Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Unterstützung der föderierten Notes-Anmeldung auf dem Domino-ID-Vault-Server aktivieren
Der Domino-Administrator legt die SAML-Konfigurationseinstellungen für die föderierte Notes-Anmeldung in einem oder mehreren IdP-Konfigurationsdokumenten in der IdP-Kataloganwendung (idpcat.nsf) fest.

Vorbereitungen

Beschaffen Sie sich eine Kopie der Datei metadata.xml, die vom IdP exportiert wurde, und halten Sie den Inhalt der Datei für den Import bereit, wenn Sie das IdP-Konfigurationsdokument erstellen. Für die Speicherung kann jeder Speicherort gewählt werden, auf den der Domino Administrator-Client zugreifen kann.
Die IdP-Kataloganwendung (idpcat.nsf) muss sich auf demselben Server wie die ID-Vault befinden.
Wenn die IdP-Kataloganwendung bereits vorhanden ist, müssen Sie für den Zugriff auf den Katalog berechtigt sein, damit Sie Dokumente in ihm erstellen können.
Bei den meisten SAML-2.0-Konfigurationen muss die ID-Datei des ID-Vault-Servers ein Internetzertifikat enthalten. Erstellen Sie entweder über die Schaltfläche Zertifikat erstellen der IdP-Kataloganwendung (empfohlen) oder mit dem Serverkonsolenbefehl certmgmt oder über die Domino Zertifizierungsstelle. Wenn bereits ein Internetzertifikat vorhanden ist, können Sie dieses wiederverwenden. Zeigen Sie mit dem Serverkonsolenbefehl certmgmt show all die Hashschlüssel aller vorhandenen Zertifikate an, damit Sie den für SAML benötigten Schlüssel bestehend können.

Warum und wann dieser Vorgang ausgeführt wird

Die SAML-Konfigurationseinstellungen für die föderiert Notes-Anmeldung werden in einem oder mehreren IdP-Konfigurationsdokumenten in der IdP-Kataloganwendung (idpcat.nsf) festgelegt. Das IdP-Konfigurationsdokument enthält mehrere Felder, deren Werte automatisch eingefügt werden, wenn Sie die Datei metadata.xml vom IdP importieren.

Wichtig: Wenn für den Domino-Server eine kennwortgeschützte server.id-Datei vorliegt, kann die in diesem Thema beschriebene Schaltfläche Zertifikat erstellen nicht vom Administrator verwendet werden. Lesen Sie stattdessen das verwandte Thema zum manuellen Erstellen einer Domino-Metadatendatei.

Anmerkung: Bei dieser Vorgehensweise wird davon ausgegangen, dass der Domino-Web-Server für den Notes-ID-Vault-Server, der an der föderierten Domino-Anmeldung teilnimmt, nicht konfiguriert ist. Ihre Organisation kann jedoch bei Bedarf eine solche Kombination verwenden.

Anmerkung: Zur Unterstützung der föderierten Notes-Anmeldung muss für bestimmte Felder in diesem IdP-Konfigurationsdokument (Service-Provider-ID und Domino-URL) eine Zeichenfolge angegeben werden, die die URL imitiert, die bei Konfiguration des ID-Vault-Servers als Domino-Web-Server verwendet würde. Das bedeutet jedoch nicht, dass der IT-Vault-Server tatsächlich als Domino-Web-Server konfiguriert werden muss.

Prozedur

1. Erstellen Sie auf dem Domino Administrator-Client die IdP-Kataloganwendung (idpcat.nsf). Verwenden Sie dazu die Schablone mit dem Dateinamen idpcat.ntf oder öffnen Sie die Anwendung, wenn diese bereits vorhanden ist.

ACHTUNG:

Wenn Ihr Server unter UNIX™ oder IBM® i ausgeführt wird, stellen Sie sicher, dass der Dateiname nur aus Kleinbuchstaben besteht.

2. Es wird empfohlen, die ACL stark zu beschränken. Weisen Sie in der ACL nur dem Domino-Server sowie Domino-SAML-Administratoren, die in Bezug auf die Sicherheitsverwaltung als vertrauenswürdig angesehen werden, Zugriffsrechte zu.

Anmerkung:

Wenn die Datei

ipdcat.nsf

auf anderen teilnehmenden SAML-Servern repliziert wird, werden deren Einträge der ACL hinzugefügt.

3. Klicken Sie auf IdP-Konfiguration hinzufügen, um ein neues Konfigurationsdokument zu erstellen.

Anmerkung:

Wenn in Ihrer Organisation mehrere Internet-Site-Dokumente vorliegen und auf diesen Websites die SAML-Authentifizierung verwendet werden soll, erstellen Sie für jede teilnehmende Internet-Site separate zugehörige IdP-Konfigurationsdokumente. Weitere Informationen hierzu finden Sie im zugehörigen Thema zur Konfiguration von SAML über das Internet-Site-Dokument.

4. Geben Sie im Register Allgemein im Feld Hostnamen und Adressen, die dieser Site zugeordnet werden eine IP-Adresse und/oder eine Webadresse (DNS-Hostname oder Internet-Site-Name) zur Angabe des Domino-ID-Vault-Servers ein. Wenn Sie beides angeben, fügen Sie zwischen IP und Webadresse ein Semikolon ein, z. B. n.nn.nnn.n; www.renovations.com. Die Reihenfolge der Adressen ist nicht von Belang und Sie können mehrere, durch ein Semikolon getrennte Elemente eingeben.

Tipp:

Wenn Sie eine Partnerschaft für die ID-Vault einrichten, die sowohl

für die föderierte

Notes-Anmeldung als auch für die föderierte iNotes-Web-Anmeldung verwendet wird, geben Sie einen virtuellen Hostnamen beginnend mit

vault

an, und zwar der Webadresse (DNS-Hostename oder Inter net-Site-Name) des iNotes-Servers vorangestellt. Geben Sie keine IP-Adresse in der Eingabe an.

Wenn der DNS-Hostname des iNotes-Servers beispielweise dom1.renovations.com lautet, geben Sie einen virtuellen Namen vault.dom1.renovations.com an ohne IP-Adresse.

5. Geben Sie im Feld IdP-Name einen Namen zur Angabe der Website oder des Identitäts-Providers an. Der Name muss nicht zu 100 Prozent korrekt sein, da er nur die Verwaltung vereinfachen soll.

Besitzt z. B. die Organisation Renovations eine Unterstützungssite, die von einem Fremdanbieter gehostet wird, der als Identitäts-Provider fungiert und IBM Tivoli Federated Identity Manager verwendet, kann der Administrator beispielsweise "Renovations Customer Support (TFIM)" eingeben.

6. Wählen Sie im Feld Protokollversion eine SAML-Version aus.

Wichtig:

SAML 2.0 ist erforderlich, wenn Ihre Föderation mit Microsoft™ ADFS konfiguriert ist.

7. Behalten Sie bei diesem Konfigurationsdokument für Status den Wert "Aktiviert" (Vorgabe) bei.

8. Wählen Sie im Feld Föderation-Produkt entweder TFIM für Tivoli Federated Identity Manager oder ADFS für Microsoft Active Directory Federation Services aus, je nachdem, welchen Föderationsdienst Sie für die SAML-Authentifizierung verwenden möchten. Die Vorgabe ist ADFS.

9. Geben Sie im Feld Service-Provider-ID eine Zeichenfolge ein, die Domino als Service-Provider-Partner für den IdP angibt.

Diese Zeichenfolge stimmt in der Regel mit der HTTP-URL für den Domino-HTTP-Server überein, z. B.

http://domino1.us.renovations.com

Anmerkung: Wenn SSL in Domino konfiguriert ist oder Sie ADFS für den IdP verwenden, enthält diese Einstellung https, z. B.: https://domino1.us.renovations.com. Wenn Sie ADFS für den IdP verwenden, ist SSL erforderlich und Sie verwenden daher https in der Zeichenfolge.

Wichtig: Eine Eingabe in diesem Feld ist erforderlich, damit die Schaltfläche Zertifikat erstellen im Register Zertifikatsverwaltung verwendet werden kann.

10. Klicken Sie auf XML-Datei importieren und geben Sie die metadata.xml-Datei an, die vom IdP exportiert wurde.

Es wird empfohlen, dass Sie Informationen aus der importierten XML-Datei unverändert beibehalten.

Anmerkung: Wenn die Föderation mit ADFS konfiguriert ist, weist diese Datei u. U. einen etwas anderen Namen auf, z. B. FederationMetadata.xml.

Tabelle 1. Felder im IdP-Konfigurationsdokument, deren Werte anhand der Datei metadata.xml generiert werden

Feld Beschreibung

URL des Artefaktauflösungsdienstes Domino generiert die Artefakt-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben.
Für die Organisation Renovations und TFIM, SAML 2.0 und SSL wird z. B. die folgende Artekfakt-URL generiert: https://tfim.renovations.com/FIM/sps/samlTAM20/soap.

URL des Dienstes für die einmalige Anmeldung Wenn die Daten in der importierten XML-Datei enthalten sind, generiert Domino die Anmeldungs-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben.
Für die Organisation Renovations und TFIM, SAML 2.0 and SSL wird beispielsweise die folgende Anmeldungs-URL generiert: https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial.
Anmerkung: Der Wert in diesem Feld ist eine Untermenge der erwarteten URL für den IdP. Der Domino-Server generiert bei Bedarf die vollständige URL.

X.509-Signierzertifikat Domino importiert den Zertifikatscode aus der Datei.

X.509-Zertifikat für die Verschlüsselung Domino importiert den Zertifikatscode aus der Datei.
Anmerkung: Dieses Feld wird nur angezeigt, wenn im Feld Typ der Wert "SAML 2.0" angegeben ist.

Unterstützte Protokolle Domino generiert eine Zeichenfolge, die für das im Feld Typ angegebene SAML-Release die Protokolle angibt, die auch von dem angegebenen IdP unterstützt werden. Diese Zeichenfolge wird Teil der Authentifizierungs-URLs, die von Domino als der Service-Provider für den in diesem Konfigurationsdokument angegebenen IdP angegeben wird.
Beispiel: url.oasis.names.tc:SAML:2.0:protocol.

11. Führen Sie im Register Client-Einstellungen alle nachfolgenden Unterschritte aus:

Behalten Sie für

Einmalige Windows-Anmeldung aktivieren

die Einstellung "Ja" bei, wenn dieses IdP-Dokument einem IdP entspricht, der die einmalige Anmeldung von Windows™ (SPNEGO/Kerberos) zur Benutzerauthentifizierung verwendet. Dieses Feld wird von der föderierten Notes-Client-Anmeldung benötigt, damit Domino weiß, wie der eingebettete Browser des Notes-Clients einzurichten ist.

Weitere Informationen hierzu finden Sie im Wiki für Notes und Domino im Artikel zur Einrichtung von ADFS für die integrierte Windows-Authentifizierung (IWA). Die IBM Technote Nr. 1614543 in den verwandten Themen wird Links zu diesen Artikeln enthalten.

Führen Sie im Feld

Sites, die vertrauenswürdig sind

die Web-Hostnamen der vertrauenswürdigen Identitäts-Provider (IdP) auf, die sich von im Register

Allgemein

konfigurierten Hostnamen unterscheiden. Trennen Sie mehrere Einträge durch Semikolon oder das Zeilenschaltungszeichen.

c. Behalten Sie für das Feld SSL erzwingen die Einstellung "Ja" bei, wenn der eingebettete Browser des Notes-Clients fordert, dass eine URL, die während der Anmeldequenz auf dem IdP aufgerufen wird, mit SSL geschützt werden muss.

12. Wenn Sie SAML 2.0 verwenden und aus Domino ein Zertifikat zur Verwendung auf dem IdP exportieren müssen, führen Sie im Register Zertifikatsverwaltung alle nachfolgenden Unterschritte aus:

Geben Sie im Feld

Firmenname

einen Namen ein, um das Zertifikat in der zu exportierenden Domino-Metadatendatei (

idp.xml)

zu kennzeichnen. Verwenden Sie eine beliebige Zeichenfolge, die für Ihre Administratoren geeignet ist.

Mit dem Namen können Sie den Domino-Server angeben, z. B.

Domino US Renovations

, oder einen virtuellen Namen zur Angabe einer bestimmten Internet-Site-Konfiguration auf dem Domino-Server, z. B.

Domino East Coast US Renovations

Tipp: Der Name muss keine Entsprechung in der aktuellen IdP-Konfiguration haben. Die Zeichenfolge muss jedoch mit der Syntax der Datei idp.xml kompatibel sein, d. h., sie darf keine Zeichen wie beispielsweise spitze Klammern (< oder >) enthalten.

Klicken Sie auf

Zertifikat erstellen

. Wenn Sie dazu aufgefordert werden, speichern Sie das Dokument, kehren Sie zum Register zurück und klicken Sie ein zweites Mal auf die Schaltfläche.

Wenn Sie das Zertifikat erstellen, stellt Domino der Zeichenfolge im Feld

Firmenname

"CN=" voran und verwendet diesen Namen als Zertifikatsobjekt. Der Name ist möglicherweise in der IdP-Konfiguration sichtbar, nachdem die Metadatendatei importiert wurde.

Geben Sie im Feld

Domino-URL

eine Zeichenfolge zur Angabe des vollständig qualifizierten DNS-Namens in einer URL des Domino-Servers ein.

Geben Sie beispielsweise Folgendes ein:

https://Hostname_Ihres_SAML_Service-Providers

Die Zeichenfolge in diesem Feld wird vom IdP als Anfangsteil der URL für die Rücksendung der SAML-Assertion des Benutzers an Domino verwendet.

Anmerkung: Wenn SSL nicht für Domino konfiguriert ist und Sie TFIM für den IdP verwenden, enthält diese Einstellung http statt https, z. B.: http://domino1.us.renovations.com.

Anmerkung: In der Regel können Sie die Zeichenfolge wiederholen, die Sie im Feld Service-Provider-ID im Register Allgemein eingegeben haben. Wenn Sie jedoch eine Partnerschaft für die ID-Vault einrichten, die sowohl für die föderierte Notes-Anmeldung als auch für die föderierte iNotes-Web-Anmeldung verwendet wird, verwenden Sie stattdessen den vollständig qualifizierten DNS-Namen der Webadresse des iNotes-Servers (DNS-Hostname oder Internet-Site-Name) in einer URL. Beispiel: https://dom1.renovations.com.

Geben Sie im Feld

URL für die Einzelabmeldung:

eine URL ein. Auch wenn Ihr IdP Einzelabmeldung nicht erfordert oder unterstützt, müssen Sie eine syntaktisch korrekte URL eingeben, damit die exportierte Metadatendatei eine ordnungsgemäße Syntax aufweist. Die Konfiguration TFIM-IdP mit SAML 2.0 erfordert, dass für den IdP in der Domino-Metadatendatei eine URL für die Einzelabmeldung angegeben wird, auch wenn Domino derzeit keine Einzelabmeldung bei SAML 2.0 unterstützt.

Beispiel einer Abmeldungs-URL:

https://Name_Ihres_TFIM-Servers.com/sps/samlTAM20/saml20

13. Klicken Sie oben in der Maske auf die Schaltfläche XML exportieren, um die erstellte Datei idp.xml als Dokumentanhang zu speichern.

Anmerkung:

Diese Schaltfläche ist nur sichtbar, wenn nicht bereits eine zuvor erstellte

idp.xml

-Datei angehängt ist.

14. Speichern und schließen Sie das IdP-Konfigurationsdokument.

Übergeordnetes Thema: Föderierte Anmeldung beim Notes-Client
Vorheriges Thema: SAML-Identitäts-Provider und -Föderation einrichten
Nächstes Thema: ID-Vault für föderierte Notes-Anmeldung konfigurieren

Zugehörige Tasks
Domino-Metadatendatei manuell erstellen
Den Domino-Web-Server für die SAML-Authentifizierung aktivieren
SAML in einem Internet-Site-Dokument (Websitedokument) konfigurieren

Zugehörige Informationen
Ergänzende Informationen zu kombinierten SAML-Konfigurationen (Security Assertion Markup Language) von IBM Domino und anderen Produkten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feld	Beschreibung
URL des Artefaktauflösungsdienstes	Domino generiert die Artefakt-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben. Für die Organisation Renovations und TFIM, SAML 2.0 und SSL wird z. B. die folgende Artekfakt-URL generiert: `https://tfim.renovations.com/FIM/sps/samlTAM20/soap`.
URL des Dienstes für die einmalige Anmeldung	Wenn die Daten in der importierten XML-Datei enthalten sind, generiert Domino die Anmeldungs-URL für den Föderationsdienst, den Sie im Feld Produkt angegeben haben. Für die Organisation Renovations und TFIM, SAML 2.0 and SSL wird beispielsweise die folgende Anmeldungs-URL generiert: `https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial`. Anmerkung: Der Wert in diesem Feld ist eine Untermenge der erwarteten URL für den IdP. Der Domino-Server generiert bei Bedarf die vollständige URL.
X.509-Signierzertifikat	Domino importiert den Zertifikatscode aus der Datei.
X.509-Zertifikat für die Verschlüsselung	Domino importiert den Zertifikatscode aus der Datei. Anmerkung: Dieses Feld wird nur angezeigt, wenn im Feld Typ der Wert "SAML 2.0" angegeben ist.
Unterstützte Protokolle	Domino generiert eine Zeichenfolge, die für das im Feld Typ angegebene SAML-Release die Protokolle angibt, die auch von dem angegebenen IdP unterstützt werden. Diese Zeichenfolge wird Teil der Authentifizierungs-URLs, die von Domino als der Service-Provider für den in diesem Konfigurationsdokument angegebenen IdP angegeben wird. Beispiel: `url.oasis.names.tc:SAML:2.0:protocol`.