SICHERHEIT

Domino als SAML-basierten Sicherheitsprovider für SSL verwenden
Wenn Sie auf einem Domino-Web-Server eine Authentifizierung mittels föderierter Identität konfigurieren, wird aus Sicherheitsgründen empfohlen, den Server mit SSL (https-Protokoll) zu sichern. Außerdem ist eine SSL-Konfiguration erforderlich, wenn Ihr IdP ADFS verwendet. SSL ist jedoch nicht erforderlich, wenn der Domino-Server nicht als Web-Server konfiguriert ist. Dies ist z. B. der Fall, wenn es sich um einen Domino-Server handelt, auf dem die ID-Vault für die föderierte Anmeldung beim Notes-Client gehostet wird.

Warum und wann dieser Vorgang ausgeführt wird

Sie können das für die URL des TFIM-Assertion-Posts verwendete Protokoll in https ändern, indem Sie sicherstellen, dass die URL des Assertion Consumer Service https enthält.

Im Domino-IdP-Konfigurationsdokument im IdP-Katalog wird das Argument Service-Provider-ID (SP_PROVIDER_ID) angegeben, das zur Erstellung der Umleitungs-URL zum IdP verwendet wird. Wenn z. B. SSL nicht für Domino konfiguriert wird, sieht die Umleitungs-URL zum IdP wie im Beispiel in Schritt 2 aus. Die Provider-ID kann beim IdP und in Domino (im IdP-Konfigurationsdokument) auf https gesetzt werden, auch wenn die SP_Provider_ID in erster Linie sicherstellen soll, dass die IdP-Einstellung der Einstellung für Domino im IdP-Konfigurationsdokument entspricht.

Anmerkung: Wenn Sie in der URL des Assertion Consumer Service https angeben, wird ein Verbindungsfehler gemeldet, wenn SSL auf dem Domino-Web-Server nicht konfiguriert ist.

Prozedur

1. Notieren Sie den Wert im Feld Provider-ID in der Konfiguration der SAML-Nachrichteneinstellungen des TFIM-Partners.

2. Wenn SSL nicht für Domino konfiguriert wird, verwenden Sie diesen Wert für das Argument SP_PROVIDER_ID (im folgenden Beispiel Ihre_Provider_ID):


Nächste Maßnahme

Wenn SSL auf dem Domino-Web-Server konfiguriert wird und Sie die Umleitungs-URL zum IdP überwachen, sollte TARGET https enthalten:

https://Name_Ihres_WebSphere-Servers:9443/sps/saml11idp/saml11/login?SP_PROVIDER_ID=https://Name_Ihres_Domino-Servers&TARGET=https://Name_Ihres_Domino-Servers/names.nsf

Anmerkung: Der Name des Domino-Web-Servers muss ein vollständig qualifizierter Hostname sein.

Weitere Informationen zum Argument SP_PROVIDER_ID finden Sie im zugehörigen Thema zur Internet-Übertragungs-URL.

Übergeordnetes Thema: SAML in Domino konfigurieren
Vorheriges Thema: SAML in einem Internet-Site-Dokument (Websitedokument) konfigurieren
Nächstes Thema: SAML-Assertions verschlüsseln

Zugehörige Informationen
SAML 1.x - Anfangs-URL
Ports für SSL konfigurieren