Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Domino-Metadatendatei manuell erstellen
Wenn die Domino-Datei server.id kennwortgeschützt ist, müssen Sie als Administrator die SAML-Metadatendatei und die Zertifikatsdatei manuell erstellen; die Schaltfläche Zertifikat erstellen in der IdP-Kataloganwendung kann nicht verwendet werden. Sie müssen die Metadatendatei auch manuell erstellen, wenn Sie SAML-Assertions mithilfe eines Internetzertifikats, das bereits in der Server-ID-Datei vorhanden ist, prüfen wollen.

Prozedur

1. Bearbeiten Sie die Domino-Serverdatei NOTES.INI und geben Sie die folgenden erforderlichen Einstellungen ein:

SAMLAuthVersion=

Wert

Dabei können die folgenden Werte verwendet werden:

1 - für SAML 1.1

2 - für SAML 2.0

SAMLUrl=https://Hostname_Ihres_SAML_Service-Providers

Beispiel: https://domino1.us.renovations.com

Anmerkung: Wenn Ihr Domino-Server nicht für SSL aktiviert wird (erforderlich bei einem ADFS-IdP, nicht jedoch bei einem TFIM-IdP), muss diese URL mit http statt https beginnen, beispielsweise http://domino1.us.renovations.com.

SAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20

Wenn Sie eine Föderationslösung auf Basis von IBM® Tivoli Federated Identity Manager einsetzen, gibt diese Einstellung die Abmelde-URL an. Wenn Ihre Föderation keine Abmelde-URL erfordert oder unterstützt, sollten Sie dennoch eine URL wie die oben erwähnte eingeben, um die ordnungsgemäße Syntax für die exportierten Metadaten sicherzustellen.

2. Wenn die Server-ID-Datei bereits über ein Internetzertifikat verfügt, das verwendet werden kann, ist dieser Schritt optional. Geben Sie an der Domino-Serverkonsole auf dem Domino-Server den folgenden Befehl ein, um das Zertifikat zu erstellen. Besteht der Name des Unternehmens aus mehreren Wörtern, schließen Sie den Namen wie im folgenden Beispiel in Anführungszeichen (") ein:

certmgmt create saml [overwrite][company "Renovations Home Improvement"]

Anmerkung: Wenn Sie kein Unternehmen angeben, wird die Vorgabe SAML Signing verwendet.

3. Notieren Sie den Hashwert des öffentlichen Schlüssels, der nach der Eingabe des Befehls certmgmt create saml an der Konsole angezeigt wird. Der Schlüssel ist die Zeichenfolge, die nach public key hash= angezeigt wird. Im folgenden Beispiel lautet der Schlüssel v6i9TOz7zP9GBCXxtrz+KA==.

Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA==

4. Bearbeiten Sie erneut die Domino-Serverdatei NOTES.INI, und geben Sie die folgende erforderliche Einstellung mit dem in Schritt 3 notierten Hashschlüssel ein:

SAMLPublicKeyHash=

Ihr_Hashschlüssel

Tipp: Wenn Sie den Hashschlüssel nicht notiert haben, weil Sie beispielsweise nicht der Administrator sind, der die vorherigen Schritte ausgeführt hat, oder ein anderes vorhandenes Zertifikat verwenden möchten, können Sie den Schlüssel mit dem Befehl CERTMGMT SHOW ALL anzeigen.

5. Geben Sie die folgende NOTES.INI-Einstellung ein. Verwenden Sie dabei eine Zeichenfolge, mit der die Administratoren einverstanden sind:

SAMLCompanyName=

Name_Ihrer_Organisation

Der Text, den Sie für Name_Ihrer_Organisation eingeben, muss mit dem Namen des Unternehmens übereinstimmen, den Sie beim Erstellen des Zertifikats in Schritt 2 angegeben haben (certmgmt create saml). Alternativ kann Name_Ihrer_Organisation mit dem Subjektnamen übereinstimmen, der beim Absetzen des Befehls CERTMGMT SHOW ALL angezeigt wird. Wenn Sie in Schritt 2 keinen Namen angegeben haben, verwenden Sie SAML Signing als Wert für SAMLCompanyName. Beispiel:

SAMLCompanyName=SAML Signing

6. Geben Sie den folgenden Befehl ein, um eine Metadaten-XML-Datei zu erstellen (z. B. tfim-meta.xml bei TFIM), die in die Föderation importiert werden soll:

certmgmt export saml xml filename.xml

7. Kopieren Sie die exportierte Zertifikatsdatei aus Domino an einen für den IdP zugänglichen Speicherort und importieren Sie die Datei in die IdP-Konfiguration.

8. Öffnen Sie die Datei idpcat.nsf und das Dokument für die entsprechene Partnerschaft. Kopieren Sie auf dem Register Zertifikatsverwaltung unter Einstellungen für die Zertifikatsverwaltung den Hashwert des öffentlichen Schlüssels, der in den vorherigen Schritten verwendet wurde, und fügen ihn im Feld Certificate public key hash value (base 64) ein.

Nächste Maßnahme

Weitere Informationen hierzu finden Sie im Wiki für Notes und Domino, indem Sie nach Artikeln zum Konfigurieren der TFIM- und der ADFS-Föderationen für SAML mit Domino suchen. Die IBM Technote Nr. 1614543 in den verwandten Themen wird Links zu diesen Artikeln enthalten.

Übergeordnetes Thema: SAML in Domino konfigurieren
Vorheriges Thema: Den Domino-Web-Server für die SAML-Authentifizierung aktivieren
Nächstes Thema: SAML in einem Internet-Site-Dokument (Websitedokument) konfigurieren

Zugehörige Informationen
Ergänzende Informationen zu kombinierten SAML-Konfigurationen (Security Assertion Markup Language) von IBM Domino und anderen Produkten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe