Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
SAML-Einrichtung fast komplett.. Nur fast.
mcsteven:
Guten Morgen miteinander
Ich lese schon länger hier mit und konnte dank euch schon mein ein oder anders Problem lösen oder zumindest identifizieren und zusammen mit unserem Dienstleister lösen.
Nun habe ich habe eine Ausgangslage bei dem selbst unser Dienstleister nicht mehr weiter kommt. :-:
Es geht um folgendes:
Da wir mitten in der Migration auf Citrix sind müssen wir uns von NSL verabschieden, da das ja leider nicht in Citrix nicht unterstützt wird.
Also haben wir eine andere Lösung gesucht und sind auf SAML gestossen und haben das gemäss einer Doku von unserem Dienstleister durchgespielt.
Das Anlegen der DB's, die Arbeiten auf dem ADFS-Server und das im- und exportieren der Zertifikate war nicht ganz einfach, hat aber am Ende "geklappt".
Nun stehen wir am Punkt wo der Client startet -> Passwort aus der ID-Vault wird abgefragt.
Passwort eingeben -> Client startet korrekt
Dann erscheint das Fenster mit der Info, dass für die föderierte Anmeldung die ID heruntergeladen wird -> gemäss Doku auch korrekt.
Danach sollte das Fenster mit der Bestätigung der föderierten Anmeldung erscheinen -> das klappt nicht und ein Anmeldefenster für den ADFS-Server erscheint und verlangt Benutzer und Passwort.
Egal was ich da eingebe, Email-Adresse, Benutzername, ect nichts klappt. Nach eine kurzen Pause erscheint dann das Eingabefeld für die ID-Vault. -> Da gebe ich dann das Passwort der ID ein und der Client läuft.
Auf dem ADFS-Server kommen die eingegeben Login-Daten an, nur sendet der Client so wie es mir scheint keine Login-Daten beim Start des Client an der ADFS-Server mit.
Was mich ebenfalls ein wenig verwirrt ist die Adresse:https://UnserDomino-Server/names.nsf?SAMLLogin. Diese wird ja für den Login verwendet, aber da wird mir keine Ansicht oder etwas schlaues aufgebaut, nur ein Fehler "Ungültige Seite" wenn ich die Seite im IE aufrufe.
Zu unserer Infrastruktur:
Ca 600 Notes Clients (8.5.3FP5) jetzt noch jeweils lokal installiert.
Domino Server Version 9.0.1.FP3HR515
ADFS-Server 2008 R2
Hat das schon mal jemand gehabt und kann mir hier weiterhelfen?
Falls ihr noch mehr Info braucht liefere ich diese gerne nach.
Gruss
Stefan
ronka:
Laut aussagen von 2 experten die ich ein SAML und Notes SSO machen lassen wollte, wird dieses aktuell (9.0.1 !) noch immer nicht vollständig unterstutz von IBM, ich kann mir dann nur vorstellen das der 8.5.3 Client damit noch deutlich größer problemen haben wird.
Gerne kann ich den Kontakt zu den beide Experten einleiten, aber beide sind so voll mit arbeit das die für mein Kunde nur den Ablehnung der tätigkeit um SAML beim Notes Client einzurichten abgelehnt haben, der eine weil der meint das dieses überhaupt nicht funktionieren wird, der andere weil der bis ende des Jahres die 3 freie Tage lieber mit seine Family verbringen möchte.
mcsteven:
Guten Morgen ronka
Sorry, da hat sich ein Fehler eingeschlichen.
Die Notes-Version auch den Citrix-Clients ist 9.0.1 nicht 8.5.3. Mit 8.5.3 arbeiten wir aktuell auf den lokalen Clients.
Gruss
Stefan
mcsteven:
Hallo Forumsgemeinde
Ich melde mich mit einen kleinen Fortschritt nochmals. Vielleicht geht bei euch jemandem ein Licht auf.
Wir haben SAML soweit konfiguriert, dass das erste Info-Fenster erscheint und den User auf den Download der ID aus der Vault für die föderierte Anmeldung hinweist.
Jetzt kommt die Krux an der Geschichte. Ich habe mit unserem Netzwerk-Team sämtlichen Traffic analysiert welcher in diesem Moment vom Client ausgeht. Erkenntnis: Der Client haut den ID-Vault-Server an, um an die ID zu kommen. Das ist soweit in Ordnung und wird auch durchgelassen.
Nur baut der Client kurz danach eine Verbindung zu "n1plpkivs-v03.any.prod.ams1.secureserver.net" auf. Das ist eine Site von unserem Zertifikats-Anbieter GoDaddy. Eigentlich sollte aber eine Verbindung zu unserem ADFS-Server hergestellt werden und den User zu identifizieren.
Kann sich das jemand erklären?
Gruss
Stef
schurl85:
Bin nicht mit der Materie vertraut aber vielleicht versucht der client hier das Zertifikat beim ausgeber zu über prüfen auf Gültigkeit?
Georg
Gesendet von meinem Moto G mit Tapatalk
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln