SICHERHEIT
Details zum Anmelden und Abmelden mit IdP
Wenn ein SAML-IdP konfiguriert ist, der sich merkt, dass ein Benutzer an einem bestimmten Computer angemeldet ist, kann der IdP Cookies speichern oder einen Status festlegen, um den Benutzer zu identifizieren. Die Abmeldemechanismen von Notes/Domino haben keinen Einfluss auf den IdP oder den Status des Benutzerdesktops, der die vom IdP festgelegten Benutzerinformationen enthält.
Nachdem sich ein Benutzer beim SAML-IdP angemeldet hat, kann der IdP nahtlos im Namen des Benutzers SAML-Assertions zur Authentifizierung an einen Domino-Server übermitteln, der als SAML SP konfiguriert ist. Es ist wichtig, dass der Computer des Endbenutzers geschützt ist (z. B. durch Verwendung einer Betriebssystemfunktion zum Sperren des Computers oder durch einen kennwortgeschützten Bildschirmschoner), damit kein Unbefugter auf die Lotus/Domino-Ressourcen zugreifen kann, wenn der Benutzer nicht an seinem Platz ist.
Insbesondere wenn Domino-Webbenutzer einen Desktop gemeinsam nutzen, kann es beim IdP zu Unklarheiten kommen. Wenn sich ein Benutzer beim IdP angemeldet hat, geht der IdP bei einem späteren erneuten Zugriff u. U. davon aus, dass es sich um denselben Benutzer handelt. Dieses Szenario lässt sich vermeiden, wenn verlangt wird, dass mehrere Benutzer eines Desktops sich als unterschiedliche Benutzer beim Betriebssystem anmelden, und wenn der IdP so konfiguriert ist, dass jeder Benutzer über eine integrierte Windows™-Authentifizierung mit SPNEGO/Kerberos (IWA) authentifiziert wird. Wenn IWA am IdP verwendet wird, kann der IdP Benutzer, die sich einzeln beim Betriebssystem angemeldet haben, nicht verwechseln.
Übergeordnetes Thema: Föderierte Anmeldung beim Notes-Client Vorheriges Thema: Föderierte Notes-Anmeldung in Verbindung mit der gemeinsamen Notes-Anmeldung zur Unterstützung von Offline-Benutzern verwenden (nur Windows)