SAML-Einrichtung fast komplett.. Nur fast.

[mcsteven]

Guten Morgen miteinander

Ich lese schon länger hier mit und konnte dank euch schon mein ein oder anders Problem lösen oder zumindest identifizieren und zusammen mit unserem Dienstleister lösen.
   
Nun habe ich habe eine Ausgangslage bei dem selbst unser Dienstleister nicht mehr weiter kommt.
Es geht um folgendes:
Da wir mitten in der Migration auf Citrix sind müssen wir uns von NSL verabschieden, da das ja leider nicht in Citrix nicht unterstützt wird.
Also haben wir eine andere Lösung gesucht und sind auf SAML gestossen und haben das gemäss einer Doku von unserem Dienstleister durchgespielt.

Das Anlegen der DB's, die Arbeiten auf dem ADFS-Server und das im- und exportieren der Zertifikate war nicht ganz einfach, hat aber am Ende "geklappt".
   
Nun stehen wir am Punkt wo der Client startet -> Passwort aus der ID-Vault wird abgefragt.
Passwort eingeben -> Client startet korrekt
Dann erscheint das Fenster mit der Info, dass für die föderierte Anmeldung die ID heruntergeladen wird -> gemäss Doku auch korrekt.
Danach sollte das Fenster mit der Bestätigung der föderierten Anmeldung erscheinen -> das klappt nicht und ein Anmeldefenster für den ADFS-Server erscheint und verlangt Benutzer und Passwort.
Egal was ich da eingebe, Email-Adresse, Benutzername, ect nichts klappt. Nach eine kurzen Pause erscheint dann das Eingabefeld für die ID-Vault. -> Da gebe ich dann das Passwort der ID ein und der Client läuft.

Auf dem ADFS-Server kommen die eingegeben Login-Daten an, nur sendet der Client so wie es mir scheint keine Login-Daten beim Start des Client an der ADFS-Server mit.
Was mich ebenfalls ein wenig verwirrt ist die Adresse:https://UnserDomino-Server/names.nsf?SAMLLogin. Diese wird ja für den Login verwendet, aber da wird mir keine Ansicht oder etwas schlaues aufgebaut, nur ein Fehler "Ungültige Seite" wenn ich die Seite im IE aufrufe.

Zu unserer Infrastruktur:
Ca 600 Notes Clients (8.5.3FP5) jetzt noch jeweils lokal installiert.
Domino Server Version 9.0.1.FP3HR515
ADFS-Server 2008 R2

Hat das schon mal jemand gehabt und kann mir hier weiterhelfen?
Falls ihr noch mehr Info braucht liefere ich diese gerne nach.

Gruss

Stefan

[ronka]

Laut aussagen von 2 experten die ich ein SAML und Notes SSO machen lassen wollte, wird dieses aktuell (9.0.1 !) noch immer nicht vollständig unterstutz von IBM, ich kann mir dann nur vorstellen das der 8.5.3 Client damit noch deutlich größer problemen haben wird.

Gerne kann ich den Kontakt zu den beide Experten einleiten, aber beide sind so voll mit arbeit das die für mein Kunde nur den Ablehnung der tätigkeit um SAML beim Notes Client einzurichten abgelehnt haben, der eine weil der meint das dieses überhaupt nicht funktionieren wird, der andere weil der bis ende des Jahres die 3 freie Tage lieber mit seine Family verbringen möchte.

[mcsteven]

Guten Morgen ronka

Sorry, da hat sich ein Fehler eingeschlichen.
Die Notes-Version auch den Citrix-Clients ist 9.0.1 nicht 8.5.3. Mit 8.5.3 arbeiten wir aktuell auf den lokalen Clients.

Gruss

Stefan

[mcsteven]

Hallo Forumsgemeinde

Ich melde mich mit einen kleinen Fortschritt nochmals. Vielleicht geht bei euch jemandem ein Licht auf.
Wir haben SAML soweit konfiguriert, dass das erste Info-Fenster erscheint und den User auf den Download der ID aus der Vault für die föderierte Anmeldung hinweist.
Jetzt kommt die Krux an der Geschichte. Ich habe mit unserem Netzwerk-Team sämtlichen Traffic analysiert welcher in diesem Moment vom Client ausgeht. Erkenntnis: Der Client haut den ID-Vault-Server an, um an die ID zu kommen. Das ist soweit in Ordnung und wird auch durchgelassen.
Nur baut der Client kurz danach eine Verbindung zu "n1plpkivs-v03.any.prod.ams1.secureserver.net" auf. Das ist eine Site von unserem Zertifikats-Anbieter GoDaddy. Eigentlich sollte aber eine Verbindung zu unserem ADFS-Server hergestellt werden und den User zu identifizieren.

Kann sich das jemand erklären?

Gruss

Stef

[schurl85]

Bin nicht mit der Materie vertraut aber vielleicht versucht der client hier das Zertifikat beim ausgeber zu über prüfen auf Gültigkeit?
Georg

Gesendet von meinem Moto G mit Tapatalk

[Rainer_Brandl]

Hallo,

ich würde das GoDaddy-Zertifikat über GPO an die User verteilen ( in die vertrauenswürdigen Aussteller ), dann kann die
Gültigkeitsüberprüfung ausgeschaltet werden.

[mcsteven]

Hallo Rainer_Brandl

Hallo,

ich würde das GoDaddy-Zertifikat über GPO an die User verteilen ( in die vertrauenswürdigen Aussteller ), dann kann die
Gültigkeitsüberprüfung ausgeschaltet werden.

Danke für deinen Input, das werde ich gleich mal unserem GPO-Verantwortlichen weitergeben und dann mal schauen was rauskommt.
Mittlerweile hat unser Dienstleister bei IBM einen Fall eröffnet und jede Menge Daten geliefert, mal schauen was dabei herauskommt. Die schnellsten sind die von IBM ja nicht gerade......

Gruss

Stef

[mcsteven]

Hallo miteinander

Ich komme hier auch mit der Hilfe von IBM nicht wirklich weiter. Meiner Meinung nach hat die Neukonfiguration von IBM sogar noch etwas mehr verbockt als vorher schon war.
Jetziger Stand: IBM hat alle Einstellungen (IdPCat, names.nsf, ADFS-Server, usw) geprüft und wo nötig Anpassungen vorgenommen.
Danach wurde ich angewiesen wieder zu testen. Leider ohne positives Ergebnis. Der Client startet und bringt die selbe Fehlermeldung wie am Anfang.
Die erste Meldung vom SAML-Login kommt und danach muss das Passwort der ID eingegeben werden.
In einem weiteren Schritt mussten wir dann das names.nsf mit fixup, updall und compact bearbeiten um Fehler in der DB auszuschliessen.
Leider auch ohne positives Ergebnis.
Dann hatte unser Dienstleister nochmals eine Online-Session mit IBM.
Seit dieser Session habe ich beim Login mit SAML-Usern den Fehler "Server:Notes item not found" Danach kann ich das ID-Passwort aus der ID-Vault eingeben.
Zusätzlich haben wir auf dem ID-Vault-Server noch die folgenden Parameter gesetzt.
console_log_enabled=1
debug_threadid=1
debug_SAML=31

Sagt die Meldung "Server:Notes item not found" euch etwas oder könnt ihr mir einen Tipp geben wo ich rausfinde was Notes da sucht? Die Meldung sagt ja nicht wirklich was aus.

Danke euch nochmals und einen schönen warmen Nachmittag.

Stef

[Rainer_Brandl]

Eine Frage >> wie ist denn bei euch der physische Filename vom IdPCatalog ?? Ich hab mal vom IBM Support den Tip
bekommen, dass dieser IMMER ( also nicht nur auf Linux )

idpcat.nsf

sein soll. Also alles kleingeschrieben. Und auch die DB-Bezeichnung soll einfach "idpcat" sein.

[mcsteven]

Hallo Rainer

Danke für den Input

Der Titel lautet IdPCat.nsf und der Dateiname idpcat.nsf.
Ich habe den Titel mal angepasst und eine entsprechende Anfrage an unsren Dienstleister gesendet.

Gruss

Stef