正在手動產生認證以加密 SAML 主張

如果 Domino® server.id 檔案有密碼,您若是管理員,就必須手動建立 SAML 中繼資料檔與憑證檔;無法使用 IdP「型錄」應用程式中的「建立 SP 憑證」按鈕。另外,如果您想要使用伺服器 ID 檔中現有的網際網路憑證來驗證 SAML 主張,您也必須手動建立中繼資料檔。

程序

  1. 編輯 Domino® 伺服器 NOTES.INI 檔案,並輸入下列必要設定: 
    SAMLAuthVersion=value

    其中值為:

    1 - 表示 SAML 1.1

    2 - 表示 SAML 2.0

    SAMLUrl=https://your_SAML_service_provider_hostname
    例如,https://domino1.us.renovations.com
    註: 如果 Domino® 伺服器將不啟用 SSL(ADFS IdP 需要啟用,TFIM IdP 則不需要),則此 URL 的開頭必須是 http 而不是 https,例如,http://domino1.us.renovations.com
    SAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20

    如果聯合是 IBM® Tivoli® Federated 身分 Manager,此設定會指定登出 URL。如果您的聯合不需要或不支援登出 URL,您仍應輸入類似前述範例中的 URL,以確保匯出中繼資料有適當的語法。

  2. 如果伺服器 ID 檔案已具有可以使用的網際網路憑證,則這是選用步驟。在 Domino® 伺服器上的 Domino® 伺服器主控台上,輸入下列指令以建立憑證。如果公司名稱超過一個單字,請用引號 (") 括住,如下所示: 
    certmgmt create saml [overwrite][company "Renovations Home Improvement"]
    註: 如果您未指定公司,則會使用預設值 SAML Signing
  3. 記下在您發出 certmgmt create saml 指令時,主控台上顯示的公開雜湊金鑰。此金鑰為接在 public key hash= 後面的字串。在下列範例中,金鑰是 v6i9TOz7zP9GBCXxtrz+KA== 
    Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA==
  4. 再次編輯 Domino® 伺服器 NOTES.INI 檔案,然後使用您在步驟 3 記下的雜湊金鑰,輸入下列必要設定: 
    SAMLPublicKeyHash=your_hash_key
    提示: 如果您沒有記下雜湊金鑰(例如,您不是執行先前步驟的管理員,或者如果您要使用不同的現有憑證),則可以使用 CERTMGMT SHOW ALL 指令來顯示金鑰。
  5. 使用對管理員而言方便的任何字串,輸入下列 NOTES.INI 設定: 
    SAMLCompanyName=your_organization_name
    當建立憑證 (certmgmt create saml) 時,您對 your_organization_name 輸入的文字必須符合步驟 2 中提供的公司名稱。另外,your_organization_name 可以符合您發出 CERTMGMT SHOW ALL 指令時顯示的「主題名稱」。如果未在步驟 2 中提供任何公司名稱,則對 SAMLCompanyName 的值使用 SAML Signing,例如:
    SAMLCompanyName=SAML Signing
  6. 輸入下列指令以產生中繼資料 .XML 檔案(例如,對於 TFIM 產生 tfim-meta.xml),進而匯入聯合中: 
    certmgmt export saml xml filename.xml
  7. 將匯出的憑證檔案複製到您可以從其中將它匯入您所配置 IdP 配置文件的位置。
  8. 開啟適當的 IdP 配置文件。在「憑證管理」標籤中的「憑證管理設定」之下,複製前面幾個步驟中所使用的公開金鑰雜湊,再將它貼到「憑證公開金鑰雜湊值(基本 64)」欄位中。

下一步

將網路伺服器 IdP 配置或 ID 儲存庫伺服器 IdP 配置匯出至 idp.xml