SICHERHEIT
Warum und wann dieser Vorgang ausgeführt wird
Zum Konfigurieren von SAML müssen mindestens zwei Aufgaben ausgeführt werden: Im Domino-Verzeichnis muss die SAML-Authentifizierung festgelegt werden und es muss ein Dokument zur Aufnahme der SAML-Konfigurationseinstellungen erstellt werden. Abhängig davon, ob Ihre Organisation Internet-Sites verwendet, geben Sie die Authentifizierung entweder im Serverdokument oder in einem oder mehreren Internet-Site-Dokumenten an. Die SAML-Konfigurationseinstellungen werden anschließend in einem oder mehreren Konfigurationsdokument(en) in der IdP-Kataloganwendung (idpcat.nsf) angegeben.
Zusammen bestimmen diese Dokumente, ob Domino als SAML-Service-Provider SAML-Assertions eines bestimmten Identitäts-Providers (IdP) vertraut. Der öffentliche Schlüssel des IdPs, der in einem IdP-Konfigurationsdokument in der IdP-Kataloganwendung gespeichert ist, wird zur kryptografischen Überprüfung einer vom IdP ausgegebenen SAML-Assertion verwendet.
Es wird empfohlen, dass Sie SSL-Sicherheit für Ihre SAML-Konfiguration verwenden. Wenn Microsoft™ Active Directory (ADFS) als Föderationslösung verwendet wird, ist SSL erforderlich.
Tipp: Da die SAML-Konfiguration eine Kooperationskonfiguration für Domino und den Identitäts-Provider (IdP) erfordert, sollte zunächst sichergestellt sein, dass der Domino-Web-Server ordnungsgemäß konfiguriert ist, bevor er unabhängig von einem IdP eingesetzt wird. Richten Sie auf dem Domino-HTTP-Server daher vor der Konfiguration von SAML ggf. eine für jeden Server getrennt durchgeführte Sitzungsauthentifizierung ein. Dazu muss Domino so konfiguriert werden, dass sich Domino als Webbenutzer anmeldet (z. B. als der Domino-Administrator, der bei der Einrichtung des Domino-Servers im Domino-Verzeichnisses konfiguriert wurde). Sobald Sie als dieser Administrator sich als Domino-Benutzer anmelden und erfolgreich URLs auf dem Domino-Server suchen können, ist der Server für die SAML-Konfiguration und -Aktivierung bereit.
Anmerkung: Wenn in Ihrer Organisation SAML zur Sitzungsauthentifizierung verwendet wird, deaktivieren Sie das Feld Sperre des Internetkennworts erzwingen im Register "Sicherheit" des Serverkonfigurationsdokuments. Deaktivieren Sie außerdem alle Einstellungen für das Web-Kennwortmanagement, die in für SAML-Benutzer angewendeten Sicherheitsrichtlinien aktiviert wurden, z. B. die Synchronisierung des Notes-Client-Kennworts mit dem Internetkennwort. Weitere Informationen zur Internetkennwortsperrung finden Sie in den verwandten Themen.
Prozedur
Führen Sie die folgenden Aufgaben durch:
2. Domino-Metadatendatei manuell erstellen Wenn die Domino-Datei server.id kennwortgeschützt ist, müssen Sie als Administrator die SAML-Metadatendatei und die Zertifikatsdatei manuell erstellen; die Schaltfläche Zertifikat erstellen in der IdP-Kataloganwendung kann nicht verwendet werden. Sie müssen die Metadatendatei auch manuell erstellen, wenn Sie SAML-Assertions mithilfe eines Internetzertifikats, das bereits in der Server-ID-Datei vorhanden ist, prüfen wollen.
3. SAML in einem Internet-Site-Dokument (Websitedokument) konfigurieren Verwenden Sie diese Vorgehensweise zum Konfigurieren der SAML-Authentifizierung für Domino in einem oder mehreren Internet-Site-Dokumenten (Websitedokumenten).
4. Domino als SAML-basierten Sicherheitsprovider für SSL verwenden Wenn Sie auf einem Domino-Web-Server eine Authentifizierung mittels föderierter Identität konfigurieren, wird aus Sicherheitsgründen empfohlen, den Server mit SSL (https-Protokoll) zu sichern. Außerdem ist eine SSL-Konfiguration erforderlich, wenn Ihr IdP ADFS verwendet. SSL ist jedoch nicht erforderlich, wenn der Domino-Server nicht als Web-Server konfiguriert ist. Dies ist z. B. der Fall, wenn es sich um einen Domino-Server handelt, auf dem die ID-Vault für die föderierte Anmeldung beim Notes-Client gehostet wird.
5. SAML-Assertions verschlüsseln Möglicherweise müssen SAML-Assertions in Ihrer Organisation verschlüsselt werden, wenn die Assertions Attribute enthalten, die sensible persönliche Daten wie Sozialversicherungsnummern umfassen.
Zugehörige Tasks Internetkennwörter sichern Internet-Site-Dokument erstellen