Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Den Domino-Web-Server für die SAML-Authentifizierung aktivieren
Die Aktivierung der SAML-Authentifizierung (Security Assertion Markup Language) in Domino wird über die IdP-Kataloganwendung aktiviert. Wenn der Domino-Server kennwortgeschützt ist, sind u. U. weitere Aufgaben auszuführen.

Vorbereitungen

Der Identitäts-Provider (IdP), der für den Domino-Web-Server verwendet werden soll, muss konfiguriert werden, bevor Sie SAML auf dem Domino-Web-Server aktivieren. Weitere Informationen hierzu finden Sie in den verwandten Themen.
Beschaffen Sie sich eine Kopie der Datei metadata.xml, die vom Identitäts-Provider (IdP) exportiert wurde, und halten Sie den Inhalt der Datei für den Import bereit, wenn Sie das IdP-Konfigurationsdokument erstellen. Für die Speicherung kann jeder Speicherort gewählt werden, auf den der Domino Administrator-Client zugreifen kann.
Wenn die IdP-Kataloganwendung (idpcat.nsf) bereits existiert, müssen Sie zum Zugriff auf den Katalog berechtigt sein, damit Sie Dokumente in ihm erstellen können.
Es wird empfohlen, dass Sie SSL-Sicherheit für Ihre SAML-Konfiguration verwenden. Wenn Microsoft™ Active Directory (ADFS) als Föderationslösung verwendet wird, ist SSL erforderlich.
Der Administrator, der die Schritte dieser Prozedur für die Zertifikaterstellung und den Metadatenexport ausführt, muss im Serverdokument aufgeführt sein (oder zu einer Gruppe gehören) unter Administratoren mit voller Berechtigung, Administratorenund Unbeschränkte Methoden und Operationen signieren oder ausführen.
Die Datei idpcat.nsf darf nicht für das Sperren von Dokumenten aktiviert sein.
Anmerkung: Werden diese und die vorherige Bedingung nicht erfüllt, können die Agenten in der Datei idpcat.nsf nicht verwendet werden, um die Zertifikaterstellung und den Metadatenexport durchzuführen. Wenn Sie diese Schritte lieber mithilfe einer Befehlsfolge an der Domino-Serverkonsole ausführen möchten, finden Sie entsprechende Informationen im verwandten Thema zum manuellen Erstellen einer Domino-Metadatendatei.

Warum und wann dieser Vorgang ausgeführt wird

Das IdP-Konfigurationsdokument enthält mehrere Felder, deren Werte automatisch eingefügt werden, wenn Sie die Datei metadata.xml vom IdP importieren.

Wichtig: Wenn für den Domino-Server eine kennwortgeschützte server.id-Datei vorliegt, kann der Administrator die in Schritt 9 beschriebene Schaltfläche Zertifikat erstellen nicht zur Erstellung einer Metadatendatei verwenden. Verwenden Sie stattdessen die Aufgabe zur Erstellung der Domino-Metadatendatei, wenn die Datei server.id kennwortgeschützt ist.

Wichtig: Wenn Sie später ein vorhandenes SAML-IdP-Konfigurationsdokument ändern oder neu hinzufügen, starten Sie den HTTP-Prozess auf dem Domino-Web-Server neu, damit die Änderungen erkannt werden.

Anmerkung: Wenn in Ihrer Organisation RSS-Feeds verwendet werden, kann die Aktivierung der SAML-Authentifizierung unerwartete Auswirkungen auf diese Feeds haben.

Prozedur

1. Erstellen Sie auf dem Domino Administrator-Client die IdP-Kataloganwendung (idpcat.nsf). Verwenden Sie dazu die Schablone mit dem Dateinamen idpcat.ntf oder öffnen Sie die Anwendung, wenn diese bereits vorhanden ist.

Wichtig:

Die IdP-Kataloganwendung kann keinen beliebigen Titel erhalten, sondern Sie müssen ihr den Titel

idpcat

zuweisen. Im Dateisystem muss die Anwendung den Namen

idpcat.nsf

aufweisen.

ACHTUNG: Wenn Ihr Server unter UNIX™ ausgeführt wird, stellen Sie sicher, dass der Dateiname nur aus Kleinbuchstaben besteht.

2. Weisen Sie in der ACL nur Domino-SAML-Administratoren und dem Server Zugriffsrechte zu.

Anmerkung:

Wenn die Datei

ipdcat.nsf

auf anderen teilnehmenden SAML-Servern repliziert wird, werden deren Einträge der ACL hinzugefügt.

3. Klicken Sie auf IdP-Konfiguration hinzufügen, um ein neues Konfigurationsdokument zu erstellen.

Anmerkung:

Wenn in Ihrer Organisation mehrere Internet-Site-Dokumente vorliegen und auf diesen Websites die SAML-Authentifizierung verwendet werden soll, erstellen Sie für jede teilnehmende Internet-Site separate zugehörige IdP-Konfigurationsdokumente. Weitere Informationen hierzu finden Sie im zugehörigen Thema zur Konfiguration von SAML über das Internet-Site-Dokument.

4. Geben Sie im Register Allgemein im Feld Hostnamen und Adressen, die dieser Site zugeordnet werden eine IP-Adresse und/oder eine Webadresse (DNS-Hostname oder Internet-Site-Name) zur Angabe der Website des Service-Providers an. Wenn Sie beides angeben, fügen Sie zwischen IP und Webadresse ein Semikolon ein, z. B. n.nn.nnn.n; www.renovations.com. Die Reihenfolge der Adressen ist nicht von Belang und Sie können mehrere, durch ein Semikolon getrennte Elemente eingeben.

Wichtig:

Die IP- oder Webadresse, die Sie hier eingeben, muss mit der Eingabe im Feld

Hostname(n)

des Registers

Internetprotokolle/HTTP

im Serverdokument oder mit der Eingabe im Feld

Hostnamen und Adressen, die dieser Site zugeordnet werden

im entsprechenden Internet-Site-Dokument übereinstimmen. Auf diese Weise können Sie alle Kombinationen aus Hostname/IP angeben, die dieselbe Identitäts-Provider-Partnerschaft verwenden sollen.

Einschränkung: Wenn Ihre Organsation wie empfohlen SSL verwendet, müssen Sie eine IP-Adresse angeben.

5. Geben Sie im Feld IdP-Name einen Namen zur Angabe der Website oder des Identitäts-Providers an. Der Name muss nicht zu 100 Prozent korrekt sein, da er nur die Verwaltung vereinfachen soll.

Besitzt z. B. die Organisation Renovations eine Unterstützungssite, die von einem Fremdanbieter gehostet wird, der als Identitäts-Provider fungiert und IBM® Tivoli Federated Identity Manager verwendet, kann der Administrator beispielsweise "Renovations Customer Support (TFIM)" eingeben.

6. Wählen Sie im Feld Protokollversion eine SAML-Version aus.

Wichtig:

SAML 2.0 ist erforderlich, wenn Ihre Föderation mit Microsoft ADFS konfiguriert ist.

7. Behalten Sie bei diesem Konfigurationsdokument für Status den Wert "Aktiviert" (Vorgabe) bei.

8. Wählen Sie im Feld Föderation-Produkt entweder TFIM für IBM Tivoli Federated Identity Manager oder ADFS für Microsoft Active Directory Federation Services aus, je nachdem, welchen Föderationsdienst Sie für die SAML-Authentifizierung verwenden möchten. Die Vorgabe ist ADFS.

9. Geben Sie im Feld Service-Provider-ID die Zeichenfolge ein, die Domino als Service-Provider-Partner für den IdP angibt.

Diese Zeichenfolge stimmt in der Regel mit der HTTP-URL für den Domino-HTTP-Server überein, z. B.

https://domino1.us.renovations.com

Anmerkung: Wenn SSL nicht für Domino konfiguriert ist und Sie TFIM für den IdP verwenden, enthält diese Einstellung http statt https, z. B.: http://domino1.us.renovations.com. Wenn Sie ADFS für den IdP verwenden, ist SSL erforderlich und Sie verwenden daher https in der Zeichenfolge.

Wichtig: Eine Eingabe in diesem Feld ist erforderlich, damit die Schaltfläche Zertifikat erstellen im Register Zertifikatsverwaltung verwendet werden kann.

10. Klicken Sie auf XML-Datei importieren und geben Sie die metadata.xml-Datei an, die vom IdP exportiert wurde.

Es wird empfohlen, dass Sie Informationen aus der importierten XML-Datei unverändert beibehalten.

Anmerkung: Wenn die Föderation mit ADFS konfiguriert ist, weist diese Datei u. U. einen etwas anderen Namen auf, z. B. FederationMetadata.xml.

Tabelle 1. Felder im IdP-Konfigurationsdokument, deren Werte anhand der Datei metadata.xml generiert werden

Feld Beschreibung

URL des Artefaktauflösungsdienstes Domino generiert die Artefakt-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben.
Für die Organisation Renovations und TFIM, SAML 2.0 und SSL wird z. B. die folgende Artekfakt-URL generiert: https://tfim.renovations.com/FIM/sps/samlTAM20/soap.

URL des Dienstes für die einmalige Anmeldung Wenn die Daten in der importierten XML-Datei enthalten sind, generiert Domino die Anmeldungs-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben.
Für die Organisation Renovations und TFIM, SAML 2.0 and SSL wird beispielsweise die folgende Anmeldungs-URL generiert: https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.
Anmerkung: Der Wert in diesem Feld ist eine Untermenge der erwarteten URL für den IdP. Der Domino-Server generiert bei Bedarf die vollständige URL.

X.509-Signierzertifikat Domino importiert das Zertifikat aus der Datei.

X.509-Zertifikat für die Verschlüsselung Domino importiert das Zertifikat aus der Datei.
Anmerkung: Dieses Feld wird nur angezeigt, wenn im Feld Typ der Wert "SAML 2.0" angegeben ist.

Unterstützte Protokolle Domino generiert eine Zeichenfolge, die für das im Feld Typ angegebene SAML-Release die Protokolle angibt, die auch von dem angegebenen IdP unterstützt werden. Diese Zeichenfolge wird Teil der Authentifizierungs-URLs, die von Domino als der Service-Provider für den in diesem Konfigurationsdokument angegebenen IdP angegeben wird.
Beispiel: url.oasis.names.tc:SAML:2.0:protocol.

11. Führen Sie im Register Client-Einstellungen alle nachfolgenden Unterschritte aus:

Behalten Sie für

Einmalige Windows-Anmeldung aktivieren

die Einstellung "Ja" bei, wenn dieses IdP-Dokument einem IdP entspricht, der die einmalige Anmeldung von Windows™ (SPNEGO/Kerberos) zur Benutzerauthentifizierung verwendet. Dieses Feld wird von der föderierten Notes-Client-Anmeldung benötigt, damit Domino weiß, wie der eingebettete Browser des Notes-Clients einzurichten ist.

Weitere Informationen hierzu finden Sie im Wiki für Notes und Domino im Artikel zur Einrichtung von ADFS für die integrierte Windows-Authentifizierung (IWA). Die IBM Technote Nr. 1614543 in den verwandten Themen wird Links zu diesen Artikeln enthalten.

Führen Sie im Feld

Sites, die vertrauenswürdig sind

die Web-Hostnamen der vertrauenswürdigen Identitäts-Provider (IdP) auf, die sich von im Register

Allgemein

konfigurierten Hostnamen unterscheiden. Trennen Sie mehrere Einträge durch Semikolon oder das Zeilenschaltungszeichen.

c. Behalten Sie für das Feld SSL erzwingen die Einstellung "Ja" bei, wenn der eingebettete Browser des Notes-Clients fordert, dass eine URL, die während der Anmeldequenz auf dem IdP aufgerufen wird, mit SSL geschützt werden muss.

12. Wenn Sie SAML 2.0 verwenden und aus Domino ein Zertifikat zur Verwendung auf dem IdP exportieren müssen, führen Sie im Register Zertifikatsverwaltung alle nachfolgenden Unterschritte aus:

Geben Sie im Feld

Firmenname

einen Namen ein, um das Zertifikat in der zu exportierenden Domino-Metadatendatei (

idp.xml)

zu kennzeichnen. Verwenden Sie eine beliebige Zeichenfolge, die für Ihre Administratoren geeignet ist.

Mit dem Namen können Sie den Domino-Server angeben, z. B.

Domino US Renovations

, oder einen virtuellen Namen zur Angabe einer bestimmten Internet-Site-Konfiguration auf dem Domino-Server, z. B.

Domino East Coast US Renovations

Tipp: Der Name muss keine Entsprechung in der aktuellen IdP-Konfiguration haben. Die Zeichenfolge muss jedoch mit der Syntax der Datei idp.xml kompatibel sein, d. h., sie darf keine Zeichen wie beispielsweise spitze Klammern (< oder >) enthalten.

Klicken Sie auf

Zertifikat erstellen

. Wenn Sie dazu aufgefordert werden, speichern Sie das Dokument, kehren Sie zum Register zurück und klicken Sie ein zweites Mal auf die Schaltfläche.

Wenn Sie das Zertifikat erstellen, stellt Domino der Zeichenfolge im Feld "Firmenname" den Wert "CN=" voran und verwendet diesen Namen als Zertifikatsobjekt. Der Name ist möglicherweise in der IdP-Konfiguration sichtbar, nachdem die Metadatendatei importiert wurde.

Geben Sie im Feld

Domino-URL

eine Zeichenfolge zur Angabe des vollständig qualifizierten DNS-Namens in einer URL des Domino-Servers ein.

Geben Sie beispielsweise Folgendes ein:

https://Hostname_Ihres_SAML_Service-Providers

Die Zeichenfolge in diesem Feld wird vom IdP als Anfangsteil der URL für die Rücksendung der SAML-Assertion des Benutzers an Domino verwendet.

Anmerkung: Wenn SSL nicht für Domino konfiguriert ist und Sie TFIM für den IdP verwenden, enthält diese Einstellung http statt https, z. B.: http://domino1.us.renovations.com.

Anmerkung: Sie können die Zeichenfolge verwenden, die Sie im Feld Service-Provider-ID im Register Allgemein eingegeben haben.

Geben Sie im Feld

URL für die Einzelabmeldung

eine URL ein, wenn vom IdP gefordert, also beispielsweise bei der Föderation Tivoli Federated Identity Manager (TFIM 2.0). Die Konfiguration TFIM-IdP mit SAML 2.0 erfordert, dass für den IdP in der Domino-Metadatendatei eine URL für die Einzelabmeldung angegeben wird, auch wenn Domino derzeit keine Einzelabmeldung bei SAML 2.0 unterstützt.

Beispiel einer Abmeldungs-URL:

https://Ihr_TFIM_Server.com/sps/samlTAM20/saml20

13. Klicken Sie oben in der Maske auf die Schaltfläche XML exportieren, um die erstellte Datei idp.xml als Dokumentanhang zu speichern.

Anmerkung:

Diese Schaltfläche ist nur sichtbar, wenn nicht bereits eine zuvor erstellte

idp.xml

-Datei angehängt ist.

14. Speichern und schließen Sie das IdP-Konfigurationsdokument.

Nächste Maßnahme

Wenn Sie Internet-Site-Dokumente verwenden, führen Sie die Schritte in den verwandten Themen zu diesen Dokumenten aus, um SAML zu aktivieren und das bevorzugte Sitzungs-Cookie anzugeben.

Anmerkung: Wenn Sie den Authentifizierungstyp später im Internet-Site-Dokument ändern und SAML entfernen, wird SAML dadurch nicht deaktiviert, es sei denn, das IdP-Konfigurationsdokument wird deaktiviert oder gelöscht.

Übergeordnetes Thema: SAML in Domino konfigurieren
Nächstes Thema: Domino-Metadatendatei manuell erstellen

Zugehörige Tasks
TFIM-Server als Identitäts-Provider (IdP) einrichten
Microsoft Active Directory Federated Services (ADFS) als Föderation für einen Domino-Partner einrichten
Domino als SAML-basierten Sicherheitsprovider für SSL verwenden
SAML in einem Internet-Site-Dokument (Websitedokument) konfigurieren
Domino-Metadatendatei manuell erstellen

Zugehörige Verweise
Client-Benutzer über SAML und Abmeldung informieren

Zugehörige Informationen
Ergänzende Informationen zu kombinierten SAML-Konfigurationen (Security Assertion Markup Language) von IBM Domino und anderen Produkten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feld	Beschreibung
URL des Artefaktauflösungsdienstes	Domino generiert die Artefakt-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben. Für die Organisation Renovations und TFIM, SAML 2.0 und SSL wird z. B. die folgende Artekfakt-URL generiert: `https://tfim.renovations.com/FIM/sps/samlTAM20/soap`.
URL des Dienstes für die einmalige Anmeldung	Wenn die Daten in der importierten XML-Datei enthalten sind, generiert Domino die Anmeldungs-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben. Für die Organisation Renovations und TFIM, SAML 2.0 and SSL wird beispielsweise die folgende Anmeldungs-URL generiert: `https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial`. Anmerkung: Der Wert in diesem Feld ist eine Untermenge der erwarteten URL für den IdP. Der Domino-Server generiert bei Bedarf die vollständige URL.
X.509-Signierzertifikat	Domino importiert das Zertifikat aus der Datei.
X.509-Zertifikat für die Verschlüsselung	Domino importiert das Zertifikat aus der Datei. Anmerkung: Dieses Feld wird nur angezeigt, wenn im Feld Typ der Wert "SAML 2.0" angegeben ist.
Unterstützte Protokolle	Domino generiert eine Zeichenfolge, die für das im Feld Typ angegebene SAML-Release die Protokolle angibt, die auch von dem angegebenen IdP unterstützt werden. Diese Zeichenfolge wird Teil der Authentifizierungs-URLs, die von Domino als der Service-Provider für den in diesem Konfigurationsdokument angegebenen IdP angegeben wird. Beispiel: `url.oasis.names.tc:SAML:2.0:protocol`.