Warum und wann dieser Vorgang ausgeführt wird

Bei der SAML-Authentifizierung genügt es, wenn sich ein Benutzer einmal bei einem bestimmten Identitäts-Provider (IdP) authentifiziert. Anschließend kann der Benutzer auf jeden Server zugreifen, der Partner des IdPs ist. Die SAML-basierte Authentifizierung kann sowohl von Notes-Client- als auch von Web-Client-Benutzern genutzt werden. Die Authentifizierung ist von signierten XML-Identitäts-Assertions abhängig. Die Vorteile für den Benutzer sind eine transparente Authentifizierung und einmalige Anmeldung. Die Authentifizierung erfolgt dabei einmalig für mehrere Domino-Web-Server und Anwendungen sowie für Anwendungen eines anderen Herstellers, für die ebenfalls eine Partnerschaft mit dem IdP besteht. Der IdP bestimmt die Methode für die einmalige Authentifizierung. Der Benutzer kann zur Eingabe eines Kennworts aufgefordert werden, es kann jedoch auch eine Authentifizierungsmethode ohne Kennwort eingesetzt werden, wie die integrierte Windows™-Authentifizierung (SPNEGO/Kerberos) bei Benutzern in einem Intranet.

Es gibt drei Fälle, in denen eine Organisation die SAML-Authentifizierung verwenden kann. Dabei werden u. U. alle Konfigurationen oder auch nur eine Konfiguration benötigt.

• Notes-Client-Benutzern unter Windows oder Citrix kann mit der SAML-Authentifizierung eine Lösung für die einmalige Anmeldung bereitgestellt werden, wobei der IdP in der Regel für eine integrierte Windows-Authentifizierung (IWA) konfiguriert ist. Die SAML-Authentifizierung beim Start des Notes-Clients wird als föderierte Notes-Anmeldung bezeichnet. Als Bonus kommt hinzu, dass die HTTP-Server-Task nicht auf dem Domino-Vault-Server ausgeführt werden muss, weil der HTTP-Anteil von SAML innerhalb des Notes-Clients abgewickelt wird.
• iNotes-Client-Benutzern bietet die SAML-Authentifizierung auch eine Lösung für die einmalige Anmeldung, bei der die ID-Datei des Benutzers aus der Notes-ID-Vault heruntergeladen wird. Die SAML-Authentifizierung für iNotes-Benutzer wird als föderierte Web-Anmeldung bezeichnet. Anweisungen zur Konfiguration von SAML für iNotes-Clients finden Sie im Wiki für Notes und Domino in IBM iNotes Administration Help.
• Benutzern anderer Anwendungen auf Web-Servern bietet die SAML-basierte einmalige Anmeldung eine Alternative zu einer anderen Methode der einmaligen Anmeldung (SSO), die bereits in Domino verfügbar ist: die Multisession-Serverauthentifizierung. Den größten Nutzen bietet SAML, wenn Ihre Domino-Umgebung Webanwendungen von Fremdanbietern einschließt, auf deren Services die Benutzer zugreifen, oder wenn die Multisession-Serverauthentifizierung für Ihre Organisation mit zu großen Einschränkungen verbunden ist - z. B. wenn die Zielumgebung in den DNS-Domänen SSO erfordert.

Domino unterstützt SAML 1.1 und SAML 2.0. Welche SAML-Version Sie verwenden, hängt teilweise vom ausgewählten Identitäts-Provider ab. SAML 2.0 wird empfohlen, es sei denn, Ihre Organisation muss aus einem bestimmten Grund SAML 1.1 verwenden. SAML 1.1 wird u. U. für die einmalige Anmeldung bei bestimmten Anwendungen benötigt.

Je nachdem, welche SAML-Ebene für die beteiligten Anwendungen benötigt wird, kommen die folgenden Identitäts-Providers, die SAML unterstützen, als die Föderation infrage, deren Partner Domino ist:

Tabelle 1. Von Identitäts-Providern unterstützte SAML-Versionen

Identitäts-Provider (IdP)	SAML-Version
IBM Tivoli Access Manager/Tivoli Federated Identity Manager (TAM/TFIM)	SAML 1.1 oder SAML 2.0
Microsoft™ Active Directory Federation Services (ADFS)	erfordert SAML 2.0

Wichtig: Die SAML-Authentifizierung schließt Zeitmarken ein. Stellen Sie sicher, dass die Systemzeiten des SAML-IdP-Computers und des Computers des Domino-SAML-Service-Providers synchronisiert sind, damit beide dieselbe aktuelle Uhrzeit aufweisen. Weisen die Systemzeiten keine ausreichende Synchronität auf, wird eine SAML-Assertion u. U. zurückgewiesen, weil sie anscheinend eine ungültige Uhrzeit aufweist. Dies ist insbesondere dann problematisch, wenn der IdP-Computer eine spätere Systemzeit aufweist als der Domino-Server, sodass Domino eine Assertion zurückweist, deren Zeitangabe anscheinend in der Zukunft liegt.

Informationen zu NOTES.INI-Einstellungen zur Vermeidung von Zeitabweichungen finden Sie im Notes- und Domino-Wiki und in den IBM Support-Technotes.

Kompatibilität

In der folgenden Tabelle sind Client-Konfigurationen aufgeführt, mit denen SAML nicht oder nur teilweise kompatibel ist.

Tabelle 2. Mit SAML inkompatible Client-Konfigurationen

In Ihrer Organisation verwendet	SAML wird nicht empfohlen, weil ...
Smartcard-geschützte ID	Benutzer-IDs für die föderierte Anmeldung können keine Smartcard-geschützten IDs sein, weil die für die föderierte Notes-Anmeldung benötigte ID-Vault nicht mit einer Smartcard-geschützten ID verwendet werden kann.
Notes-Roaming-Benutzer, dessen ID-Datei auf dem Server in einem persönlichen Roaming-Adressbuch gespeichert ist	Benutzer der föderierten Anmeldung können keine Notes-Roaming-Benutzer sein, deren IDs in einem persönlichen Roaming-Adressbuch gespeichert sind, weil die für die föderierte Notes-Anmeldung benötigte ID-Vault nicht mit Notes-IDs verwendet werden kann, die in einem persönlichen Roaming-Adressbuch gespeichert sind.
Notes auf einer USB-Einheit	Die föderierte Anmeldung kann nicht mit Notes auf einer USB-Einsatz verwendet werden, weil die für die föderierte Notes-Anmeldung benötigte ID-Vault nicht mit Notes auf einer USB-Einheit verwendet werden kann.
Notes-Benutzer-IDs mit mehreren Kennwörtern	Benutzer-IDs für die föderierte Anmeldung können keine Notes-Benutzer-IDs mit mehreren Kennwörtern sein, weil die für die föderierte Notes-Anmeldung erforderliche ID-Vault nicht mit IDs, die mehrere Kennwörter aufweisen, verwendet werden kann.
Serverbasierte Kennwortüberprüfung für Notes-Benutzer	Deaktivieren Sie diese Funktion auf Serverplattformen, wenn Sie alle Notes-Benutzer für eine föderierte Notes-Anmeldung konfigurieren. Die Kennwortüberprüfung kann für Benutzer ohne föderierte Anmeldung erzwungen werden, bei Benutzern mit föderierter Anmeldung ist dies jedoch nicht möglich.

Prozedur

Führen Sie die folgenden Aufgaben aus.

1. Föderation zum Konfigurieren als Identitäts-Provider (IdP) auswählen
Mit Domino kompatible Föderationslösungen sind IBM Tivoli Federated Identity Manager (TFIM) und Microsoft Active Directory Federated Services (ADFS). Unter Umständen sind weitere Föderationsdienste verfügbar. Weitere Informationen erhalten Sie beim IBM Support.

2. SAML in Domino konfigurieren
Dieses Verfahren stellt sicher, dass ein Domino-Web-Server am SAML-basierten SSO (Single Sign-On) teilnehmen kann. Der Standard Security Assertion Markup Language (SAML) stellt sicher, dass ein Domino-Server einer Authentifizierungszusicherung eines festgelegten Identitäts-Providers (IdP) vertrauen kann.

3. Föderierte Anmeldung beim Notes-Client
Durch die Authentifizierung mittels föderierter Identität mit dem SAML-Standard (Security Assertion Markup Language (SAML) entfällt für Notes-Client-Benutzer die Eingabe eines Notes-Kennworts über die föderierte Notes-Anmeldung. Die Benutzer-IDs müssen in einer ID-Vault gespeichert werden, deren Domino-Server mit Hostnamen für Identitäts-Provider-Partnerschaften (IdP-Partnerschaften) konfiguriert ist. Der Inhalt der ID-Datei der Notes-Client-Benutzer wird nach dem Download aus der ID-Vault im Speicher auf dem Client abgelegt.

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe