IBM Domino / Notes 9.0中的新功能

IBM Domino / Notes 9.0的新功能: Notes联合身份验证登录及其部署和使用的介绍

詹婷婷，耿秋菊和陈栋

发布于2013年9月6日

对于想要部署和体验Notes联合登录（Federate Login）的用户，他们首先需要了解并了解Notes联合登录实际上是通过SAML（安全性断言标记语言）的单个完成点. ，如果用户还可以同时理解“联邦身份”，则对Notes联合登录的配置和部署将有很大帮助，因为在配置部署过程中需要完成一个步骤才能获得联邦身份. 下面将首先介绍SAML和联合身份，通过介绍Notes联合登录原理和示例应用程序的描述，来指导用户逐步进入Notes联合登录的领域，让用户了解并知道如何部署和使用新的Domino / Notes 9.0的功能: Notes联合登录.

从概念上讲，Notes联合登录属于单点登录类别. 实现单点登录的方法有很多，通过SAML进行单点登录是其中一种方法，它也是一种流行的方法. Notes联合登录的实现也离不开SAML. 另外，为了更好地理解Notes联合登录，在开始部署Notes联合登录之前，您需要了解一个名词: 联合身份.

SAML提供了一组强大且可扩展的数据格式. 换句话说，SAML是XML框架，即一组协议和规范. 通过此SAML的XML框架/协议/规范，可以在各种环境中交换数据和标识信息（可用于传输公司用户标识）.

单点登录，或简称SSO. SSO的定义是，在多个应用程序系统中，用户只需登录一次即可访问所有相互信任的应用程序系统. 尽管许多产品都提供WEB单点登录ibm 单点登录，但仍需要一种标准来实现跨不同产品的这种转移，这也是SAML值得关注的领域.

SAML协议标准有两个角色: 一个是身份提供者（IdP），通常IdP负责创建，维护和管理用户身份验证；一种是服务提供商（SP），通常由SP控制用户是否可以使用SP提供的服务和资源. 在下面的配置部署过程中，我们可以看到相关描述.

联邦身份，可以满足SAML的定义. 其定义是: 联邦身份集成了来自各种数据源的相同用户数据. 这个定义很容易理解. 例如，在以下示例应用程序中，我们集成了域用户和IBM Notes用户数据，即唯一的域用户，也集成了IBM Notes用户. 我们集成了用户数据，域用户登录到域后，他可以登录以访问和使用IBM Notes中的资源，而无需使用与域用户相对应的IBM Notes用户名和密码. 换句话说，在以下示例应用程序中，我们将实现域用户以登录到IBM Notes并通过身份验证进行连接并使用IBM Domino服务器资源.

注意联合登录，我们可以简单地使用以下文字来描述: 用户通过身份验证通过指定的IdP终端上的一组用户名和密码，用户可以访问任何具有IdP合作关系的SP端服务器（整个该过程基于SAML）. 对IdP和SP的理解已在上一章中进行了描述. 在下一节的示例应用程序中，IdP端是指Windows Server 2008 R2提供的AD FS 2.0，而SP端是指IBM Domino服务器.

IBM Notes客户端使用基于SAML的认证机制，并依赖XML身份声明来启用Notes联合身份验证登录. 本章的主要内容-Notes联合身份验证登录的原理，可以通过以下文字结合下图（图1）来理解.

如图所示，用户首先登录IBM Notes客户端，并希望访问相应的SP: IBM Domino Server. IBM Domino服务器中有一个IdP目录应用程序（idpcat.nsf）. 该应用程序接受来自客户端的访问请求，并基于应用程序中配置的IdP设置文档的内容，登录请求和登录用户信息（以SAML为框架），将其传输到IdP服务器，并由IdP确认用户是否可以访问SP服务器中的资源. IdP获取信息之后，它以相同的方式将已确认的信息传输到IBM Domino服务器中的IdP目录应用程序（idpcat.nsf），并确定IBM Domino服务器是否应该信任来自指定IdP的SAML断言（在指定的IdP的公钥存储在IdP目录应用程序中，以确定SAML断言是否来自指定的IdP. 根据返回的SAML断言信息，IBM Domino服务器确定是否允许用户访问该服务器中的资源.

以上“ SAML和单一登录”的介绍中提到了服务提供者和身份提供者. 作为Notes联合登录的身份提供者，我们有两个选择，分别是IBM Tivoli Access Manager / Tivoli联合身份管理器（TAM / TFIM）和Microsoft Active Directory联合身份验证服务（AD FS）. 本文示例应用程序中使用的身份提供程序使用Windows Server 2008 R2 Enterprise中的AD FS.

在开始配置之前，我们需要有一个适合Notes联合登录的环境，例如，需要多台计算机，并创建域等. 对于本文的特定示例应用程序，特定参考如下:

计算机1: Windows Server，创建域，并创建域用户. 机器角色是域控制器.

计算机2: Windows Server，加入计算机1创建的域，安装IBM Domino Server和IBM Domino Administrator Client，配置并注册IBM Notes用户.

计算机3: Windows Server 2008 R2，加入计算机1创建的域. 系统随附AD FS 2.0.

计算机4: IBM Notes Client支持的任何平台. 在此计算机上安装IBM Notes客户端，然后在完成Notes联合登录的配置之后配置IBM Notes客户端. 应该注意的是，在安装过程中，请勿安装“客户端单一登录功能”，否则，即使按照本文完成了部署配置步骤，也将无法实现Notes联合登录. 如图2所示.

在计算机和域环境准备就绪之后，我们可以从计算机2开始配置Notes联合登录. 由于在配置AD FS 2.0之前和之后都需要配置IBM Domino Server，因此我们拆分了IBM Domino Server的配置. 分为配置一（配置AD FS 2.0之前）和配置二（配置AD FS 2.0之前（配置后））两个部分.

使用域Administrator用户登录到计算机2，然后开始配置IBM Domino Server. 在本章中，需要完成的配置是使IBM Domino Server SSL可用. 有关IBM Domino服务器的实现，请参阅在Domino服务器上设置SSL.

在实施IBM Domino服务器SSL之后，您需要在以下各节中继续进行配置，以实现Notes联合登录功能.

使用域管理员用户登录到计算机3. 在计算机3上，该系统（Windows服务器2008 R2）随附有AD FS 2.0，并已安装了Internet信息服务（IIS）角色. 请按照以下步骤完成IIS和AD FS 2.0的配置.

第一步是配置IIS.

第二步是打开AD FS 2.0管理并配置AD FS. 在“选择独立或服务器场部署”页面上，单击“独立联合服务器”以将当前计算机配置为独立联合服务器. 配置过程结束后，单击“配置结果”页面上的“关闭”按钮以结束配置并继续下一步.

第三步是为AD FS建立一个依赖方信任，并获取FederationMetadata.xml.

在IdP端完成上述配置过程之后，您需要在以下各节中继续进行配置，以实现Notes联合登录功能.

使用域管理员用户登录到计算机2. 在上一章（SP端的配置）中，我们为IBM Domino服务器实现了SSL，现在我们需要继续为IBM Domino服务器完成以下配置.

第一步是创建一个ID保险库并创建一个安全策略，该策略指定用户使用ID保险库. 有关创建过程，请参阅创建和配置标识符库. 完成后，可以检查以下检查点.

第二步是如下配置相关证书.

第三步是基于idpcat.ntf在服务器上创建idpcat.nsf并导入FederationMetadata.xml并填写正确的信息.

第四步是配置ID库（通常在IBM_ID_VAULT目录下）.

缺省情况下，将在目录IBM_ID_VAULT中创建ID Vault. 打开服务器上存在的ID Vault: IBM_ID_VAULT \ ID Vault Name.nsf，如图17所示，单击“配置”视图以打开并编辑相应的ID Vault文档.

如图18所示，在Notes联合登录批准的IdP配置字段中，输入相应的IBM Domino服务器主机名，保存并退出.

在SP侧完成上述步骤之后，在SP侧的Notes联合身份验证登录的配置过程基本完成. 您需要在以下各章中继续进行配置，以最终实现Notes联合登录功能.

使用域管理员用户登录到计算机1，并完成以下步骤以实现域用户和IBM Notes用户的联合.

第一步，选择“开始”->“所有程序”->“管理工具”->“ Active Directory用户和计算机”，如图19所示，您可以看到相应域中现有的用户.

第二步是打开用户属性框，然后在用户属性框的“电子邮件”中输入IBM Notes用户的Internet地址. 如图20所示，IBM Notes用户zhangsan（Internet地址为zhangsan@mic.com）和域用户zhangsan可以完成身份联合.

在域控制计算机上完成上述步骤之后，Notes联合身份验证登录的配置过程已完成. 您可以继续使用以下两个小节中的描述来设置Notes联合登录是否可用.

设置Notes联合登录可用，您可以通过IBM Domino管理员用户在服务器上打开names.nsf，选择“配置”->“策略”->“设置”视图，选择并打开与之对应的安全性联合登录注意事项设置文档后，单击“密码管理”->“联合登录”选项卡，修改以下字段值. 请参阅图21.

在此步骤中，Notes联合身份验证登录所需的配置步骤已完成. 此时，您可以切换到计算机4来体验Notes联合身份验证登录.

以系统用户身份登录到计算机. 4.双击桌面上的Notes图标以开始配置IBM Notes Client. 在配置期间，使用您的IBM Notes用户名登录到IBM Notes客户端并连接到计算机2上的IBM Domino服务器. 在IBM Notes Client连接到IBM Domino Server之后，IBM Notes Client将应用与之相关的策略. 将Notes在服务器中以联合身份登录到当前客户端. 在此过程中，将依次显示以下提示窗口和登录界面，需要用户输入.

当IBM Notes客户端连接到IBM Domino服务器时，用户ID文件将从ID Vault下载到客户端，并且您将得到提示消息，如图22所示.

在提示消息框中，单击“确定”按钮ibm 单点登录，客户端上将弹出Notes联合登录表单，如图23所示.

在此窗口中，输入与当前IBM Notes用户具有联盟身份关系的域用户名和密码，然后单击“登录”按钮以完成Notes联盟登录. 使用域用户名和密码成功登录后，您将获得Notes联合登录Enalbe的提示消息，如图24所示.

在此消息框中单击“确定”按钮，并且第一个Notes联合身份验证登录已完成. 退出并重新启动IBM Notes Client，将显示图23中所示的登录界面，并且用户可以使用域用户名和密码直接访问IBM Notes Client，并访问IBM Domino Server中的资源. 应该注意的是，在启用Notes联合身份验证登录后，将不再显示在登录到IBM Notes Client时通常显示的IBM Notes Client登录窗口. 取而代之的是，将替换图23中所示的Notes联合登录表单.

对于Notes联合登录不可用的设置，请参考上一节. 在同一安全设置文档页面上，将与“使用SAML IdP启用Notes联合登录”（请参阅​​图21）相对应的域值更改为“否”并保存.

至此，Notes联合实例应用程序的描述可以结束. 再次值得一提: 仅在IBM Notes Client的首次配置登录过程中，才需要使用IBM Notes用户名和密码. Notes联合身份验证登录生效后，用户可以将联合身份验证与IBM Notes用户的身份一起使用. 关系的域用户名和密码（请参阅上一节“实现域用户和IBM Notes用户的身份联合”）登录并使用IBM Domino Server资源. 当用户不再希望使用Notes联合登录表单登录到IBM Notes客户端以访问IBM Domino服务器资源时，可以通过修改与Notes相关的安全设置文档中的设置，将联合登录设置为不可用状态. 联合登录.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-178177-1.html