IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Lotus Notes Discussion :

SAML, NFL et tout le bazar


Sujet :

Lotus Notes

  1. #1
    Nouveau membre du Club
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Août 2006
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 28
    Points : 29
    Points
    29
    Par défaut SAML, NFL et tout le bazar
    Bonjour à la foule,
    je tente ma chance ici bas au sujet d'un problème de mise en oeuvre SAML.

    Le contexte :
    Changement d'ADFS en interne (Windows Server 2019 et donc ADFS 4.0)

    Archi actuelle :
    Serveurs Domino en 9.01FP9
    Notes en 9.0.1FP9IF2 (version max dispo pour nous car plus de support CAL depuis quelques années)

    Donc pour le support de l'ADFS 4.0 je suis passé avec un serveur Domino 11.0.1 (là nous avons encore le support )

    J'ai suivi la doc pour mettre en oeuvre SAML et NFL (Notes Federated Login) avec ce serveur Domino et un client Notes 11 (oui, nécessaire pour l'exploitation des serveurs 10.x et +, enfin le client Admin). Verdict : ça fonctionne bien

    Maintenant le sujet qui fâche : faire la même chose mais un client Notes 9.0.1 ... et là c'est le drame, j'ai de beaux messages d'erreurs :

    Dans la console Notes (activée avec Debug_Consol=1) :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    PH3_SAML_Interceptor> Failed to retrieve IdP information
    Et dans le client Notes, une popup avec :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Network error: the message content was unexpexted or the message has been corrupted
    Et enfin coté serveur Domino, j'ai activé le debug saml avec Debug_SAML=31. Du fait je vois bien le message XML passer dans la console lors de la demande du client.

    Est-ce que cela parle à quelqu'un ? (si quelqu'un il y a )

    Merci de me lire en tout cas

  2. #2
    Membre expérimenté
    Avatar de Jérôme Deniau
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Janvier 2015
    Messages
    804
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2015
    Messages : 804
    Points : 1 434
    Points
    1 434
    Billets dans le blog
    32
    Par défaut
    donc ton client est en 9.0.1 FP9 if quelque chose, vérifier si le tls 1.2 fonctionne sur le client 9.x (on parlait d'une 9.0.2 pour corriger les pbs avec tls 1.2 sur le client), une piste peut-être mais bon la v9 je n'en ai plus sous la main pour tester:

    https://www.angioni.nl/2019/12/02/en...de-hcl-domino/


    Sinon tu remplaces https par http dans ta config idp et sur l'adfs..... mais bon .... si la piste tls 1.2 est bien le problème

  3. #3
    Membre expérimenté
    Avatar de Jérôme Deniau
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Janvier 2015
    Messages
    804
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2015
    Messages : 804
    Points : 1 434
    Points
    1 434
    Billets dans le blog
    32
    Par défaut
    Je crois que tu as devoir repartir sur adfs 3


    Extraits du pdf: https://www.google.com/url?sa=t&rct=...vz0t90K9pT8xTI


    The latest versions of Domino at the time of writing are 10 and 10.0.1. With Domino 10, support for ADFS 4.0 was introduced. I’ve focused on Active Directory Federation Services (ADFS) as the identity provider, due to the prevalence of ADFS being used by the majority of the customers whom I have worked with in relation to SAML cases.
    As some customers are still using Domino 9.0.1.x and ADFS 3.0, I have also highlighted the slight differences between SAML in both Domino 10.0.x and Domino 9.0.1.x. I have not covered ADFS 2.0 since it is used with Windows Server 2008 R2, which is soon to be no longer supported by Microsoft.


    Microsoft ADFS 2.0, 3.0 and 4.0 which can only use SAML 2.0 ADFS 2.0 is supported by Domino 9.0 and 9.0.1. ADFS 3.0 support was added to Domino 9.0.1 FP8. ADFS 4.0 support was implemented in Domino 10.

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Août 2006
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 28
    Points : 29
    Points
    29
    Par défaut
    Merci Jérôme pour ces infos.

    Je vais voir si il est possible d'avoir un ADFS 3.0 en interne, sinon tant pis, pas de SSO.

  5. #5
    Membre expérimenté
    Avatar de Jérôme Deniau
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Janvier 2015
    Messages
    804
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2015
    Messages : 804
    Points : 1 434
    Points
    1 434
    Billets dans le blog
    32
    Par défaut
    Perso j'ai viré le nfl, j'utilise uniquement le web pour le SSO avec keycloack ou autre chose de compatible, microsoft c'est trop cher ;-)

Discussions similaires

  1. Le grand mode d'emploi du forum, à lire si vous souhaitez tout savoir !
    Par Anomaly dans le forum Mode d'emploi & aide aux nouveaux
    Réponses: 2
    Dernier message: 03/06/2013, 18h36
  2. [CKEditor] trier tout ce bazar
    Par zugolin dans le forum Bibliothèques & Frameworks
    Réponses: 4
    Dernier message: 26/03/2009, 07h40
  3. Toutes les bonnes choses ont un début ...
    Par Bols2000 dans le forum Algorithmes et structures de données
    Réponses: 4
    Dernier message: 22/08/2002, 18h01
  4. Socket:Envoyer du texte d'un serveur vers tout les clients
    Par cedm78 dans le forum Web & réseau
    Réponses: 7
    Dernier message: 01/08/2002, 17h40
  5. IMPORTANT! A lire avant tout chose
    Par Aurelien.Regat-Barrel dans le forum Windows
    Réponses: 0
    Dernier message: 01/05/2002, 17h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo