在 ADFS 3.0 上設定網路伺服器的「中繼夥伴信任」

使用此程序,針對參與 SAML 鑑別的 Domino網路伺服器,在 ADFS 3.0 中設定「中繼夥伴信任」。

程序

  1. 從 ADFS,選取「開始 > 系統管理工具 > AD FS 管理」。
  2. 瀏覽至「中繼夥伴信任」資料夾。
  3. 選取「動作 > 新增中繼夥伴信任」。
  4. 按一下「開始」以執行「新增中繼夥伴信任」 精靈。
  5. 在「選取資料來源」視窗中,選取「從檔案匯入中繼夥伴的相關資料」,選取您從對應網路伺服器 IdP 配置文件匯出的 ServiceProvider.xml 檔案。然後,按「下一步」
    註: 當您從 ServiceProvider.xml 檔案匯入時,步驟 6 - 10 的值會自動填入。如果您選取「手動輸入中繼夥伴的相關資料」,您要自行輸入這些值。
  6. 在「選取顯示名稱」視窗中,輸入「顯示名稱」以代表服務提供者,例如,Domino Renovations 網站。按「下一步」
  7. 在「選擇設定檔」視窗中,選取「AD FS 設定檔」,然後按「下一步」
  8. 在「配置憑證」視窗中,按「下一步」
  9. 在「配置 URL」視窗中,選取「啟用 SAML 2.0網路SSO 通訊協定的支援」。針對「中繼夥伴 SAML 2.0 SSO 服務 URL」,輸入下列 URL: 
    https://<host>/names.nsf?SAMLLogin
    其中,<host> 是要參與聯合登入的 Domino網路伺服器的 DNS 主機名稱。例如:
    https://mail.us.renovations.com/names.nsf?SAMLLogin
    • 主機名稱必須符合在您建立的網路伺服器 IdP 配置文件中,「對映至此站台的主機名稱或位址」欄位中指定的主機名稱。
    • 您對於每個「信任」文件只能指定一個網路伺服器主機。如果在負載平衡器或 Sprayer 後面有多部網路伺服器主機,請在這裡指定負載平衡器或 Sprayer 主機名稱。如果沒有負載平衡器或 Sprayer,請重複此程序,並且為每部網路伺服器建立個別的「信任」文件。
    • 具有「信任」文件的每部網路伺服器需要對應的 IdPcat 配置文件。

    網路伺服器「配置 URL」視窗中的中繼夥伴 SAML 2.0 SSO 服務 URL
  10. 在「配置 ID」視窗的「中繼夥伴信任 ID」欄位中,輸入 URL 以識別網路伺服器,然後依序按一下「新增」「下一步」
    此 URL 必須符合您在網路伺服器 IdP 配置文件的「服務提供者 ID」欄位中指定的 URL。例如: https://mail.us.renovations.com
    註: 此 URL 只用來作為 ID,不適用於 HTTP 連接。

    網路伺服器「配置 ID」視窗中的中繼夥伴信任 ID
  11. 「下一步」以跳過「立即配置多因子鑑別?」視窗。
  12. 在「選擇發行授權規則」視窗中,選取「允許所有使用者存取此中繼夥伴」,然後按「下一步」
  13. 在「準備新增信任」視窗中,按「下一步」
  14. 在「完成」視窗中,選取「當精靈關閉時,針對此中繼夥伴信任開啟編輯主張規則對話框」,然後按一下「關閉」
  15. 如果精靈關閉時,「編輯主張規則」對話框未開啟,請以滑鼠右鍵按一下您所建立「中繼夥伴信任」的名稱,然後選取「編輯主張規則」
  16. 在「編輯主張規則」對話框中,按一下「新增規則」
  17. 在「選取規則範本」對話框中,針對「選擇規則類型」,選取「傳送 LDAP 屬性作為主張」,然後按「下一步」
  18. 完成「配置規則」對話框:
    1. 針對「主張規則名稱」,輸入 EmailAddressToNameID
    2. 針對「屬性儲存庫」,選取「Active Directory」
    3. 針對「LDAP 屬性」,選取「電子郵件位址」
    4. 針對「送出主張類型」,選取「名稱 ID」
    5. 按一下「完成」
  19. 在「編輯主張規則」對話框中,按一下「套用」,然後按一下「確定」
  20. 在「AD FS 信任關係 > 中繼夥伴信任」資料夾中:
    1. 以滑鼠右鍵按一下您為 Domino 建立的新中繼夥伴信任,然後選取「內容」
    2. 按一下「端點」標籤。
    3. 針對「SAML 主張使用者端點」,驗證 Domino 有 POST 連結 URL。此外,如果有構件連結 URL,請將它移除,因為 Domino 只會使用 POST 連結。

      Domino網路伺服器的端點 POST 連結 URL