Integrare HCL Domino con Azure Active Directory (Azure AD) (ora denominato Microsoft Entra) è una richiesta frequente per aziende che desiderano un'unica esperienza di accesso tra webmail, applicazioni web Domino, e client Notes, sfruttando le credenziali centralizzate di Active Directory.
Configurazione SAML con Azure AD
Molte aziende utilizzano il sync tra il proprio Active Directory on-premise e Azure AD per gestire gli utenti e le autenticazioni. HCL Domino supporta l'integrazione con Azure AD tramite SAML, seguendo le guide ufficiali di HCL:
Autenticazione basata su SAML:
Questi articoli spiegano come configurare Domino per utilizzare Azure AD come Identity Provider (IdP), permettendo agli utenti di autenticarsi con le loro credenziali aziendali.
Problema del Logout SAML in HCL Domino Nonostante il supporto per l'autenticazione SAML, HCL Domino
non supporta il Single Logout (SLO) per applicazioni web o webmail, come indicato nella KB ufficiale:
L'unico supporto ufficiale per il logout SAML è fornito con l'applicazione
Nomad Web, come indicato qui:
Questa limitazione è stata oggetto di richieste di miglioramento, come la storica idea nella piattaforma di feedback HCL:
- DOMINO-I-299: Miglioramento Logout SAML
Impatto della mancanza di SLO La mancanza di supporto per il Single Logout nativo rende complessa la gestione delle sessioni utente. Infatti:
· Un utente autenticato su Domino tramite Azure AD potrebbe restare autenticato su altri servizi o dispositivi.
· Non esiste una funzione ufficiale per invalidare completamente la sessione SAML sia lato Domino che lato Azure AD.
· Rilasciare un'applicazione senza una chiara opzione di logout può rappresentare un rischio di sicurezza o creare confusione per gli utenti.
Soluzione: Workaround con URL di Logout Diretto di Azure AD Fortunatamente, Microsoft Azure AD offre un'opzione alternativa per gestire il logout senza implementare il SLO completo. È possibile utilizzare l'endpoint di
logout diretto di Azure AD:
URL del Logout Diretto
https://login.microsoftonline.com/{tenant-id}/oauth2/logout Puoi specificare un URL di reindirizzamento post-logout utilizzando il parametro post_logout_redirect_uri:
https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com Questa soluzione forza l'utente a disconnettersi da Azure AD, invalidando la sessione e reindirizzandolo a un'applicazione o pagina specificata.
Implementazione del Workaround Per implementare il logout diretto di Azure AD in Domino, puoi seguire due approcci diversi, a seconda del contesto:
webmail o
applicazioni web.
1. Logout per Webmail Per la webmail (iNotes o Verse), puoi utilizzare il parametro
iNotes_WA_LogoutRedirect nel file NOTES.INI. Questo parametro reindirizza gli utenti a un URL specificato al momento del logout.
Esempio di configurazione:
iNotes_WA_LogoutRedirect=
https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com Quando un utente effettua il logout da iNotes, verrà automaticamente reindirizzato al logout di Azure AD, invalidando la sessione.
2. Logout per Applicazioni Web Per applicazioni web personalizzate, Domino supporta il comando URL ?Logout. Questo comando può essere combinato con il parametro RedirectTo per reindirizzare l'utente verso l'URL di logout di Azure AD.
Esempio:
https://domino.example.com/app.nsf?Logout&RedirectTo=https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com Quando l'utente effettua il logout dall'applicazione, verrà terminata la sessione Domino e successivamente reindirizzato al logout di Azure AD.
Risultati e Conclusione Con questa configurazione:
1. L'utente può effettuare il logout sia dal servizio Domino (webmail o applicazioni web) che dalla sessione SAML di Azure AD.
2. È possibile reindirizzare l'utente a una pagina personalizzata dopo il logout.
Questa soluzione, pur essendo un workaround, offre una funzionalità di logout gestibile in attesa che HCL supporti nativamente il Single Logout per SAML.
Feedback HCL Dopo aver implementato questa soluzione, ho aggiornato il caso in HCL suggerendogli di aggiornare le KB ufficiali. Questa strategia potrebbe aiutare molti altri clienti nell'implementazione di SAML in Domino.