Un cliente mi segnala che Domino a livello HTTP, non onora il deny access group per gli accessi HTTP di tipo Multiple SSO e SAML
Il deny access group è molto utile quando si vuole fare in modo che un utente non debba più accedere ad un sistema Domino ed a tutti i suoi servizi e per i servizi che Domino offre oltre agli accessi NRPC (HTTP, LDAP, POP3, IMAP, ETC..) è necessario attivare Enforce Server Access Settings a “Yes”, come indicato qua https://tednote.com/post/domino-server-security-setting/
Purtroppo gli accessi SAML e MULTIPLE SSO bypassando questo controllo
Ma fortunatamente il caso è stato gestito da HCL dal grande Somnath Mohanty , che capendo la problematica di sicurezza presente anche anche nella recente versione 12.0.2 e riuscendo a riprodurlo internamente, si è immediatamente attivato con i developer per ottenere un workaround o una hotfix indicando il problema come SPR # SMOYCL29D4.
In maniera del tutto sorprendente qualche giorno fa il team di sviluppo ha realizzato una prima hot-fix che dopo essere stata applicata al server, necessita di un parametro NOTES.INI
HTTP_ENFORCE_NAB_ALLOW_AND_DENY_ACCESS_LISTS=1
e di un restart del server Domino.
La HotFix sembra funzionare ad eccezione del caso in cui l’utente inserito non sia un utente con accesso “Full Access Administrator” (ma credo che questo sia stato sviluppato appositamente così)
English translation:
A customer reports to me that Domino at the HTTP level, does not honor the deny access group for HTTP accesses of type Multiple SSO and SAML
The deny access group is very useful when you want to make sure that a user no longer has to access a Domino system and all its services, and for the services that Domino offers in addition to NRPC accesses (HTTP, LDAP, POP3, IMAP, ETC..) you need to enable Enforce Server Access Settings to "Yes", as indicated here
https://tednote.com/post/domino-server-security-setting/
Unfortunately, SAML and MULTIPLE SSO accesses bypass this control.
But fortunately the case was handled by HCL by the great Somnath Mohanty , who understanding the security issue also present in the recent version 12.0.2 and being able to reproduce it internally, immediately took action with the developers to get a workaround or hotfix indicating the problem as SPR # SMOYCL29D4.
Quite surprisingly, a few days ago the development team came up with an initial hot-fix that, after being applied to the server, requires a NOTES.INI parameter
HTTP_ENFORCE_NAB_ALLOW_AND_DENY_ACCESS_LISTS=1
and a restart of the Domino server.
The HotFix seems to work except in the case where the user entered is not a user with "Full Access Administrator" access (but I believe this was developed specifically so)