Domino 9 SAML 配置步骤一、实验环境：三台虚机， Windows 2008 R6 64位1.Active Directory + ADFS2.0说明：在生产环境中，AD和ADFS很可能是两台不同的服务器， ADFS需要在AD 域中。

2.Domino 9.0 服务器 + Domino AdministrtatorDomino服务器不需要登录AD域3.Notes 9.0客户端注意：安装客户端时，请不要勾选”客户端单一用户登录”选项, 它与SAML联合登录冲突。

三台服务器的Hosts文件：192.168.255.188 adfs192.168.255.166 hub注意：同步Domino服务器和ADFS的时间！二、配置步骤：1.ADFS2.0 安装1.1将ADFS服务器 Windows 2008升级为域控制器DCPromoAD域名： 详细步骤省略1.2下载ADFS2.0安装介质下载地址：/zh-cn/download/details.aspx?id=19265 1.3允许AdfsSetup.exe选择“联合服务器“如果服务器没有安装IIS，安装程序会先安装IIS服务。

点完成后，会启动AD FS 2.0管理单元界面：注意，出现下面的界面后，暂时不点击任何链接，等配置完IIS证书后再继续。

2.为IIS服务器配置SSL证书参考：http://www-/ldd/dominowiki.nsf/dx/Cookbookcol_Setting_up_ADFS_for_integrated_Windows_authentication_lprIWArpr_注意，如果要配置Notes联合登录，不能使用IIS的自签名证书。

从下面的网站下载OpenSSL/support/faq.html#MISC4Win64OpenSSL_Light-1_0_1e.exe如果执行此程序收到如下提示：可以去Microsoft网站下载相关组件并安装。

vcredist_x86.exe。

不过似乎安装完后，执行OpenSSL的安装程序，还会有上面的提示，继续安装吧，不影响。

下面两个选项都可以，根据自己的喜好选择。

安装完成后，建议重启一下服务器，以便所有的环境变量生效。

进入命令行窗口，通过set命令，检查是否存在OPENSSL_CONF 环境变量：找到OpenSSL Bin目录下的openssl.cfg文件，如C:\OpenSSL-Win64\bin\openssl.cfg,删除下面这行前面的##keyUsage = cRLSign, keyCertSign然后执行这个目录下的openssl.exe命令（在这个文件上双击鼠标即可）执行：req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout adfs01.pem -out adfs01.pem -config openssl.cfg -extensions v3_ca执行openssl pkcs12 -export -out adfs01.pfx -in adfs01.pem -name "adfs01"输入导出秘钥的密码，这个密码在后面的导入步骤中需要使用。

注意，这时在bin目录下已经有adfs01.pfx文件：将秘钥导入IIS服务器中：在管理工具中找到“Internet 信息服务(IIS)管理器“选择服务器证书，双击输入pfx名称，以及前面步骤设置的密码：点击左侧导航栏的”Default Web Site”，然后点右侧操作中的“绑定“点击“添加“添加成功后，看起来应该是这样子：然后关闭IIS管理器。

3.配置AD FS 2.0 联合服务器回到AD FS 2.0管理界面。

如果你在前面的操作步骤中关闭了AD FS管理窗口，可以从Windows的开始菜单中找到“AD FS 2.0管理“菜单项。

注意，如果你看到下面这个图，说明你在前面的IIS证书导入过程中是正确的，否则请重做IIS的配置步骤。

所有任务完成后，点击“关闭“说明：如果需要卸载ADFS，可以在控制面板的“打开或关闭Windows功能“选项中进行卸载。

4.添加“受信任的信赖方”输入名称和描述，应该是写什么都可以，你自己认识就好。

注意，这里必须选择 AD FS 2.0配置文件：这步不需要做什么，直接下一步就可以：选择“启用对SAML 2.0 Web SSO协议的支持”，信赖访SAML 2.0 SSO服务URL：https:///names.nsf?SAMLLogin按下图添加“信赖方信任的标识符注意：1.必须使用https2.https://，不可以写成https:///添加规则：打开浏览器，下载此XML文件：https://localhost/FederationMetadata/2007-06/FederationMetadata.xml.点“文件”菜单中的保存菜单项，将XML文件保存到本地。

5.（Optional）创建 ADFS Kerberos identity如果ADFS和AD是两台不同的服务器，请完成此步骤The Windows administrator logged into the Windows domain (for example, on the Windows domain controller) creates the ADFS Kerberos identity.The ADFS HTTP service must have a Kerberos identity called a service principal name (SPN), in the following format:HTTP/DNS_name_of_ADFS_serverThis name must be mapped to the Active Directory user that represents the ADFS HTTP server instance.Use the Windows setspn utility, which should be available by default on a Windows 2008 server.Procedure1. Register the service principal names for the ADFS server. On the ActiveDirectory domain controller, run the setspn command.For example, when the ADFS host is , and the Active Directory domain is , the command is:setspn -a HTTP/ adfs01$setspn -a HTTP/adfs01 adfs01$Note The last value has a dollar sign ($) character at the end. The name with the dollar sign ($) represents the local service account.Required adfs01 must be listed as a computer known within the Active Directory.The "HTTP/" portion of the SPN applies, even though the ADFS server istypically accessed by SSL (HTTPS).2.3. Check that the service principal names for the ADFS server are properly created,using the setspn command and viewing the output.setspn -L adfs01$ResultIf you are viewing the Active Directory using an LDAP browser, look for the computer called "ADFS01." The name of the computer's account is adfs01$. The LDAP account record contains the service principal names.For more general information on setspn, see the following Administrator Help topic in the Information center:Assigning SPNs using the setspn utility6.在Domino服务器中配置SAML注意：以下步骤都在Domino服务器上完成参考：http://www-/ldd/doc/domino_notes/9.0/help9_admin.nsf/f4b82fbb75e942a6852566ac0037f284/2ab6f3a36df6764185257b19005b4e07?OpenDocumentDomino服务器需要配置HTTP SSL，步骤不在本文赘述。

6.1配置IdpCat.nsf创建IdP Catalog数据库idpcat.nsf(Optional)设置idpcat.nsf数据库的存取控制表只需要授权给Domino SAML管理员和服务器创建idp配置文档通过操作栏的“引入XML文件”，引入前面步骤生成FederationMetadata.xml 文件6.2配置ID Vault与IdpCat.nsf的连接关于如何启用ID Vault，本文不再赘述。

打开IDVault库，如 IBM_ID_VAULT\wwcorpidv.nsf6.3在Domino中导入Idp 服务器证书用Firefox访问AD FS 的 IIS服务器，然后导出证书文件：然后打开Domino管理客户端，然后打开服务器的names.nsf成功导入证书后，打开该证书，然后创建“交叉验证字”注意：交叉验证时，选择正确的cert.id和服务器！缺省的验证者选项是管理员，必须改成Cert.id如果创建成功，您可以看到：6.4修改ID Vault对应的“安全设置”7.在Domino服务器和AD中注册用户账号7.1Domino在的用户信息，注意用户信息中需要有Internet地址：注册完Notes用户后，可以到ID Vault库中确认一下，用户的ID信息是否已经在ID Vault库中。