建立網路SSO 配置文件

「網路SSO 配置」文件是儲存在「HCL Domino® 名錄」中的全網域配置文件。此文件(應該抄寫到參與單一登入網域的所有 Domino® 伺服器)會為參與伺服器及管理員進行加密,其中包含驗證使用者認證的伺服器所使用的共用秘密金鑰。

建立網路SSO 配置文件 (如果使用網際網路網站)

開始之前

請確定已建立「網站」文件,並啟用「伺服器」文件中的「網際網路網站」文件。

同時,請確定您用戶端位置文件的起始/郵件伺服器,設為與參與 SSO 的伺服器位於同一網域的伺服器。這會確保當加密 SSO 文件時,可找到參與伺服器的所有公開金鑰。

程序

  1. 在「Domino® 管理員」中,按一下「檔案」,然後開啟伺服器的「Domino® 名錄」(通常是 NAMES.NSF)。
  2. 選取「網際網路網站」視圖。
  3. 按一下「建立網路SSO 配置」
  4. 在文件中,按一下「金鑰」
  5. 依下列其中一種方式,使用共用秘鑰來起始設定「網路SSO 配置」:
    • 選擇「僅限 Domino」(沒有參與單一登入的 IBM® WebSphere® 伺服器),然後選取「建立 Domino SSO 金鑰」。如果您選擇這個選項,請不要完成步驟 6,而改為跳至步驟 7。
    • 選擇「Domino 及網路Sphere」(使用 WebSphere® 單一登入),然後繼續步驟 6。
  6. 完成文件的剩餘部分,如下所示:
    1. Domino®WebSphere® SSO 配置欄位

    欄位

    動作

    配置名稱

    輸入 SSO 配置的名稱,請謹記下列事項:

    • 如果您建立多個「網路SSO 配置」文件,請務必為每個文件指定唯一的名稱。網路SSO 文件是依名稱來進行搜尋,如果多個文件擁有相同名稱,SSO 配置就無法正常運作。然而,只有在限定的情況下,建立多份 SSO 文件才有其效用。並非所有的通訊協定都能辨識多份 SSO 文件。尤其是,涉及 Java 代理程式及其他元件使用本端 Java 後端類別的 SSO,在使用預設值 LtpaToken 以外的名稱時,會無法正常運作。
    • 若單一登入配置為包含 Release 5.0x 伺服器的混合版本配置,則配置名稱就必須是 LtpaToken,因為 Release 5.0x 伺服器只能使用此配置名稱。

    組織名稱

    (必要)輸入組織的名稱。這必須符合對應網站的組織名稱。然後,SSO 文件及「網站」文件將會一起出現在「網際網路網站」視圖中。

    DNS 網域

    (必要)輸入要為其產生記號的 DNS 網域(例如 .renovations.com)。啟用單一登入的伺服器必須全部屬於您指定的 DNS 網域。

    當您輸入 DNS 網域時,請確實輸入起始期間。例如,不要輸入 renovations.com;而是應該輸入 .renovations.com

    如果 SSO 網域包括 WebSphere® 伺服器,WebSphere®會將 DNS 網域視為區分大小寫,因此請確實以適當的大小寫指定 DNS 網域值。

    LTPA 資料欄位中的對映名稱

    啟用此選項,將出現在 Domino 所建立 LTPA 記號中的使用者名稱,對映到WebSphere® SSO 伺服器所預期的使用者名稱。如果具有混合 Domino® 及網路sphere 的環境,且 Domino®WebSphere® 並未共用相同的目錄,您就應該啟用此設定。

    如果您要讓 Domino 建立的 LTPA 記號繼續包含使用者的 Domino® 識別名稱,請不要啟用這個選項。

    Domino® 伺服器名稱

    為即將參與單一登入的 Domino® 伺服器輸入名稱(例如 伺服器1/renovations、伺服器2/renovations)。此文件會加密文件的建立者、「擁有者」「管理員」欄位的成員,以及「Domino 伺服器名稱」欄位中指定的伺服器。

    這個欄位中不允許群組、萬用字元及 WebSphere® 伺服器的名稱。只有 Domino® 伺服器可列為「伺服器名稱」欄位中的參與伺服器。

    註: 此欄位有 64k 大小的限制。當達到限制 (如當輸入數百個伺服器名稱時) 時,會出現錯誤訊息。建議您在達到此限制時建立多個「網路SSO 文件」。

    Windows 單一登入整合

    啟用這個選項,以容許 Domino® 伺服器對網路用戶端使用 Windows 單一登入。

    LtpaToken 自訂 Cookie 名稱

    如果您沒有使用預設名稱 LtpaToken 作為瀏覽器 Cookie 的名稱,請輸入自訂名稱,供 Domino 用來與瀏覽器 Cookie 搭配使用。

    註: 如果您選取不含 LtpaToken 的「記號格式」,就不會出現這個選項。
    提示: 這個自訂名稱對於與 HCL 數位體驗 的相容性而言很有幫助。

    Cookie 名稱的開頭不能是錢幣符號字元,且不能包含底線、逗點、分號或空格字元。部分瀏覽器無法處理非 ASCII 字元,且可能還指定了無法使用的特殊字元。Domino 將 Cookie 名稱限制為 128 個字元。

    LtpaToken2 自訂 Cookie 名稱

    如果您沒有使用預設名稱 LtpaToken2 作為瀏覽器 Cookie 的名稱,請輸入自訂名稱,供 Domino 用來與瀏覽器 Cookie 搭配使用。

    註: 如果您選取不含 LtpaToken2 的「記號格式」,就不會出現這個選項。
    提示: 這個自訂名稱對於與 HCL 數位體驗 的相容性而言很有幫助。

    Cookie 名稱的開頭不能是錢幣符號字元,且不能包含底線、逗點、分號或空格字元。部分瀏覽器無法處理非 ASCII 字元,且可能還指定了無法使用的特殊字元。Domino 將 Cookie 名稱限制為 128 個字元。

    LDAP 領域

    		 這個欄位的值是讀取自網路Sphere 金鑰檔。只有在支援中心的引導下,才編輯這個欄位。

    期滿(分鐘)

    指定記號有效的時段(以分鐘為單位)。這一時段從記號發出時開始。資料欄位僅對指定的分鐘數有效。預設值是 30 分鐘。

    註: 若已配置「階段作業閒置逾時值」,則階段作業可能會在指定的到期時間之前即已逾時(根據非活動狀態)。

    階段作業閒置逾時值

    (僅限 Domino 的 SSO 配置)啟用此選項,可在沒有活動的情況持續指定的一段時間之後,結束使用者的 SSO 階段作業,然後提供「逾時值下限」值。

    註: 如果選擇匯入網路sphere LTPA 金鑰,此選項就不會出現在「網路SSO 配置」文件上。

    逾時最小值(分鐘)

    如果啟用「階段作業閒置逾時值」,便會出現此選項。指定時間長度(以分鐘為單位),該使用者階段作業必須在逾時前顯示沒有活動。

    如果已匯入網路sphere LTPA 索引鍵,請完成這些欄位:

    2. Websphere LTPA 索引鍵欄位

    欄位

    動作

    記號格式

    請選取下列其中一項:

    • LtpaToken(與 Domino® 7 及之前版本相容)
    • LtpaToken2(與 Domino® 7 及之前版本不相容,但提供 SSO 安全改進項目)
    • LtpaToken 及 LtpaToken2(與所有版本的 Domino® 相容)
    註: LtpaToken2 格式是在 IBM® WebSphere® Server 5.1.1 版中引進。支援此記號可增進 SSO 部署的安全。

    LDAP 領域

    請以下列格式指定 LDAP 領域: 

    fully-qualified-host-name:port

    所有參與伺服器的這個領域必須相同,LTPA 記號機制才能運作。

    LTPA 版本

    這個欄位的值是讀取自 WebSphere® 金鑰檔。

  7. 儲存「網路SSO 配置」文件。狀態列的訊息指出文件加密所針對的伺服器/人員數目。文件會出現在「網際網路網站」視圖中。

建立網路SSO 配置文件 (如果使用網路伺服器配置視圖)

執行這項作業的原因和時機

如果您的伺服器是 5.0x 版伺服器,或如果您是使用 Domino® 6 或更新版本,但未使用「網站」文件來管理您的網站,請使用此程序來建立網路SSO 配置文件。

程序

  1. 在「Domino® 管理員」中,按一下「檔案」,然後開啟伺服器的「Domino® 名錄」(通常是NAMES.NSF)。
  2. 選取「伺服器」視圖。
  3. 按一下「建立網路SSO 配置」
  4. 在「網路SSO 配置」文件中,按一下「金鑰」
  5. 依下列其中一種方式,使用共用秘鑰來起始設定「網路SSO 配置」:
    • 選擇「僅限 Domino」(沒有參與單一登入的 WebSphere® 伺服器),然後選取「建立 Domino SSO 金鑰」。如果您選擇這個選項,請不要完成步驟 6,而改為跳至步驟 7。
    • 選擇「Domino 及網路Sphere」(使用 WebSphere® 單一登入),然後繼續步驟 6。
  6. 完成文件的剩餘部分,如下所示:
    3. Domino®WebSphere® SSO 配置欄位

    欄位

    動作

    配置名稱

    輸入 SSO 配置的名稱,請謹記下列事項:

    • 如果您建立多個「網路SSO 配置」文件,請務必為每個文件指定唯一的名稱。網路SSO 文件是依名稱來進行搜尋,如果多個文件擁有相同名稱,SSO 配置就無法正常運作。然而,只有在限定的情況下,建立多份 SSO 文件才有其效用。並非所有的通訊協定都能辨識多份 SSO 文件。尤其是,涉及 Java 代理程式及其他元件使用本端 Java 後端類別的 SSO,在使用預設值 LtpaToken 以外的名稱時,會無法正常運作。
    • 若單一登入配置為包含 Release 5.0x 伺服器的混合版本配置,則配置名稱就必須是 LtpaToken,因為 Release 5.0x 伺服器只能使用此配置名稱。

    組織名稱

    保留此欄位空白,此文件將出現在「網路配置」視圖中。

    DNS 網域

    (必要)輸入要為其產生記號的 DNS 網域(例如 .renovations.com)。啟用單次登入的伺服器必須全部屬於相同的 DNS 網域。

    當您輸入 DNS 網域時,請確實輸入起始期間。例如,不要輸入 renovations.com;而是應該輸入 .renovations.com

    如果 SSO 網域包括 WebSphere® 伺服器,WebSphere®會將 DNS 網域視為區分大小寫,因此請確實以適當的大小寫指定 DNS 網域值。

    LTPA 資料欄位中的對映名稱

    啟用此選項,將出現在 Domino 所建立 LTPA 記號中的使用者名稱,對映到WebSphere® SSO 伺服器所預期的使用者名稱。如果具有混合 Domino® 及網路sphere 的環境,且 Domino®WebSphere® 並未共用相同的目錄,您就應該啟用此設定。

    如果您要讓 Domino 建立的 LTPA 記號繼續包含使用者的 Domino® 識別名稱,請不要啟用這個選項。

    Domino® 伺服器名稱

    為即將參與單一登入的 Domino® 伺服器輸入名稱(例如 伺服器1/renovations、伺服器2/renovations)。此文件會加密文件的建立者、擁有者及管理員欄位的成員,以及 Domino® 伺服器名稱欄位中指定的伺服器。

    註: 這個欄位中不允許群組、萬用字元及 WebSphere® 伺服器的名稱。只有 Domino® 伺服器可列為「伺服器名稱」欄位中的參與伺服器。

    Windows 單一登入整合

    啟用這個選項,以容許 Domino® 伺服器對網路用戶端使用 Windows 單一登入。

    LtpaToken 自訂 Cookie 名稱

    如果您沒有使用預設名稱 LtpaToken 作為瀏覽器 Cookie 的名稱,請輸入自訂名稱,供 Domino 用來與瀏覽器 Cookie 搭配使用。

    註: 如果您選取不含 LtpaToken 的「記號格式」,就不會出現這個選項。
    提示: 這個自訂名稱對於與 HCL 數位體驗 的相容性而言很有幫助。

    Cookie 名稱的開頭不能是錢幣符號字元,且不能包含底線、逗點、分號或空格字元。部分瀏覽器無法處理非 ASCII 字元,且可能還指定了無法使用的特殊字元。Domino 將 Cookie 名稱限制為 128 個字元。

    LtpaToken2 自訂 Cookie 名稱

    如果您沒有使用預設名稱 LtpaToken2 作為瀏覽器 Cookie 的名稱,請輸入自訂名稱,供 Domino 用來與瀏覽器 Cookie 搭配使用。

    註: 如果您選取不含 LtpaToken2 的「記號格式」,就不會出現這個選項。
    提示: 這個自訂名稱對於與 HCL 數位體驗 的相容性而言很有幫助。

    Cookie 名稱的開頭不能是錢幣符號字元,且不能包含底線、逗點、分號或空格字元。部分瀏覽器無法處理非 ASCII 字元,且可能還指定了無法使用的特殊字元。Domino 將 Cookie 名稱限制為 128 個字元。

    期滿(分鐘)

    指定記號有效的時段(以分鐘為單位)。這一時段從記號發出時開始。資料欄位僅對指定的分鐘數有效。預設值是 30 分鐘。

    註: 若已配置「階段作業閒置逾時值」,則階段作業可能會在指定的到期時間之前即已逾時(根據非活動狀態)。

    階段作業閒置逾時值

    啟用此選項,可在沒有活動的情況持續指定的一段時間之後,結束使用者的 SSO 階段作業,然後提供「逾時值下限」值。

    註: 如果選擇匯入網路sphere LTPA 金鑰,此選項就不會出現在「網路SSO 配置」文件上。

    逾時最小值(分鐘)

    如果啟用「階段作業閒置逾時值」,便會出現此選項。指定時間長度(以分鐘為單位),該使用者階段作業必須在逾時前顯示沒有活動。

    如果已匯入網路sphere LTPA 索引鍵,請完成這些欄位:

    4. Websphere LTPA 索引鍵欄位

    欄位

    動作

    記號格式

    請選取下列其中一項:

    • LtpaToken(與 Domino® 7 及之前版本相容)
    • LtpaToken2(與 Domino® 7 及之前版本不相容,但提供 SSO 安全改進項目)
    • LtpaToken 及 LtpaToken2(與所有版本的 Domino® 相容)
    註: LtpaToken2 格式是在 IBM® WebSphere® Server 5.1.1 版中引進。支援此記號可增進 SSO 部署的安全。

    LDAP 領域

    請以下列格式指定 LDAP 領域: 

    <fully-qualified-host-名稱>:<port>

    所有參與伺服器的這個領域必須相同,LTPA 記號機制才能運作。

    LTPA 版本

    這個欄位的值是讀取自 WebSphere® 金鑰檔。

  7. 儲存「網路SSO 配置」文件。狀態列的訊息指出文件加密所針對的伺服器/人員數目。文件會出現在「網路伺服器配置」視圖中。
    註: 如果您在用戶端接收到訊息,指出未找到加密文件的特殊金鑰,則可能必須要變更用戶端的位置文件來指向併入伺服器及人員文件之所有公開金鑰的其他郵件/目錄伺服器。