DDive 2011, dal 1 al 3 Luglio al castello di Valbona - Registrati subito, i posti sono limitati!

Integrazione Domino con Azure AD: Implementazione del Logout

Daniele Grillo

Image:Integrazione Domino con Azure AD: Implementazione del Logout

Integrare HCL Domino con Azure Active Directory (Azure AD) (ora denominato Microsoft Entra) è una richiesta frequente per aziende che desiderano un'unica esperienza di accesso tra webmail, applicazioni web Domino, e client Notes, sfruttando le credenziali centralizzate di Active Directory.


Configurazione SAML con Azure AD

Molte aziende utilizzano il sync tra il proprio Active Directory on-premise e Azure AD per gestire gli utenti e le autenticazioni. HCL Domino supporta l'integrazione con Azure AD tramite SAML, seguendo le guide ufficiali di HCL:

Autenticazione basata su SAML:


Questi articoli spiegano come configurare Domino per utilizzare Azure AD come Identity Provider (IdP), permettendo agli utenti di autenticarsi con le loro credenziali aziendali.

Problema del Logout SAML in HCL Domino


Nonostante il supporto per l'autenticazione SAML, HCL Domino non supporta il Single Logout (SLO) per applicazioni web o webmail, come indicato nella KB ufficiale:
L'unico supporto ufficiale per il logout SAML è fornito con l'applicazione Nomad Web, come indicato qui:
Questa limitazione è stata oggetto di richieste di miglioramento, come la storica idea nella piattaforma di feedback HCL:

  • DOMINO-I-299: Miglioramento Logout SAML
 
Impatto della mancanza di SLO


La mancanza di supporto per il Single Logout nativo rende complessa la gestione delle sessioni utente. Infatti:
·        Un utente autenticato su Domino tramite Azure AD potrebbe restare autenticato su altri servizi o dispositivi.
·        Non esiste una funzione ufficiale per invalidare completamente la sessione SAML sia lato Domino che lato Azure AD.
·        Rilasciare un'applicazione senza una chiara opzione di logout può rappresentare un rischio di sicurezza o creare confusione per gli utenti.

Soluzione: Workaround con URL di Logout Diretto di Azure AD


Fortunatamente, Microsoft Azure AD offre un'opzione alternativa per gestire il logout senza implementare il SLO completo. È possibile utilizzare l'endpoint di logout diretto di Azure AD:

URL del Logout Diretto


https://login.microsoftonline.com/{tenant-id}/oauth2/logout

Puoi specificare un URL di reindirizzamento post-logout utilizzando il parametro post_logout_redirect_uri:

https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com

Questa soluzione forza l'utente a disconnettersi da Azure AD, invalidando la sessione e reindirizzandolo a un'applicazione o pagina specificata.

Implementazione del Workaround


Per implementare il logout diretto di Azure AD in Domino, puoi seguire due approcci diversi, a seconda del contesto: webmail o applicazioni web.

1. Logout per Webmail


Per la webmail (iNotes o Verse), puoi utilizzare il parametro iNotes_WA_LogoutRedirect nel file NOTES.INI. Questo parametro reindirizza gli utenti a un URL specificato al momento del logout.

Esempio di configurazione:


iNotes_WA_LogoutRedirect
=https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com

Quando un utente effettua il logout da iNotes, verrà automaticamente reindirizzato al logout di Azure AD, invalidando la sessione.

2. Logout per Applicazioni Web


Per applicazioni web personalizzate, Domino supporta il comando URL ?Logout. Questo comando può essere combinato con il parametro RedirectTo per reindirizzare l'utente verso l'URL di logout di Azure AD.

Esempio:


https://domino.example.com/app.nsf?Logout&RedirectTo=https://login.microsoftonline.com/{tenant-id}/oauth2/logout?post_logout_redirect_uri=https://your-app.example.com

Quando l'utente effettua il logout dall'applicazione, verrà terminata la sessione Domino e successivamente reindirizzato al logout di Azure AD.

Risultati e Conclusione


Con questa configurazione:

1.        L'utente può effettuare il logout sia dal servizio Domino (webmail o applicazioni web) che dalla sessione SAML di Azure AD.
2.        È possibile reindirizzare l'utente a una pagina personalizzata dopo il logout.
Questa soluzione, pur essendo un workaround, offre una funzionalità di logout gestibile in attesa che HCL supporti nativamente il Single Logout per SAML.

Feedback HCL


Dopo aver implementato questa soluzione, ho aggiornato il caso in HCL suggerendogli di aggiornare le KB ufficiali. Questa strategia potrebbe aiutare molti altri clienti nell'implementazione di SAML in Domino.


nessun commento.

<< Home