SAML en infraestructura IBM Domino

Uno de los quebraderos de cabeza en cualquier infraestructura tecnológica es la autenticación de usuarios en entornos heterogéneos. El mantenimiento y soporte de variadas credenciales supone verdaderos problemas para los departamentos de sistemas y de soporte de usuarios. Las infraestructuras IBM Domino son parte de esta problemática.

Por ello, es siempre objetivo funcional en entornos tecnológicos que el usuario pueda con unas únicas credenciales (usuario/contraseña) autenticarse contra todos los sistemas a los que tenga acceso.

En entorno IBM Domino un usuario dispone de 2 tipos de credenciales, su usuario y contraseña de web y su archivo ID. El primero se utiliza para el acceso web y el segundo para el acceso mediante protocolo nativo NRPC. Mediante políticas se puede configurar que el usuario, al modificar su contraseña de acceso al ID, actualice su contraseña de Web. No es posible sin productos adicionales el funcionamiento contrario.

Ampliando las opciones, tenemos la posibilidad de autenticar usuarios Web mediante las credenciales de AD ( Directorio Activo de Windows ) configurándolo la validación de usuarios contra LDAP de AD o configurando SPNEGO y recibiendo un token del usuario como credenciales. En ambos casos el usuario accede de manera transparente a las aplicaciones Web.

Haciendo uso de TDI ( Tivoli Director Integrator ), que viene licenciado con IBM Domino, podemos plantear, no una autenticación "transparente" sino una sincronización de contraseñas entre AD y IBM Domino, tanto a nivel de usuario web como de ID, si se ha configurado IDVault.

En el caso del cliente IBM Notes se puede obviar la introducción de contraseñas mediante distintas opciones como Single Logon, que sincronizaba la contraseña de acceso al ID con la del usuario de AD a nivel de PC, o como con la funcionalidad más moderna, Notes Shared Login,  en la que el ID del usuario quedaba encriptado a nivel de Windows y sin contraseña, siendo desencriptado en el momento de acceder a IBM Notes.

SAML en IBM Domino 9

Desde la versión 9 de IBM Domino se soporta el estándar SAML.

"SAML es un estándar para el intercambio de información de autorización y autenticación entre sistemas"

El objetivo de esta nueva funcionalidad es permitir single log-in tanto desde un navegador como desde el cliente IBM Notes, es decir, el usuario se loga en su PC con las credenciales del Directorio Activo y puede acceder tanto al cliente IBM Notes como a aplicaciones Web bajo plataforma IBM Domino sin necesidad de introducir su usuario y contraseña de IBM Notes/Domino.

La autenticación del usuario es realizada por un proveedor de Identidad/idProvider, que en la actualidad pueden ser tanto ADFS de Microsoft  como TFIM (Tivoli Federated Identity Manager) de IBM. IBM Domino delega en ellos la autenticación del usuario y recibe unas credenciales que una vez validadas le permiten determinar el usuario del directorio Domino que las ha proporcionado.

Esta funcionalidad está disponible para plataforma Windows exclusivamente y requiere haber desplegado IDVault a nivel de IBM Domino. A nivel de Windows, adicionalmente, hay que tener en cuenta que la autenticación del usuario frente al proveedor de identidad debe ser transparente, por lo que es necesario configurar IWA ( Integrated Windows Authentication ).

Hay tres situaciones contempladas por SAML en IBM Domino:
- Login Federado del cliente Notes
- Single Sign on para Web
- Login Federado para Web ( INotes + ID de usuario)

Para entorno web, y frente a SPNEGO, SAML tiene la ventaja de no estar adscrito a un domino de Internet concreto, caso que causaba problemas anteriormente.

SAML no funciona para Traveler ni para Sametime, ni estando el usuario Offline (esto puede solventarse con Notes Shared Login), pero sin embargo, sí en entornos CITRIX.

En la actualidad , SAML es la que es la opción a considerar para Single Login en infraestructuras IBM Domino.