Проверка подлинности без ввода nab

Question

В настоящее время мы оцениваем решение SAML как корпоративную систему аутентификации пользователей.

Цель состоит в том, чтобы иметь только SAML в качестве основной системы без избыточности пользовательских данных на разных платформах.

Даже если SAML аутентифицирует пользователя, как сервер Domino может создать сеанс без сопоставления его пользователю в nab.

Возможно ли иметь сеанс домино без фактического входа в NAB?

И возможно ли получить членство в группе из SAML без фактического группового документа в nab?

Даже если все это работает, возможно ли использовать эти пользователи и группы в ACL и в полях читателей и авторов?

Answer 1

Комбинация SAML и настройка Directory Assistance на сервере Domino для интеграции с LDAP-службой, предоставляемой корпоративными системами, позволят вам принимать учетные данные SAML для пользователей, у которых нет документа Person в Domino Directory.

Но нет, вы не можете использовать SAML для извлечения членства в группе. Вы не можете использовать SAML для получения чего-либо. Это не механизм запросов каталога. Это только механизм аутентификации, который передает достоверную идентификационную информацию. Однако вы можете настроить Domino Directory Assistance на use an external LDAP source for groups, и ваши локальные группы, списки ACL и поля Reader/Author также могут ссылаться на этих пользователей.