Parameter:
SAMLSignAssertionsKurzbeschreibung: Erzwingt, dass Domino als SAML-Service-Provider ausschließlich signierte Assertions akzeptiert
Steckbrief
Parameter | SAMLSignAssertions |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = unsignierte erlaubt, 1 = Signatur zwingend (empfohlen) |
Beschreibung
Bei der SAML-basierten Web-SSO-Anmeldung sendet der Identity-Provider (z. B. ADFS, Azure AD, Keycloak) eine Assertion an Domino. Im Standard akzeptiert Domino auch unsignierte Assertions, sofern der umhüllende Response signiert ist. Mit
SAMLSignAssertions=1 wird zusätzlich verlangt, dass die Assertion selbst XML-signiert ist.Schutz vor manipulierten oder reinjizierten Assertions in Man-in-the-Middle-Szenarien. Pflicht-Setting in jedem produktiven SSO-Setup.
Beispiel-Konfiguration
SAMLSignAssertions=1
Hinweise & Stolperfallen
- IdP muss Assertion-Signing aktiviert haben – sonst schlagen alle Logins fehl.
- Vor Aktivierung mit
DEBUG_SAMLLOGIN=2einen Testlogin protokollieren.
- Ergänzt sich mit korrektem
idpcat.nsf-Setup (IdP-Zertifikat hinterlegt).
- Wirkt nur für Web-SSO; Notes-Federated-Login läuft separat.
- Änderung wirkt nach Restart des HTTP-Tasks.