このタスクについて

SAML 認証を使用すると、指定された ID プロバイダ (IdP) でユーザー認証を一度行うだけで、その IdP とパートナーになっている任意のサーバーにアクセスできるようになります。Notes クライアントと Web クライアントのどちらのユーザーも SAML 認証を利用できます。認証は署名付きの XML ID アサーションに依存します。結果的にユーザーに対して透過認証とシングルサインオンが実現され、複数の Domino Web サーバーとアプリケーション、さらに IdP とパートナーになっているサードパーティ製アプリケーションに対してもワンタイム認証が適用されます。ワンタイム認証の方式は IdP によって決定されます。したがって、ユーザーにパスワードを求めるプロンプトが出される場合もあれば、イントラネット内のユーザーに対して非パスワード認証方式 (統合 Windows™ 認証 (SPNEGO/Kerberos) など) が使用される場合もあります。

組織が SAML 認証を使用するのは、次の 3 つの場合が考えられます。組織の必要に応じて、これらの設定のいずれか、すべてを行ってください。

• Windows または Citrix 上の Notes クライアントユーザーの場合は、SAML 認証を使用することでシングルサインオンソリューションが助長されます。通常は、統合 Windows 認証 (IWA) 用に設定された IdP を使用します。Notes クライアントの起動時の SAML 認証は、Notes 統合ログイン と呼ばれます。なお、SAML の HTTP 部分は Notes クライアント内で処理されるため、HTTP サーバータスクを Domino ボールトサーバー上で実行する必要はありません。
• IBM iNotes クライアントユーザーの場合も、SAML 認証を使用することでシングルサインオンソリューションが助長されます。このソリューションでは、ユーザーの ID ファイルが Notes ID ボールトからダウンロードされます。IBM iNotes のユーザーに対する SAML 認証は、Web 統合ログイン と呼ばれます。iNotes クライアント用に SAML を設定する手順については、IBM Notes/Domino Wiki で『IBM iNotes Administration Help』を参照してください。
• Web サーバー上の他のアプリケーションのユーザーの場合は、SAML ベースのシングルサインオンが、IBM Domino で既に使用可能な別のシングルサインオン (SSO) 方式 (マルチセッションサーバー認証) の代替手段となります。SAML は、ご使用の IBM Domino 環境に含まれるサードパーティ製 Web アプリケーションのサービスにユーザーがアクセスする場合や、マルチセッションサーバー認証では組織にとって制限が多すぎる場合 (ターゲット環境が複数の DNS ドメイン間での SSO を必要とする場合など) に最も便利です。

IBM Domino は SAML 1.1 と SAML 2.0 の両方をサポートしていますが、選択した ID プロバイダによっては、使用する SAML バージョンを選べない場合があります。組織が SAML 1.1 を使用する具体的な理由がない限り、SAML 2.0 を使用することをお勧めします。特定のアプリケーションでシングルサインオンをサポートするために SAML 1.1 が必要であれば、SAML 1.1 を使用してください。

参加アプリケーションに必要な SAML のレベルに応じて、SAML をサポートする次の ID プロバイダが、IBM Domino がパートナーとなる対象の統合として機能します。

表 1. ID プロバイダでサポートされる SAML バージョン

ID プロバイダ (IdP)	SAML バージョン
IBM Tivoli Access Manager/Tivoli Federated Identity Manager (TAM/TFIM)	SAML 1.1 または SAML 2.0
Microsoft™ Active Directory Federation Services (ADFS)	SAML 2.0 必須

重要: SAML 認証にはタイムスタンプが含まれます。SAML IdP コンピュータと Domino SAML サービスプロバイダコンピュータが同じ現在時刻の概念を共有できるように、これらのコンピュータのクロックを同期させてください。クロックの同期があまりにもずれていると、アサーションの時刻が無効なように見えるため、SAML アサーションが否認される可能性があります。IdP マシンの時刻が Domino サーバーの時刻よりも進んでいる場合は特に問題です。アサーションが将来の時刻を指定するように見えるため、IBM Domino はこのアサーションを否認します。

クロックスキューを回避するための NOTES.INI 設定の詳細については、IBM Notes/Domino Wiki や IBM サポートの技術情報を検索してください。

互換性

次の表に、SAML が互換性を持たない、または部分的にしか互換性を持たないクライアント設定を示します。

表 2. SAML との互換性を持たないクライアント設定

組織が使用するもの	SAML が推奨されない理由
スマートカードで保護された ID	スマートカードで保護された ID では、Notes 統合ログインに必要な ID ボールトを使用できないため、スマートカードで保護された ID を統合ログインのユーザー ID にすることはできません。
サーバー上のローミング用の個人アドレス帳に ID ファイルが格納されている Notes ローミングユーザー	ローミング用の個人アドレス帳に ID が格納されている Notes ローミングユーザーを統合ログインユーザーにすることはできません。ローミング用の個人アドレス帳に格納された Notes ID では、Notes 統合ログインに必要な ID ボールトを使用できないためです。
USB デバイス上の IBM Notes	USB デバイス上の IBM Notes では、Notes 統合ログインに必要な ID ボールトを使用できないため、USB デバイス上の IBM Notes で統合ログインを使用することはできません。
複数のパスワードを持つ Notes ユーザー ID	複数のパスワードを持つ ID では、Notes 統合ログインに必要な ID ボールトを使用できないため、複数のパスワードを持つ Notes ユーザー ID を統合ログインのユーザー ID にすることはできません。
Notes ユーザーに対するサーバーベースのパスワードチェック	すべての IBM Notes ユーザーを Notes 統合ログイン用に設定する場合は、サーバープラットフォーム上でこの機能を無効にしてください。 非統合ログインユーザーに対してはパスワードチェックを強制できますが、統合ログインユーザーに対しては強制できません。

手順

以下のタスクを実行します。

1. ID プロバイダ (IdP) として設定する統合を選択する
IBM Domino に適合する統合として、IBM Tivoli Federated Identity Manager (TFIM) と Microsoft Active Directory Federated Services (ADFS) があります。最終的には使用可能な統合サービスがさらに増える可能性があります。詳しくは、IBM サポートで確認してください。

2. IBM Domino で SAML を設定する
この手順により、Domino Web サーバーが SAML ベースのシングルサインオン (SSO) に参加できるようになります。Security Assertion Markup Language (SAML) 標準を使用すると、Domino サーバーが、指定された ID プロバイダ (IdP) から発行された認証アサーションを信頼することができます。

3. Notes クライアントで統合ログインをサポートする
Security Assertion Markup Language (SAML) 標準を使用した統合 ID 認証では、Notes 統合ログインを使用することで、Notes クライアントユーザーによる Notes パスワードの入力が不要になります。ユーザーの ID を格納する ID ボールトの Domino サーバーは、ID プロバイダ (IdP) パートナーシップのホスト名を使用して設定されている必要があります。Notes クライアントユーザーの ID ファイルの内容は、ID ボールトからダウンロードした後でクライアント上のメモリに格納されます。

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ