正在自動產生認證以加密 SAML 主張

您可以產生憑證,用來自動從 IdP 配置文件加密 SAML 主張。

執行這項作業的原因和時機

從將會鑑別使用者的伺服器建立憑證。針對網路使用者(網路聯合登入),對每個郵件伺服器建立憑證,以允許使用安全郵件作業。針對 Notes 使用者(Notes 聯合登入),從 ID 儲存庫伺服器建立憑證。

如果伺服器 ID 檔案未受到密碼保護,且您想要在伺服器 ID 檔案中建立新的網際網路憑證,您可以使用此程序。否則,請遵循程序以手動產生憑證。

若要完成此作業,您必須列在(或屬於群組)「伺服器」文件,「具完全存取權限的管理員」>「管理員」>「簽署或執行未受限方法及作業」中。

使用 IdP 配置文件中的「建立憑證」按鈕,自動產生憑證。
註: 在您使用 IdP 配置文件中的「匯出 XML」按鈕將配置匯出至 idp.xml 檔案之前,完成此程序。然後,憑證會自動包含在您匯入 IdP 的 Domino 中繼資料 .xml 檔案 (idp.xml)。

程序

  1. 開啟 idpcat.nsf 中的網路伺服器 IdP 配置文件或 ID 儲存庫伺服器 IdP 配置文件。在您想要產生憑證的伺服器上開啟它。
  2. 按一下「憑證管理」標籤。
  3. 按一下「建立 SP 憑證」。在「建立公司憑證」提示中,輸入您的公司名稱,然後按一下「確定」,將名稱新增至「公司名稱」欄位。

    建立憑證時,Domino® 會在「公司名稱」欄位的字串前預先加入 "CN=",並使用此名稱作為憑證主旨。匯入中繼資料檔案之後,可能在 IdP 配置中看到此名稱。

  4. 「Domino URL」欄位中輸入字串,以在 Domino® 伺服器的 URL 中識別完整的 DNS 名稱。
    例如,輸入: 
    https://your_SAML_service_provider_hostname
    IdP 會使用此欄位中的字串作為 URL 的起始部分,將使用者的 SAML 主張送回給 Domino®
    註: 即使「基本」標籤上的伺服器提供者 ID 包含 vault,此主機名稱也不應該包含它。
    註: 如果未在 Domino® 上配置 SSL,而且您是使用 TFIM 作為 IdP,則此設定會包括 http 而非 https,例如:http://domino1.us.renovations.com
    註: 通常,您可以在「基本」標籤的「服務提供者 ID」欄位中,重複您輸入的字串。不過,如果您要針對同時 Notes®用於聯合登入與 iNotes®網路聯合登入的 ID 儲存庫設定夥伴關係, 請改成在 URL 中使用 iNotes® 伺服器網址(DNS 主機名稱,或網際網路網站名稱)的完整 DNS 名稱。例如:https://dom1.renovations.com
  5. 「單一登出 URL」欄位中,輸入 URL。即使您的 IdP 不需要或不支援單一登出,您還是應該輸入語法正確的 URL,以便匯出的中繼資料檔有適當的語法。配置了 SAML 2.0 的 TFIM IdP 需要在 IdP 和 Domino® 中繼資料檔中指定單一登出 URL,即使 Domino® 目前並未實作 SAML 2.0 單一登出功能也一樣。
    TFIM 的登出 URL 範例為: 
    https://your_tfim_server.com/sps/samlTAM20/saml20

下一步

將網路伺服器或 ID 儲存庫伺服器配置匯出至 idp.xml