保護
ユーザー名のマッピングには、次の 3 つの目的があります。 Domino サーバーが特定のユーザーの LDAP 識別名を Active Directory で検出し、さらにこのユーザーの IBM Notes 識別名 (DN) を Domino ディレクトリで検出した場合、この 2 つの名前が同一のユーザーの名前であることがわかります。これが第 1 の目的です。サーバーは、ユーザーの Active Directory のユーザーアカウントにある mail 属性値がユーザー文書のインターネットアドレスの値と一致することを確認して、これら 2 つの名前をリンクします。
第 2 の目的として、ユーザーの Notes 識別名を判別する際に、名前のマッピングが必要になる場合があります。Domino ディレクトリの代わりに Active Directory を排他的に使用するサーバーが存在する SSO 環境の場合、ユーザーの LTPA トークンにはこのユーザーの Active Directory の識別名が定義されます。たとえば、ユーザーのリポジトリに対して Active Directory を使用するように IBM WebSphere® Application Server サーバーまたは IBM Lotus® Quickr® サーバーを設定する場合があります。この環境では通常、LTPA トークンには Web ユーザーの Active Directory 識別名が含まれます。通常、Domino データベースの ACL は Web ユーザーの Notes 識別名を参照するため、LTPA トークン内の Active Directory 識別名を Notes 識別名にマップして、Domino サーバーのデーベースに対する Web ユーザーのアクセス権をサーバーが判別できるようにする必要があります。WebSphere から取得した SSO キーではなく、ユーザーの Notes 識別名 (Domino SSO キーが使用される場合のデフォルト) が LTPA トークンに定義されるように設定している場合、この手順は必要ありません。
Windows シングルサインオンが使用できず、SSO ドメイン内のサーバーに接続する際に Web ユーザーが最初にログオンする必要がある場合、どのディレクトリを使用してユーザーのパスワードを確認するかを、ユーザー名のマッピングによって指定することができます。これが第 3 の目的です。以下の場合、Windows シングルサインオンは使用できません。
ユーザー名のマッピングを設定する方法は、Active Directory と Domino ディレクトリの主にどちらでユーザーを管理しているかによって異なります。変更や保守管理が容易なのはどちらのディレクトリなのかを検討する必要があります。インターネットユーザーの認証に別の IBM 認証アプリケーションを使用すると、ディレクトリの変更を最小限に抑えることができます。
関連概念 ACL のアクセスレベル
関連タスク Domino ディレクトリを使用して Domino ユーザーを管理する場合のユーザー名マッピングの設定 Active Directory を使用して Domino ユーザーを管理する場合にユーザー名マッピングを設定する Web クライアント用の Windows シングルサインオンを設定する
関連情報 Web クライアント用の Windows シングルサインオンに関するトラブルシューティング (SPNEGO)