正在啟用 Notes 聯合登入
啟用 Notes 聯合登入以允許 Notes 用戶端使用者啟動 Notes 並執行安全作業,而不會看到輸入 Notes ID 密碼的提示。
開始之前
- 如果您也使用網路聯合登入,請啟用它並且測試是否運作。
- 在您針對所有 Notes 用戶端使用者啟用 Notes 聯合登入之前,請針對測試使用者啟用它,並且測試 Notes 聯合登入是否適用於該使用者。
- 在套用至計劃將其包含在 Notes® 聯合登入的 Notes® 使用者的安全原則中,停用同步化 Notes® 用戶端密碼與網際網路密碼。
- 請參閱主題 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別 中與聯合登入不相容的用戶端配置的表格。
- 完成區段 配置聯合 SAML 登入的 ID 儲存庫伺服器 中的所有步驟。
程序
- 在「Domino® 名錄」中,開啟組織 ID 儲存庫的使用者所適用的現有「安全設定」原則。
- 在「ID 儲存庫」標籤上,請確定具有已指派的儲存庫。
- 選取「 」標籤。
- 對於「使用 SAML IdP 啟用 Notes 聯合登入」,選取「是」。
-
如果是已升級至 9.0.1 的用戶端使用者,則在最初部署原則時,請在「其他聯合登入設定(Notes 或網路)」之下,針對「容許以 ID 儲存庫進行密碼鑑別」,選取「是」。
提示: 在使用者通過驗證而能夠使用聯合登入之後,建議將「容許以 ID 儲存庫進行密碼鑑別」變更成「否」來改進安全性。 當不容許以 ID 儲存庫進行密碼鑑別時,使用者必須使用聯合登入來鑑別儲存庫,以便能下載使用者的 ID 供 Notes 或網路使用。由於這個原則設定會使用 ID 儲存庫來同時控制 Notes 和網路行為,因此只有在應該完全使用聯合登入時,才將這個設定變更為「否」。
- 選擇性的: 啟用或停用聯合登入時,建立要通知使用者的自訂訊息。
- 選取「金鑰及憑證」標籤。
- 若要將 Notes® 發證者新增至原則,請在「管理信任預設值」區段中,按一下「更新鏈結」。
- 選擇「支援選定項目」,然後按一下「確定」。
-
按一下「Notes 發證者」標籤,選取簽署 Notes 使用者之 ID 的憑證,然後按一下「確定」。
註: 如果 ID 是由組織單位 (OU) 憑證簽署,請包含階層中的所有憑證,包括「組織」憑證。
- 按一下「網際網路交互憑證」標籤,選取從 Notes 主要發證者的憑證到從 ADFS 或 TFIM 2.0 匯出憑證的交互憑證,然後按一下「確定」。
- 按一下「網際網路交互憑證」標籤,選取從 ADFS 或 TFIM 2.0 匯出的 SSL 憑證,然後按一下「確定」。
-
驗證顯示至少三個憑證的鏈結(如果有組織單位憑證則會顯示更多項目):Notes 發證者在最上方,網際網路交互憑證在中間,網際網路憑證在最下方。
例如:
- 選擇性的: 在「機器特定公式」下輸入公式,以對具有多台電腦的用戶端將原則套用至特定電腦。
- 儲存並關閉安全原則。
-
從「Domino® 管理員」中,開啟 ID 儲存庫應用程式 ((idvault.nsf),該應用程式依預設儲存在 IBM_ID_VAULT 名錄中。完成下列步驟:
- 從「配置」視圖中,開啟將配置 SAML 鑑別的儲存庫之儲存庫文件。
- 在「Notes 聯合登入已核准 IdP 配置」欄位中,輸入 ID 儲存庫伺服器 IdP 配置文件的「對映至此網站的主機名稱或位址」欄位的主機名稱,例如 vault.domino1.us.renovations.com。
- 按一下「儲存並關閉」。