保護

SSO LTPA トークン内のユーザー名マッピングを設定する
ユーザーのシングルサインオンを認証するために作成された LTPA トークンには、認証されているユーザーの名前が含まれています。IBM Domino® は LTPA トークンの作成時に、デフォルトでトークン内に Domino の識別名を設定します。IBM WebSphere® Application Server サーバーにアクセスしようとしているユーザーからトークンを取得した WebSphere サーバーは、この名前形式を認識できる必要があります。認識できない場合、そのトークンは無視されてシングルサインオンは失敗します。また、ユーザーは、再ログインを行うよう求められます。

このタスクについて

このような状況は一般的に、SSO 環境に参加している様々なサーバーによって使用される複数ディレクトリのある、エンドユーザーの設定で発生します。また、この設定では、ユーザーは複数の ID を持つ場合があります。たとえば、あるユーザーは、WebSphere LDAP ディレクトリ内では uid=jdoe,cn=sales,dc=renovations, dc=com として認識される一方、Domino ディレクトリでは同じユーザーが John P Doe/Sales/Renovations として認識されている場合があります。 WebSphere は、John P Doe/Sales/Renovations などのユーザー名を含む LTPA トークンを受信した場合、このユーザーを WebSphere ディレクトリ内で検索しますが、見つからない場合にはトークンを拒否します。

ここで Domino 管理者は、Domino と WebSphere が混在する環境で、Domino と WebSphere が同じディレクトリを共有しない場合に、確実に名前が認識されるように、Domino で作成された LTPA トークン内に表示されるユーザー名を、WebSphere で処理できる名前にマッピングすることができます。

注: リリースが混在する Domino 環境で LTPA トークン内のユーザー名をマッピングする場合、マッピングが正常に機能するには、そのトークンが Domino 7.0 サーバーで生成されている必要があります。LTPA トークン内のユーザー名の値を、(たとえば別名を設定する目的で) Domino 7.0 よりも以前のサーバー内のユーザー文書にある [Fullname] フィールドに 2 つ目の値として追加すると、そのユーザーは Domino 6.02 以降のサーバーや WebSphere サーバーのデータベースにもアクセスできます。

LTPA トークン内で使用されるユーザー名の指定方法は、シングルサインオン環境で使用するディレクトリ設定の内容により異なります。


一般に [LDAP ディレクトリ] フィールドと [Domino ディレクトリ] フィールドは 1 対 1 で対応しないため、ディレクトリアシスタント文書を名前のマッピングに使用する場合、LDAP 管理者は LTPA の [ユーザー名] フィールドと同等に使用する LDAP のフィールドを指定できます。

注: SSO 設定文書でマッピング機能を無効にすると、ディレクトリアシスタント文書内にあるすべての名前のマッピング設定は無視されます。

Domino ディレクトリ環境でユーザー名マッピングを設定するには

このタスクについて

この環境では、一部の Domino SSO ユーザーは Domino ディレクトリ内にユーザーレコードを持っています。

手順

1. LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名]有効にするオプションを選択します。

2. そのユーザーのユーザー文書で、[管理情報] をクリックします。[クライアント情報] で、[LTPA ユーザー名] フィールドに WebSphere で使用されるユーザー名 DN を入力します。


タスクの結果

名前は [LTPA ユーザー名] フィールドに Domino 形式で入力されますが、Domino は設定された LTPA ユーザー名を WebSphere で使用される適切な LDAP 形式に変換してからそれを Domino によって作成された LTPA トークンに入れます。

会社の LDAP ディレクトリ環境 (Domino と LDAP ディレクトリが混在する環境) でユーザー名マッピングを設定するには

このタスクについて

この環境では、一部またはすべての Domino ユーザーは、Domino ディレクトリ内にユーザーレコードを持っていません。それらの Domino ユーザーは、代わりに、Directory Assistance を通じて Domino にアクセスできる外部 LDAP ディレクトリにレコードを持っています。

手順

1. LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名]有効にするオプションを選択します。

2. LDAP ディレクトリのディレクトリアシスタント文書を開きます。[SSO 設定] セクションで、このユーザー用に作成された SSO トークンでユーザー名として使用する LDAP 属性を入力します。[LTPA_UserNm] フィールドが要求されると、この属性が LTPA トークン内で使用されます。選択したフィールドに WebSphere が処理できるユーザー名が入力されていることを確認してください。このフィールドのオプションには、次のものが含まれます。

タスクの結果

Directory Assistance が、特定のユーザーフィールドの検索で Domino ディレクトリと LDAP ディレクトリの両方に一致する項目が見つかるように設定されている場合、Domino は Domino のユーザーレコードと LDAP のレコードの間の一貫性を要求します。Domino は両方のディレクトリ内にあるインターネットメールアドレスに一致する値があることを確認するために追加の手順を実行します。このために DA はユーザーの LDAP mail 属性を検索します。この値は Domino のユーザーレコードの [internetaddress] フィールドの情報と一致しなければなりません。

表 1. SSO が正しく動作するために一致しなければならない値
LDAP ディレクトリ内の属性Domino ディレクトリ内の属性
mail: Jbond@secret.spies.cominternetaddress: Jbond@secret.spies.com

名前のマッピングを設定する際には、以下の追加の考慮事項に留意してください。


関連概念
ディレクトリアシスタントを設定する

関連タスク
リモート LDAP ディレクトリのディレクトリアシスタント文書でエイリアスを非参照に設定する
複数サーバーのセッションベースの認証 (シングルサインオン)