1. ID-Vault und Sicherheitsrichtlininie für die föderierte Notes-Anmeldung implementieren
Wenn die Domino-ID-Vault und die Sicherheitsrichtlinie noch nicht vorhanden sind, erstellt der Vaultadministrator die Vault zur Unterstützung der föderierten Anmeldung für Notes-Client-Benutzer sowie eine Sicherheitsrichtlinie für diese Benutzer. Es wird empfohlen, dass sich der Administrator als Testbenutzer anmeldet, um die Implementierung der Vault zu testen, bevor die nächste Aufgabe zur Konfiguration der föderierten Anmeldung ausgeführt wird.
2. SAML-Identitäts-Provider und -Föderation einrichten
Entscheiden Sie, ob in Ihrer Organisation Microsoft™ ADFS oder IBM® Tivoli Federated Identity Manager (TFIM) als Identitäts-Provider für Domino und Notes verwendet werden soll. Richten Sie dann zur Unterstützung der SAML-Authentifizierung für die föderierte Notes-Anmeldung die TFIM-Föderation bzw. bei ADFS die Vertrauensstellung der vertrauenden Seite gemäß den Anweisungen ein. Die auszuführenden Aufgaben umfassen die Erstellung der SAML-Föderation und den Export der IdP-Informationen in eine Metadatendatei.
3. Unterstützung der föderierten Notes-Anmeldung auf dem Domino-ID-Vault-Server aktivieren
Der Domino-Administrator legt die SAML-Konfigurationseinstellungen für die föderierte Notes-Anmeldung in einem oder mehreren IdP-Konfigurationsdokumenten in der IdP-Kataloganwendung (idpcat.nsf) fest.
4. ID-Vault für föderierte Notes-Anmeldung konfigurieren
Der Domino ID-Vaultadministrator richtet die Vault zur Festlegung des Namens des IdP-Katalogdokuments für den SAML-Identitäts-Provider (IdP) ein.
5. Konfiguration der föderierten Notes-Anmeldung anhand einer Richtlinie für Sicherheitseinstellungen auf Clientbenutzer anwenden
Nachdem die föderierte Anmeldung auf SAML-Basis auf Ihrem Domino-Server und Identitäts-Provider (IdP) konfiguriert wurde, können Sie den Notes-Client-Benutzern die Verwendung der föderierten Anmeldung anhand der Sicherheitsrichtlinie zuweisen.
6. Föderierte Notes-Anmeldung in Verbindung mit der gemeinsamen Notes-Anmeldung zur Unterstützung von Offline-Benutzern verwenden (nur Windows)
Wenn in Ihrer Organisation Windows™ für die Notes-Clients verwendet wird, können Sie eine Kombination aus föderierter Notes-Anmeldung und der Funktion "Gemeinsame Notes-Anmeldung" konfigurieren. Mit der Funktion "Gemeinsame Notes-Anmeldung" wird sichergestellt, dass Notes-Benutzer nicht aufgefordert werden, das Kennwort einer ID-Datei anzugeben. Außerdem wird diese Funktion benötigt, wenn der Notes-Client offline verwendet wird. Fehlt die ID-Datei des Notes-Clients auf dem Desktop, stellt die Funktion "Föderierte Notes-Anmeldung" sicher, dass die SAML-Authentifizierung zum Abrufen der ID-Datei des Benutzers aus der Vault verwendet werden kann (die SAML-Authentifizierung muss ausgeführt werden, wenn der Notes-Client online verwendet wird).
7. Client-Benutzer über SAML und Abmeldung informieren
Domino und Notes unterstützen keine Einzelabmeldung. Stellen Sie daher bei der Konfiguration von SAML in Ihrem Unternehmen sicher, dass die Benutzer auf ihren Desktops Sicherheitsverfahren einsetzen, die den physischen Zugriff auf Notes- und Domino-Ressourcen verhindern.