User Name Mapping SSO

Esta configuración aplica para Usuarios Web que utilizan sistema operativo Windows y que tienen cuentas en el Directorio Activo. Estas personas también cuentan con un documento de persona en el Domino Directory. Se podrá configurar el User Name Mapping para habilitar el Domino Server para reconciliar nombres de usuarios encontrados en ambos directorios.

El mapeo de User name logra tres objetivos. Primero, cuando el servidor Domino encuentra usuarios Directorio Activo que son iguales a los usuarios en el Domino Directory, permite al servidor para comprobar que los dos nombres de usuario  pertenecen a una persona. Para hacer el link de los dos nombres, el servidor verifica el valor del correo del usuario en el Directorio Activo, si es igual al valor en el campo Internet Address en el Documento de Persona.

Segundo, el mapeo de User Name puede ser necesario para determinar el nombre completo de un usuario Lotus Notes. En un entorno de SSO en que algunos servidores no usan el Domino Directory, pero usan solamente el Directorio Activo, por ejemplo, un servidor de IBM WebSphere o IBM  Lotus  Quickr Server que se configuran para utilizar el Directorio Activo

Debido a que los ACL en bases de datos Domino usualmente se refieren Distinguished Name, se deberá mapear el Distinguished Name del Directorio Activo en el LTPA tokens de los usuarios de Notes de tal forma que el servidor Lotus Domino pueda determinar el nivel de acceso de los usuarios Web a las bases de datos. Este paso no es necesario si el LTPA Tokens se han configurado para contener el Distinguished Name de los Usuarios Notes (por defecto cuando se utilizan la opción Domino SSO) en lugar de claves SSO importados de WebSphere.

Finalmente, el nombre de usuario es mapeado para especificar que directorio va a usar para verificar su usuario y password cuando Windows single sign-on no esta habilitado y los usuarios Web deben iniciar sesión al conectarse a un servidor en el dominio de SSO. Windows single sign-on no está disponible para:

• Clientes Web que se conectarán sobre Internet.
• Clientes Web que se conectarán sobre una Intranet pero no están configurados para Windows single sign-on.
• Clientes Web que se conectarán sobre una Intranet y están configurados para usar Windows single sign-on pero no están firmados en un dominio de Directorio Activo.
• Clientes Web que corran en el servidor Domino Web

Formas de configurar name mapping.

Cómo configurar User Name Mapping depende en si la gestión de usuarios se efectúa en el Directorio Activo o en el Domino Directory. Deberás considerar cual directorio es mas fácil de modificar y mantener.

Configurar User Name mapping cuando se administra usuarios Domino a través del Directorio Activo.

En esta configuración se requiere que adiciones el Notes Distinguished Name de cada usuario en las cuentas del Directorio Activo.

1.- En la base de datos del Directory Assistance, se deberá crear un documento para conectarse con el Directorio, Activo

.

Tab	Campo	Valor	Comentario
Basics	Make this domain available to	Notes Clients and Internet Authentication/Authorization	Required LDAP Clients es opcional
Basics	Group Authorization	Yes o No	Selecciona si si quieres usar grupos del directorio activo en el ACL de las bases de datos.
Basics – SSO configuration	Windows single sign-on para Clientes Web	Enabled	La opción “Enables” eficientiza la busqueda de tipo name lookups de usuarios del Directorio Activo. En conbinación con «Attribute to be used as Notes Distinguished Name», permite a los usuarios de  Kerberos identificar ser asociado con el nombre en Domino.
Basics – SSO configuration	Kerberos realm	Active Directory domain	Especificar el dominio en mayúsculas, por ejemplo AD.ACME.COM.
Naming Contexts (Rules)	Trusted for Credentials	Yes	—
LDAP	Atributo que sera usado como Notes Distinguished Name	<attribute>	Atributo en el Directorio Activo que almacenara el Notes distinguished name de los usuarios. El administrador del directorio puede tener la necesidad de extender el esquema del Directorio Activo para adicionar atributos del mismo nombre si estos no existen atributos que ya contengan el Notes distinguished name. Alternativamente puede hacerse uso del atributo altSecurityIdentities, si no esta en uso por otro propósito. Una herramienta de sincronización como IBM® Tivoli® Directory Integrator puede ser usado para popular los atributos con los nombres de Notes. El valor almacenado en el atributo debe respetar la sintaxis válida de nombre completo. En el Directorio Activo usa como separador la coma (,) el separador en Notes es un slash  (/) por ejemplo: cn=Betty Zechman,ou=Marketing,o=Renovations en lugar de cn=Betty Zechman/ou=Marketing/o=Renovations .
LDAP	Type of search filter to use	Active Directory	—

1. Si los usuarios tienen Person documents en el Domino Directory, se deberán hacer los siguientes cambios.

Tab	Campo	Valor	Comentario
Basics	Internet Address	Valor usado como atributo de dirección de correo electrónico en el Directorio Activo	Usado para ligar el documento de persona con la cuenta del Directorio Activo del usuario.

1. Especificar la configuración siguiente en el documento del Servidor:

Tab	Campo	Valor	Comentario
Security – Internet Access	Internet authentication	Fewer name variations with higher security	—

1. Especificar la siguiente configuración para habilitar la autenticación de SSO de los servidores, esta configuración se especifica en el documento Web SSO:

Tab	Campo	Valor	Comentario
Basics – Token Configuration	Map names in LTPA tokens	Enabled	—

Sigueme en: