保護
このタスクについて
SAML の設定には、Domino ディレクトリ内での SAML 認証の指定と、SAML の構成設定を格納する文書の作成という、少なくとも 2 つの作業が必要です。所属する組織でインターネットサイトを使用するかどうかに応じて、サーバー文書、または 1 つ以上のインターネットサイト文書のいずれかで認証を指定します。SAML 構成設定は、その後 IdP カタログ (idpcat.nsf) アプリケーションで IdP 設定文書に指定されます。
IBM Domino が SAML サービスプロバイダとして、指定された ID プロバイダ (IdP) から発行された SAML アサーションを信頼するかどうかは、これらの文書全体で決まります。IdP カタログアプリケーションで IdP 設定文書に保存された IdP のパブリックキーは、IdP によって発行される SAML アサーションの暗号検証に使用されます。
SAML 設定には SSL セキュリティを使用することをお勧めします。ご使用の統合が Microsoft™ Active Directory (ADFS) の場合は、SSL が必要となります。
ヒント: SAML 構成には、IBM Domino 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを考慮してください。これには、Web ユーザーとしてログインするための IBM Domino の設定作業が含まれます (たとえば、Domino サーバーのセットアップ時に Domino ディレクトリに設定された Domino 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino ユーザーとしてログインすることができ、Domino サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。
注: 所属する組織がセッション認証に SAML を使用する場合は、サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。さらに Notes クライアントのパスワードの インターネットパスワードとの同期など、SAML ユーザーに適用されるセキュリティポリシーで有効に設定された Web パスワード管理のすべての設定を無効にします。インターネットパスワードのロックアウトについては、関連トピックを参照してください。
手順
以下の操作を実行します。
2. Domino メタデータファイルの手動作成 Domino server.id ファイルにパスワードがある場合は、管理者が SAML メタデータファイルと証明書ファイルを手動で作成する必要があります。IdP カタログアプリケーションの [証明書の作成] ボタンは使用できません。サーバー ID ファイルに既に存在するインターネット証明書を使用して SAML アサーションを検証する予定の場合も、メタデータファイルを手動で作成する必要があります。
3. インターネットサイト (Web サイト) 文書から SAML を設定する IBM Domino 用の SAML 認証を、1 つ以上のインターネットサイト (Web サイト) 文書で設定するときにこの手順を使用します。
4. SSL を使用した SAML ベースのセキュリティプロバイダとして IBM Domino を使用する セキュリティ上の理由から、Domino Web サーバー上で統合 ID 認証を設定する場合は、SSL (https プロトコル) でサーバーを保護することをお勧めします。 また、IdP が ADFS を使用する場合は SSL 設定が必須となります。 ただし、Domino サーバーが Web サーバーとして設定されていない場合 (Notes クライアントの統合ログインをサポートする ID ボールトをホストするための Domino サーバーなどの場合)、SSL は必須ではありません。
5. SAML アサーションを暗号化する アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。
関連タスク インターネットパスワードを保護する インターネットサイト文書を作成する