Notes Shared Login mit ID-Vault und "Internetkennwort in der Vault überprüfen"

[oliK]

Seit Domino 11 gibt es ja die Konfigurationseinstellung "Sicherheit\Verifizierung des Internetkennworts\Internetkennwort in der Vault prüfen". Hat das jemand in Kombination mit dem Shared Login in Betrieb?
Ich habe aktuell folgendes Problem:
Betreibe ca. 175 Clients auf V10.0.1 mit "Single Logon"-Service.
Beim Update auf V11.0.1 funktioniert im Normalfall das "Single Logon" gar nicht mehr, ist ja auch nicht mehr supported.
Jetzt prüfe ich, ob ich mit dem MarvelClient beim Umstieg von V10 auf V11 den "Single Logon"-Service automatisch deinstalliere und tatsächlich mal den Versuch mit "Shared Login" angehe.
Leider habe ich dazu bisher so gemischte Foreneinträge gefunden, dass ich mir dessen unsicher bin.

Hier ein paar Fragen zum "Shared Login":
- Funktioniert dies problemlos in Kombination mit dem ID-Vault?
- Welches Passwort wird in die ID in der ID-Vault synchronisiert? Single Logon setzt ja (wohl) ein selbst generiertes Passwort in die lokal abgelegte Notes-ID.
- Wird dabei das Internetkennwort synchronisiert?
- Hat der Benutzer dann in der ID im ID-Vault überhaupt ein selbst gesetztes Kennwort bzw. ist darin dann das Windows-Kennwort enthalten?
- Würde dann die Kombination mit "Internetkennwort in der Vault überprüfen" überhaupt funktionieren?
- Hat jemand eine machine based formula im Einsatz, mit der man Citrix-Maschinen von einer entsprechenden Sicherheits-Policy ausgliedern kann?

Ich habe dazu noch einen alten Artikel von Daniel Nashed gefunden, der hier ein paar Fragen beantwortet.
http://blog.nashcom.de/nashcomblog.nsf/dx/nsl-id-vault-and-roaming-working-together.htm?opendocument&comments

Liebe Grüße und Danke vorab

[Manfred W.]

Shared Login funktioniert problemlos mit dem ID-Vault (haben wir hier so im Einsatz).
Das Passwort im ID Vault bleibt auf dem letzten Passwort von vor der Aktivierung von Shared Login. Es gibt ja kein Passwort mehr, das synchronisiert werden könnte (Shared Login funktioniert nicht mit dem Windows Passwort, sondern über die Microsoft Data Protection API). Wenn man eine ID aus dem Vault braucht, muss man das Passwort zurücksetzen (außer der User weiß zufällig sein letztes Notes Passwort noch).
Internetpasswort kann entsprechend auch nicht synchronisiert werden.

Man kann dem User aber auch die Möglichkeit geben, das Notes Passwort selbst zurückzusetzen. Es gibt ja die PwdResetSample.nsf, über die das möglich ist. Den User dann "einfach" per SAML z.B. über ADFS mit Windows Benutzername und Passwort authentifizieren (oder über das gute alte Web SSO mit Kerberos Integration). Und schon kann er sein Passwort zurücksetzen.

[oliK]

d.h. dann aber, dass man mit Shared Login gar keinen Passwort-Abgleich mehr hinbekommt und der Browser-Login
dann immer auf einem alten bzw. manuell gepflegtem Passwort basiert?
Ja wir haben auch Web-SSO (Kerberos) aktiviert, aber es gibt verschiedene Varianten, wo das nicht nutzbar ist.
(doofer Browser oder nicht-AD-Rechner).

[Manfred W.]

Ja, das ist so.
Da hilft dann nur SAML. Da kann sich der User dann manuell mit AD Benutzername und Passwort anmelden, wenn SSO nicht funktioniert.
Hat den Vorteil, dass der User dann gar nix mehr mit Notes Passwörtern zu tun hat.

Wir haben Shared Login daher erst eingeführt, als wir ADFS hatten um SAML machen zu können. Eben genau wegen dem Internetpasswort-Problem.
Den ID Vault setzen wir ein seit es ihn gibt, daher war Single Logon für uns keine Option.