建立網路伺服器 IdP 配置文件

建立將會參與 SAML 鑑別之網路伺服器的 IdP 配置文件。

開始之前

將您從您的 IdP(例如,FederationMetadata.xml)匯出的中繼資料 .xml 檔案,放到一個您可以存取的位置,以便將其匯入 IdP 配置文件。
註: 如果您要建立另一個 IdP 配置文件,例如針對使用 ID 儲存庫的聯合登入,請備份檔案;當您將 .xml 檔案匯入 IdP 配置文件時,.xml 檔案會從您的本端系統中刪除。

執行這項作業的原因和時機

如果您的網路伺服器是在負載平衡器或 IP Sprayer 後方,請建立一個網路伺服器 IdP 配置文件。您的 IdP 會連接到負載平衡器或 IP Sprayer。如果您的網路伺服器不是在負載平衡器或 IP Sprayer 後方,請為每個網路伺服器建立一個個別的 IdP 配置文件。

程序

  1. 開啟 idpcat.nsf
  2. 按一下「新增 IdP 配置」,以建立新的配置文件。
  3. 按一下「匯入 XML 檔案」,並選取從您 IdP 匯出的中繼資料 .xml 檔案。在 ADFS 中,這個檔名通常是 FederationMetadata.xml
    下列資訊是從 .xml 檔案匯入的。
    1. 「IdP 配置」文件中,其值從 metadata.xml 檔案產生的欄位
    欄位 說明
    通訊協定版本 下列其中一項:
    • SAML 2.0
    • SAML 1.1
    • TFIM
    聯合產品 下列其中一項:
    • AuthnRequest SAML 2.0 相容
    • ADFS
    • TFIM
    註: Authn 是適用於 SAML 2.0 的標準鑑別通訊協定。如果您的 IdP 配置為支援 Authn,最佳實務是保持選取 AuthnRequest SAML 2.0 相容。
    構件解析服務 URL Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生構件 URL。

    例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列構件 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/soap

    單一登入服務 URL 如果所匯入 XML 檔案中的資料可供使用,則 Domino® 會針對您在「聯合產品」欄位中指定的聯合服務,產生登入 URL。

    例如,對於 Renovations 組織使用 TFIM、SAML 2.0 及 SSL 時,可能產生下列登入 URL:https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial

    註: 這個欄位中的值是 IdP 預期 URL 的子集。必要時,Domino® 伺服器會產生完整 URL。
    簽署 X.509 憑證 Domino® 會從檔案匯入憑證碼。
    加密 X.509 憑證

    Domino® 會從檔案匯入憑證碼。

    註: 只有當「類型」欄位設定為 SAML 2.0 時,才會出現這個欄位。
    通訊協定支援列舉 Domino® 會針對「類型」欄位指定的 SAML 版本,產生指定通訊協定的字串,而指定的 IdP 也支援這些通訊協定。此字串會變成 Domino® 所提供的鑑別 URL 的一部分,作為此配置文件中所指定 IdP 的服務提供者。

    例如,url.oasis.names.tc:SAML:2.0:protocol

  4. 「基本」標籤 >「對映此站台的主機名稱或位址」欄位中,配置網路伺服器 DNS 主機名稱。
    限制: 如果 Domino網路伺服器是使用 SSL,則您必須在每個主機名稱後面加上 IP 位址,並以分號區隔。
    重要: 您在這裡輸入的主機名稱必須符合在「伺服器」文件中,「網際網路通訊協定/HTTP」標籤上「主機名稱」欄位中輸入的項目,或者符合「網際網路網站(網站)」文件的「對映至此網站的主機名稱或位址」欄位中輸入的項目。

    例如,輸入 mail01.us.renovations.com;n.nn.nnn.n

    如果您使用負載平衡器在伺服器之間分散要求,請包含負載平衡器的主機名稱及 IP 位址,以及目標網路伺服器的主機名稱及 IP 位址。以分號區隔伺服器,或者按下 Enter 鍵。例如:

    mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n

  5. 針對「狀態」,選取「已停用」。稍後在「在 Domino 中啟用 SAML 鑑別」程序中啟用它。
  6. 「服務提供者 ID」欄位中,輸入值以識別作為 IdP 的服務提供者夥伴的網路伺服器。
    • 此值必須是適當建構的 URL,但不是用於 HTTP 連接。
    • 如果您是使用 SSL(ADFS 的必要項目),請在 URL 中指定 https:
    • 此值必須符合 IdP 信任或夥伴關係(您建立以識別網路伺服器)中的值。例如,在 ADFS 中,此值必須符合在「中繼夥伴信任」中的「中繼夥伴信任 ID」方框中指定的值。
    例如:https://mail.us.renovations.com
  7. 「基本」標籤、「IdP 名稱」欄位中,輸入名稱以識別身分提供者的網站;該名稱不需要確切相同,僅針對管理方便而使用。
    例如,如果 Renovations 組織具有由第三方(作為身分提供者)管理的支援網站,使用 IBM® Tivoli® Federated 身分 Manager 時,管理員可能輸入 Renovations Customer 支援 (TFIM)。
  8. 儲存並關閉「IdP 配置」文件。您會看到下列訊息,因為 IdP 配置文件目前已停用,且無法解析服務提供者 URL。按一下「是」以繼續並儲存。 
    不是有效的 URL,或者無法解析 DNS 名稱:<URL>。仍然要儲存?
  9. 選擇性的: 如果您想要確定 SAML 主張已加密,以協助保護機密資料,請完成作業 正在產生認證以加密 SAML 主張。在您完成作業 將 Domino網路配置匯出至 .xml 檔案 之前完成,讓憑證包含在 idp.xml 檔案中。