匿名アクセス

匿名アクセスでは、Web ユーザーはユーザー名とパスワードを入力せずに Web サイトにアクセスできます。IIS により、匿名の Web ユーザーは常に、特定の匿名ユーザーアカウントにマッピングされます。使用可能な IIS 認証方法が [匿名アクセス] だけである場合、ユーザーの資格情報 (つまり認証のためにブラウザから送信されたユーザー名とパスワード) は IIS では使用されず、IIS プラグインにより Domino に渡されます。Domino では、通常の Web ユーザーの場合と同じ手順でユーザーが認証されます。匿名ユーザーが認証を必要とする Domino リソースへのアクセスを試みた場合、Domino は、IBM Domino Web サイト (基本的な名前とパスワードによる認証ログインページ、またはセッション認証ログインページ) で設定されているセキュリティオプションに応じて返答します。そのため、Domino で完全なユーザー認証を実行するには、名前とパスワードによる認証を設定する際、IIS Web サイトでの唯一のセキュリティオプションとして匿名アクセスを有効にする必要があります。

匿名アクセスを使用する場合、以下のガイドラインが適用されます。

• Web ユーザーは登録された 2000/2003 ユーザーである必要はありません。
• Web ユーザーがパスワード保護されたリソースにアクセスできるようにする場合は、そのユーザーは登録された Domino ユーザーであり、インターネットのパスワードを持っている必要があります。

[基本認証] を使用する場合は、ブラウザから送信されたユーザーの資格情報が有効なユーザーアカウントであるかどうかが IIS によって確認されます。使用可能な IIS 認証方法が [基本認証] だけである場合、ブラウザからのすべての要求に資格情報が含まれている必要があり、匿名アクセスは許可されません。ユーザーが Domino 要求を送信すると、IIS プラグインはユーザー名を Domino に渡し、このユーザーが IIS により認証されていることを Domino に通知します。このようなユーザーは、「事前認証済みユーザー」と呼ばれます。プラグインは、事前認証済みのユーザー名を、ユーザーがブラウザに入力したままの形式で渡します。Domino は、事前認証された名前を Domino ディレクトリ内で検索します。ユーザーのパスワードは IIS によりすでに認証されているため、Domino が、ユーザーのユーザー文書または LDAP エントリに格納されているインターネットパスワードを使用することはありません。

該当する名前が Domino ディレクトリ内で見つかった場合、Domino はユーザー登録内の基本名を使用して認証 (ACL のチェックなど) を実行します。名前が見つからなかった場合は、Domino は事前認証済みの名前を使用します。

どちらの場合でも、IBM Domino は該当ユーザーがメンバーとして含まれている Domino ディレクトリ内の一連のグループから該当ユーザーのグループリストを作成し、また IBM Dominoはそのグループリストに -WebPreAuthenticated- という名前の特殊なグループを追加します。-WebPreAuthenticated- は、データベース ACL などのアクセスリスト内でグループエントリとして使用することができます。

注: データベース ACL 内の名前に従って IIS ユーザーをリスト表示する際は、名前の正しい形式を指定する必要があります。つまり、ユーザーが Domino ディレクトリ内にリスト表示される場合は基本名を、ユーザーが Domino ディレクトリ内にリスト表示されない場合は IIS で事前認証された名前を指定する必要があります。ユーザーが ACL 内で名前でリスト表示されると同時に、その ACL 内のグループのメンバーにもなっている (-WebPreAuthenticated- または任意のほかのグループ) 場合は、名前のエントリの方がグループのエントリより優先されます。

要約すると、[基本認証] を選択した場合、以下のガイドラインが適用されます。

• 匿名アクセスは許可されません。
• Web ユーザーは登録された Windows™ 2000/2003 ユーザーである必要があります。
• Web ユーザーは登録された Domino ユーザーである必要はありません。
• Domino ではユーザーのインターネットパスワードは使用されません。
• ユーザーは -WebPreAuthenticated- グループに自動的に割り当てられます。

統合化 Windows 認証は、Internet Explorer (IE) でサポートされている Microsoft 固有のプロトコルです。Web ユーザーがサイトに対して要求を行うと、IE によってユーザーの現在の Windows ログオンアカウント名が IIS に送信されます。この名前は IIS サーバー上の Windows レジストリと照合して確認されます。ユーザーが Domino 要求を送信すると、IIS プラグインは Windows ユーザー名を IBM Domino に渡し、IBM Domino は事前承認済みのそのユーザー名を処理します。この処理については、前述の基本認証に関するセクションを参照してください。

Windows アカウント名は、SALES¥JSmith のように domain¥username か machinename¥username の形式です。Domino ディレクトリにあるユーザー文書を使用して Windows ユーザーを認証する場合は、ユーザー文書に別名として Windows アカウント名が含まれている必要があります。たとえば、Joe Smith が「CorpSales」ドメインに Notes ID を持っており、Windows の「SALES」ドメインに Windows ユーザーアカウントを持っている場合、Joe Smith のユーザー文書の [ユーザー名] フィールドには、次のように入力されている必要があります。

Joe Smith/CorpSales

SALES¥JSmith

これによって、Domino で Windows ユーザー SALES¥JSmith を Domino ユーザー Joe Smith/CorpSales として認証できます。

要約すると、統合された Windows 認証を選択した場合、以下のガイドラインが適用されます。

• この方法だけが使用可能な場合は、IE ユーザーだけが Web サイトにアクセスできます。
• 要求のたびに IE によってユーザーの Windows アカウント名が自動的に送信されるため、匿名アクセスは許可されません。
• Web ユーザーは登録された Windows 2000/2003 ユーザーである必要があります。
• Windows ユーザーを Domino ユーザー文書に関連付ける場合は、ユーザーの Windows アカウント名を、ユーザー文書の別名として追加する必要があります。
• Domino ではインターネットパスワードは使用されません。
• ユーザーは -WebPreAuthenticated- グループに自動的に割り当てられます。

Web サーバー上で SSL を使用可能にした場合、実際の SSL 接続は IIS によって処理されます。ただし、Web ユーザーがクライアント証明書を送信した場合は、証明書は IIS プラグインから Domino に渡され、その証明書を使用して Domino によってユーザーが認証されます。Domino でユーザーの証明書が見つからない場合、ユーザーのアクセス権は匿名アクセスに変更されます。

関連概念
インターネット/イントラネットクライアントの名前とパスワードによる認証

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ