 2016 一起提供)
 需要 SAML 2.0
注:

如果贵组织使用 RSS 订阅源,那么启用 SAML 认证可能会产生关于 RSS 订阅源的意外结果。

兼容性

下表列出 SAML 与其不兼容或者只是部分兼容的客户机配置。
2. 与 SAML 联合登录不兼容的客户机配置
如果贵组织使用... 不建议使用 SAML,原因是...
智能卡受保护标识 联合登录用户标识不能是智能卡受保护标识,因为 Notes® 联合登录所需的标识保险库不能用于智能卡受保护标识。
Notes® 其标识文件存储在服务器上漫游的个人地址簿中的 漫游用户。 联合登录用户不能是其标识存储在漫游的个人地址簿中的 Notes® 漫游用户,因为 Notes® 联合登录所需的标识保险库不能用于存储在漫游个人地址簿中的 Notes® 标识。
Notes® USB 设备上的 联合登录无法用于 USB 设备上的 Notes®,因为 Notes® 联合登录所需的标识保险库无法用于 USB 设备上的 Notes®
Notes® 具有多个密码的 用户标识 联合登录用户标识不能是具有多个密码的 Notes® 用户标识,因为 Notes® 联合登录所需的标识保险库不能用于具有多个密码的标识。
Notes® 用户的基于服务器的密码检查 在为 Notes® 联合登录配置所有 Notes® 用户时在服务器平台上禁用此功能。可以为非联合登录用户强制执行密码检查,但是无法为联合登录用户强制执行。
Notes 单点登录组件随 Notes 客户机一起安装。 Notes 联合登录不支持此配置。
Notes 基本客户机,Domino Administrator 客户机 Notes 联合登录不支持这些客户机。需要使用 Notes 标准客户机。

过程

执行下列任务。