SICHERHEIT
Warum und wann dieser Vorgang ausgeführt wird
Wenn Sie die föderierte Notes-Anmeldung konfigurieren, wird für den Notes-ID-Vault-Server eine TFIM-Partnerschaft eingerichtet. Der ID-Vault-Server muss nicht als HTTP-Server konfiguriert sein, jedoch muss bei den meisten SAML-2.0-Konfigurationen die Server-ID-Datei des ID-Vault-Servers ein Internetzertifikat enthalten sein.
Tipp: Wenn Sie die IdP-Partnerschaft für verschlüsselte Assertions konfigurieren, muss die Föderation SAML 2.0 sein und die Schlüsselnutzung des Internetzertifikats für die Partnerschaft des Domino-Servers muss für die Verschlüsselung festgelegt sein.
Bei den meisten SAML-2.0-Konfigurationen muss die ID-Datei des Domino-HTTP-Servers (SAML-Service-Provider) ein Internet-Zertifikat enthalten. Es wird empfohlen, dass Sie entweder über die Schaltfläche Zertifikat erstellen der IdP-Kataloganwendung oder mit dem Serverkonsolenbefehl CERTMGMT ein neues Internetzertifikat für SAML erstellen. Sie können auch ein neues Internetzertifikat auf eine andere Weise erstellen, beispielsweise mithilfe der Domino-Zertifizierungsstelle (CA), sofern die Schlüsselnutzung des Internetzertifikats das Signieren zulässt. Wenn Sie ein vorhandenes Internetsignierzertifikat verwenden möchten (beispielsweise ein für SSL verwendetes Zertifikat), können Sie dasselbe Zertifikat für die SAML-Partnerschaft verwenden. Bei dieser Einrichtung muss der Serverkonsolenbefehl CERTMGMT verwendet werden.
Tipp: Wenn Sie das SSL-Zertifikat des Servers verwenden, exportieren Sie das Zertifikat und den privaten Schlüssel aus der SSL-Schlüsselringdatei in eine Datei im Format PKCS12. Anschließend importieren Sie über das Dialogfeld "Benutzersicherheit" im Notes-Client das Zertifikat und den privaten Schlüssel aus der PKCS12-Datei in die ID-Datei des Servers.
Allgemeine Anweisungen und eine allgemeine Dokumentation zur Einrichtung eines TFIM-Partners finden Sie in den verwandten Themen. Wenn Sie das SSL-Zertifikat des Servers verwenden, exportieren Sie das Zertifikat und den privaten Schlüssel aus der SSL-Schlüsselringdatei in eine Datei im Format PKCS12. Anschließend importieren Sie über das Dialogfeld "Benutzersicherheit" im Notes-Client das Zertifikat und den privaten Schlüssel aus der PKCS12-Datei in die ID-Datei des Servers.
Prozedur
1. Verwenden Sie bei der Erstellung der TFIM-Föderation auf dem IdP die exportierte Domino-Metadatendatei. Weitere Informationen zum Einrichten einer Tivoli Federated Identity Manager-Föderation (TFIM-Föderation) finden Sie im zugehörigen Thema.
2. Konfigurieren Sie die Partnerschaft mit den folgenden Werten:
Anmerkung: Wenn SSL nicht für Domino konfiguriert ist, enthält diese Einstellung http statt https, z. B.: http://domino1.us.renovations.com.
Nachdem Sie das IdP-Konfigurationsdokument und auch die Domino-Server-Partnerschaft eingerichtet haben, starten Sie den Domino-HTTP-Server neu, um die SAML-Authentifizierung in Kraft zu setzen.
Geben Sie an der Serverkonsole Folgendes ein, um den HTTP-Prozess zu starten:
load HTTP
Wenn der HTTP-Prozess bereits läuft, geben Sie Folgendes ein:
tell HTTP restart
Weitere Informationen hierzu finden Sie im Wiki für Notes und Domino im Artikel zum Einrichten des Domino-Servers als TFIM-Partner. Die IBM Technote Nr. 1614543 in den verwandten Themen enthält Links zu einer Reihe solcher Artikel.
Übergeordnetes Thema: TFIM-Server als Identitäts-Provider (IdP) einrichten Vorheriges Thema: Tivoli Federated Identity Manager-Föderation (TFIM-Föderation) einrichten Nächstes Thema: Server des TFIM-Identitäts-Providers bei Domino als SAML-Service-Provider registrieren
Zugehörige Informationen IBM Tivoli Federated Identity Manager Version 6.2.1: Partner hinzufügen Ergänzende Informationen zu kombinierten SAML-Konfigurationen (Security Assertion Markup Language) von IBM Domino und anderen Produkten