使用安全主張標記語言 (SAML) 以配置聯合身分鑑別

聯合身分是達到單一登入的一種方法,可對使用者提供便利性,並協助降低管理成本。在 Domino®Notes® 中,用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。

執行這項作業的原因和時機

SAML 鑑別可讓使用者以指定的身分提供者 (IdP) 進行一次鑑別,在那之後使用者便可存取與 IdP 有夥伴關係的任何伺服器。Notes® 用戶端與網路用戶端使用者都可以使用 SAML 型鑑別。鑑別取決於已簽署的 XML 身分主張。利用針對多個 Domino®網路伺服器與應用程式,以及與 IdP 有夥伴關係的任何協力廠商應用程式所進行的一次性鑑別,使用者可獲得透通的鑑別以及單一登入。IdP 會決定一次性鑑別的方法;可能會提示使用者輸入密碼,或針對內部網路中的使用者使用非密碼鑑別方法,如整合式 Windows 鑑別 (SPNEGO/Kerberos)。

在三種情況下,組織可能使用 SAML 鑑別。貴組織可能需要任一或所有配置。
  • 對於 Windows 或 Citrix 上的 Notes® 用戶端使用者,SAML 鑑別可以加快解決方案上的單一登入,這通常是搭配已對整合式 Windows 鑑別 (IWA) 配置的 IdP。Notes® 用戶端啟動時的 SAML 鑑別也稱為Notes®聯合登入。此外,HTTP 伺服器作業不需要在 Domino® 儲存庫伺服器上執行,因為 SAML 的 HTTP 部分會在 Notes® 用戶端內進行處理。
  • 對於 HCL iNotes® 使用者之類的網路用戶端使用者,SAML 鑑別也會加快解決方法上的單一登入,在此解決方案中,使用者會從 Notes® ID 儲存庫下載其 ID 檔案。此類型的 SAML 鑑別稱為網路聯合登入,允許 iNotes 使用者使用安全的郵件作業。
  • 對於網路伺服器上其他應用程式的使用者,SAML 型單一登錄是 Domino® 中可用的其他單一登入 (SSO) 方法的替代方案:多階段作業伺服器鑑別。當 Domino® 環境包含使用者存取其服務的第三方網路應用程式,或者多階段作業伺服器鑑別對於貴組織來說限制太大時(例如,目標環境在 DNS 網域上需要 SSO),SAML 最為好用。

管理員可以設定 Domino® 伺服器以使用 SAML 鑑別,方法是讓它成為內部部署聯合身分伺服器的夥伴,例如 Microsoft Active Directory Federation Services (ADFS)。ADFS 伺服器會變成身分提供者 (IdP),而且 Domino® 伺服器對其進行登錄以作為 SAML 鑑別服務的提供者。

Domino® 同時支援 SAML 1.1 及 SAML 2.0。您使用的 SAML 版本部分取決於身分提供者的選擇。除非組織有特別原因要使用 SAML 1.1,否則建議使用 SAML 2.0。以特定應用程式支援單一登入時,可能需要 SAML 1.1。

視參與應用程式所需的 SAML 層次而定,下列支援 SAML 的身分提供者可以作為 Domino® 為夥伴的聯合:
1. 身分提供者支援的 SAML 版本
身分提供者 (IdP) SAML 版本
IBM® Tivoli® 存取 Manager/Tivoli Federated 身分 Manager (TAM/TFIM) SAML 1.1 或 SAML 2.0
Microsoft Active Directory Federation Services (ADFS)。
支援下列版本:
  • 2.0(隨附於 Windows Server 2008 R2)
  • 3.0(隨附於 Windows Server 2012 R2)
  • 4.0(隨附於 Windows Server 2016)
需要 SAML 2.0
註:

如果組織使用 RSS 訊息饋送,啟用 SAML 鑑別可能產生非預期的結果。

相容性

下列表格列出與 SAML 不相容或僅部分相容的用戶端配置。
2. 與 SAML 聯合登入不相容的用戶端配置
如果組織使用... 不建議使用 SAML,因為...
智慧卡受保護 ID 聯合登入使用者 ID 不可以是智慧卡受保護 ID,因為 Notes® 聯合登入所需的 ID 儲存庫無法與智慧卡受保護 ID 搭配使用。
Notes® 漫遊使用者,其 ID 檔案儲存在伺服器上的漫遊個人通訊錄中。 聯合登入使用者不可以是其 ID 儲存在漫遊個人通訊錄的 Notes® 漫遊使用者,因為 Notes® 聯合登入所需的 ID 儲存庫無法與漫遊個人通訊錄中儲存的 Notes® ID 搭配使用。
Notes® USB 裝置上 聯合登入無法與 USB 裝置上的 Notes® 搭配使用,因為 Notes® 聯合登入所需的 ID 儲存庫無法與 USB 裝置上的 Notes® 搭配使用。
Notes® 具有多個密碼的使用者 ID 聯合登入使用者 ID 不可以是具有多個密碼的 Notes® 使用者 ID,因為 Notes® 聯合登入所需的 ID 儲存庫無法與具有多個密碼的 ID 搭配使用。
Notes® 使用者的伺服器型密碼檢查 針對 Notes® 聯合登入配置所有 Notes® 使用者時,請在伺服器平台上停用此功能。可以對非聯合登入使用者強制執行密碼檢查,但無法對聯合登入使用者強制執行。
Notes 單一登入元件已隨 Notes 用戶端安裝 Notes 聯合登入不支援此配置。
Notes 基本用戶端,Domino 管理員用戶端 Notes 聯合登入不支援這些用戶端。需要 Notes 標準用戶端。

程序

執行下列作業。