正在手動產生認證以加密 SAML 主張
如果 Domino® server.id 檔案有密碼,您若是管理員,就必須手動建立 SAML 中繼資料檔與憑證檔;無法使用 IdP「型錄」應用程式中的「建立 SP 憑證」按鈕。另外,如果您想要使用伺服器 ID 檔中現有的網際網路憑證來驗證 SAML 主張,您也必須手動建立中繼資料檔。
程序
-
編輯 Domino® 伺服器 NOTES.INI 檔案,並輸入下列必要設定:
SAMLAuthVersion=value
其中值為:
1 - 表示 SAML 1.1
2 - 表示 SAML 2.0
SAMLUrl=https://your_SAML_service_provider_hostname
例如,https://domino1.us.renovations.com註: 如果 Domino® 伺服器將不啟用 SSL(ADFS IdP 需要啟用,TFIM IdP 則不需要),則此 URL 的開頭必須是 http 而不是 https,例如,http://domino1.us.renovations.comSAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20
如果聯合是 IBM® Tivoli® Federated 身分 Manager,此設定會指定登出 URL。如果您的聯合不需要或不支援登出 URL,您仍應輸入類似前述範例中的 URL,以確保匯出中繼資料有適當的語法。
-
如果伺服器 ID 檔案已具有可以使用的網際網路憑證,則這是選用步驟。在 Domino® 伺服器上的 Domino® 伺服器主控台上,輸入下列指令以建立憑證。如果公司名稱超過一個單字,請用引號 (") 括住,如下所示:
certmgmt create saml [overwrite][company "Renovations Home Improvement"]
註: 如果您未指定公司,則會使用預設值SAML Signing
。 -
記下在您發出 certmgmt create saml 指令時,主控台上顯示的公開雜湊金鑰。此金鑰為接在
public key hash=
後面的字串。在下列範例中,金鑰是v6i9TOz7zP9GBCXxtrz+KA==
Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA==
-
再次編輯 Domino® 伺服器 NOTES.INI 檔案,然後使用您在步驟 3 記下的雜湊金鑰,輸入下列必要設定:
SAMLPublicKeyHash=your_hash_key
提示: 如果您沒有記下雜湊金鑰(例如,您不是執行先前步驟的管理員,或者如果您要使用不同的現有憑證),則可以使用 CERTMGMT SHOW ALL 指令來顯示金鑰。 -
使用對管理員而言方便的任何字串,輸入下列 NOTES.INI 設定:
SAMLCompanyName=your_organization_name
當建立憑證 (certmgmt create saml) 時,您對your_organization_name
輸入的文字必須符合步驟 2 中提供的公司名稱。另外,your_organization_name
可以符合您發出 CERTMGMT SHOW ALL 指令時顯示的「主題名稱」。如果未在步驟 2 中提供任何公司名稱,則對SAMLCompanyName
的值使用 SAML Signing,例如:SAMLCompanyName=SAML Signing
-
輸入下列指令以產生中繼資料 .XML 檔案(例如,對於 TFIM 產生 tfim-meta.xml),進而匯入聯合中:
certmgmt export saml xml filename.xml
- 將匯出的憑證檔案複製到您可以從其中將它匯入您所配置 IdP 配置文件的位置。
- 開啟適當的 IdP 配置文件。在「憑證管理」標籤中的「憑證管理設定」之下,複製前面幾個步驟中所使用的公開金鑰雜湊,再將它貼到「憑證公開金鑰雜湊值(基本 64)」欄位中。