IBM Domino 9.0.1 Social Edition Administrator ヘルプ

保護

Domino ID ボールトサーバーが Notes 統合ログインをサポートできるようにする
IBM Domino 管理者は、IdP カタログ (idpcat.nsf) アプリケーションの IdP 設定文書で Notes 統合ログインに関する SAML 構成設定を指定します。

始める前に

IdP からエクスポートされた metadata.xml ファイルのコピーを取得し、IdP 設定文書の作成時にこのファイルの内容をインポートできるようにします。このファイルの保管先は、IBM Domino Administrator クライアントがアクセス可能な場所であればどこでも構いません。
IdP カタログ (idpcat.nsf) アプリケーションは、ID ボールトと同じサーバー上に存在している必要があります。
IdP カタログアプリケーションが既に存在する場合は、そのアプリケーションで文書を作成するためのアクセス権が必要です。
ほとんどの SAML 2.0 設定では、ID ボールトサーバーの ID ファイルにインターネット証明書が含まれている必要があります。IdP カタログアプリケーションの [証明書の作成] ボタン (推奨)、サーバーコンソールの certmgmt コマンド、または IBM Domino CA を使用して、証明書を新規に作成します。既存のインターネット証明書がある場合は、その証明書を再使用できます (certmgmt show all サーバーコンソールコマンドを実行すると、既存のすべての証明書のハッシュキーが表示されます。これにより、SAML に必要なキーが得られます)。

このタスクについて

Notes 統合ログインに関する SAML 構成設定は、IdP カタログ (idpcat.nsf) アプリケーションの IdP 設定文書で指定されます。IdP 設定文書に含まれるいくつかのフィールドの値は、metadata.xml ファイルを IdP からインポートする際に自動的に指定されます。

重要: Domino サーバーにパスワード保護された server.id ファイルがあると、管理者はこのトピックで説明する [証明書の作成] ボタンを使用できません。これに代わる方法として、関連トピック「Domino メタデータファイルの手動作成」を参照してください。

注: この手順では、Notes 統合ログインに参加している Domino ID ボールトサーバーに Domino Web サーバーが設定されていないことを前提としていますが、組織で必要に応じてこのような組み合わせを使用しても構いません。

注: Notes 統合ログインをサポートするには、この IdP 設定文書のいくつかのフィールド ([サービスプロバイダ ID] と [Domino URL]) に、ID ボールトサーバーが Domino Web サーバーとしても設定された場合に使用される URL に似た文字列を指定する必要があります。ただしこれは、ID ボールトサーバーを実際に Domino Web サーバーとして設定する必要があるという意味ではありません。

手順

1. IBM Domino Administrator クライアントから、ファイル名が idpcat.ntf のテンプレートを使用して IdP カタログアプリケーション (idpcat.nsf) を作成するか、アプリケーションが既に存在する場合はそれを開きます。

注意:

ご使用のサーバーが UNIX™ または IBM® i 上で稼働している場合は、ファイル名がすべて小文字になっていることを確認してください。

2. ACL の制限を高めに設定することをお勧めします。ACL で、Domino サーバーと、セキュリティ管理者として信頼されている IBM Domino SAML 管理者 (複数可) のみにアクセス権を割り当てます。

注:

参加する他の SAML サーバーに

ipdcat.nsf

が複製される場合は、それらのエントリが ACL に追加されます。

3. [IdP 構成の追加] をクリックし、新しい設定文書を作成します。

注:

組織で複数のインターネットサイト文書を使用していて、これら複数の Web サイトで SAML 認証を使用したい場合は、参加するインターネットサイトごとに個別の関連 IdP 設定文書を作成します。詳しくは、インターネットサイト文書からの SAML の設定に関連するトピックを参照してください。

4. [基本] タブの [ホスト名またはこのサイトにマップされたアドレス] フィールドに、Domino ID ボールトサーバーを表す IP アドレス、Web アドレス (DNS ホスト名またはインターネットサイト名)、またはその両方を入力します。両方を入力する場合は、IP アドレスと Web アドレスをセミコロンで区切ってください (例: n.nn.nnn.n; www.renovations.com)。アドレスの順序は問いません。セミコロンで区切って複数の項目を入力することができます。

ヒント:

Notes 統合ログインと iNotes Web 統合ログインの

両方

で使用される ID ボールトのパートナーシップを設定する場合は、iNotes サーバーの Web アドレス (DNS ホスト名、またはインターネットサイト名) の先頭に

vault.

が付加された仮想ホスト名を指定します。このエントリでは IP アドレスを指定しないでください。

たとえば、iNotes サーバーの DNS ホスト名が dom1.renovations.com の場合は、仮想名 vault.dom1.renovations.com を指定し、IP アドレスは付けません。

5. [IdP 名] フィールドに、ID プロバイダの Web サイトを識別する名前を入力します。これは管理の便宜上の名前にすぎないため、正確でなくても構いません。

たとえば、Renovations 組織のサポートサイトのホスティング元が、IBM Tivoli® Federated Identity Manager を使用して ID プロバイダの役目を果たすサードパーティである場合は、「Renovations Customer Support (TFIM)」のように入力します。

6. [プロトコルバージョン] フィールドで、SAML のバージョンを選択します。

重要:

Microsoft™ ADFS で統合が設定されている場合は、SAML 2.0 が必要です。

7. この設定文書の [状態] は [有効] (デフォルト) のままにします。

8. [統合製品] フィールドで、SAML 認証に使用する統合サービスに応じて [TFIM] (Tivoli Federated Identity Manager の場合) または [ADFS] (Microsoft Active Directory Federation Services の場合) を選択します。デフォルトは [ADFS] です。

9. [サービスプロバイダ ID] フィールドに、IdP で IBM Domino をサービスプロバイダパートナーとして識別する文字列を入力します。

この文字列は通常、Domino HTTP サーバーの HTTP URL と同じです (例:

http://domino1.us.renovations.com

)。

注: IBM Domino で SSL が設定されているか、IdP に ADFS を使用する場合、この設定には https が含まれます (例: https://domino1.us.renovations.com)。 IdP に ADFS を使用する場合は SSL が必要なので、文字列内に https を使用します。

重要: [証明書管理] タブの [証明書の作成] ボタンを使用するには、このフィールドに入力する必要があります。

10. [XML ファイルのインポート] をクリックし、IdP からエクスポートした metadata.xml ファイルを指定します。

インポートされた XML ファイルから提供される情報はそのままにすることをお勧めします。

注: ADFS で統合が設定されている場合は、このファイルの名前が若干異なる可能性があります (例: FederationMetadata.xml)。

表 1. metadata.xml ファイルから値が生成される IdP 設定文書内のフィールド

フィールド 説明

成果物解決サービス URL IBM Domino により、[製品] フィールドに指定した統合サービスの成果物 URL が生成されます。
たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のような成果物 URL が生成されます。https://tfim.renovations.com/FIM/sps/samlTAM20/soap

シングルサインオンサービス URL インポートされた XML ファイル内のデータが使用可能な場合は、IBM Domino により、[製品] フィールドに指定した統合サービスのログイン URL が生成されます。
たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のようなログイン URL が生成されます。https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial
注: このフィールドの値は、IdP に対して期待される URL のサブセットとなります。必要に応じて、Domino サーバーによって完全な URL が生成されます。

署名 X.509 証明書 IBM Domino により、ファイルから証明書コードがインポートされます。

暗号化 X.509 証明書 IBM Domino により、ファイルから証明書コードがインポートされます。
注: このフィールドが表示されるのは、[タイプ] フィールドが [SAML 2.0] に設定されている場合のみです。

プロトコルサポート列挙 IBM Domino により、[タイプ] フィールドに指定された SAML リリース用のプロトコルを指定する文字列が生成されます。これらのプロトコルは、指定された IdP でもサポートされます。この文字列は認証 URL の一部となります。認証 URL は、サービスプロバイダとなる IBM Domino によって、この設定文書で指定された IdP に提供されます。
例: url.oasis.names.tc:SAML:2.0:protocol

11. [クライアント設定] タブで、次のサブステップをすべて実行します。

この IdP 文書が、Windows™ シングルサインオン (SPNEGO/Kerberos) ユーザー認証を使用する IdP に対応する場合は、

[Windows シングルサインオンの有効化]

の設定を [はい] のままにします。このフィールドは、Notes クライアントの統合ログインに必要です。これにより、IBM Domino が Notes クライアントの組み込みブラウザのセットアップ方法を認識できるようになります。

詳しくは、IBM Notes/Domino Wiki で、統合 Windows 認証 (IWA) 用に ADFS をセットアップする方法に関する記事を検索してください。関連トピックの IBM 技術情報 #1614543 には、このような全記事へのリンクが記載される予定です。

[信頼されたサイト]

フィールドに、

[基本]

タブに設定したホスト名とは異なる、信頼された ID プロバイダ (IdP) の Web ホスト名をリストします。各エントリはセミコロンまたは戻り文字で区切ってください。

c. Notes クライアントの組み込みブラウザで、ログインシーケンス中に IdP でアクセスされる URL を SSL で保護することが必要な場合は、[SSL の強制] フィールドの設定を [はい] のままにします。

12. SAML 2.0 を使用していて、なおかつ IdP で使用する証明書を IBM Domino からエクスポートする必要がある場合は、[証明書管理] タブで次のサブステップをすべて実行します。

[会社名]

フィールドに、エクスポートされる Domino メタデータファイル (

idp.xml)

内の証明書を識別する名前を入力します。管理者にとって便利な文字列を使用します。

Domino サーバーを示す名前 (例:

Domino US Renovations

) を使用することも、Domino サーバー上の特定のインターネットサイト設定を表す場合は仮想名 (例:

Domino East Coast US Renovations

) を使用することもできます。

ヒント: この名前は、実際の IdP 設定に含まれるものと一致する必要はありません。ただし、この文字列は idp.xml ファイルの構文と互換性がなければなりません。つまり、不等号括弧 (< または >) などの文字を含めることはできません。

[証明書の作成]

をクリックします。プロンプトが出されたら、文書を保存してタブに戻り、このボタンをもう一度クリックします。

IBM Domino は証明書の作成時に、[会社名] フィールドに指定した文字列の前に「CN=」を付加し、この名前を証明書の内容として使用します。メタデータファイルがインポートされると、この名前は IdP 構成で表示されるようになります。

[Domino URL]

フィールドに、Domino サーバーの URL 内で完全修飾 DNS 名を識別する文字列を入力します。

たとえば、次のように入力します。

https://your_SAML_service_provider_hostname

このフィールドに指定した文字列は URL の最初の部分となり、IdP がユーザーの SAML アサーションを IBM Domino に送信する際に使用されます。

注: IBM Domino で SSL を設定せずに、IdP に TFIM を使用する場合、この設定には https ではなく http が含まれます (例: http://domino1.us.renovations.com)。

注: 通常は、[基本] タブの [サービスプロバイダ ID] フィールドに入力した文字列を使用できます。ただし、Notes 統合ログインと iNotes Web 統合ログインの両方で使用される ID ボールトのパートナーシップを設定する場合は、その代わりとして、iNotes サーバーの Web アドレス (DNS ホスト名、またはインターネットサイト名) の完全修飾 DNS 名を URL に使用します。(例: https://dom1.renovations.com)

[シングルログアウト URL]

フィールドに URL を入力します。IdP でシングルログアウトが必要ないか、サポートされていない場合でも、構文的に正しい URL を入力して、エクスポートされたメタデータファイルが正しい構文になるようにしてください。SAML 2.0 が設定された TFIM IdP では、IBM Domino が現在 SAML 2.0 シングルログアウト機能を実装していない場合でも、IdP と Domino メタデータファイルにシングルログアウト URL を指定する必要があります。

ログアウト URL の例を次に示します。

https://your_tfim_server.com/sps/samlTAM20/saml20

13. フォームの先頭にある [XML のエクスポート] ボタンをクリックして、作成した idp.xml ファイルを文書の添付ファイルとして保存します。

注:

このボタンが表示されるのは、以前に作成した

idp.xml

ファイルがまだ添付されていない場合のみです。

14. IdP 設定文書を保存して閉じます。

親トピック: Notes クライアントで統合ログインをサポートする
前のトピック: SAML ID プロバイダと統合を設定する
次のトピック: Notes 統合ログイン用の ID ボールトを設定する

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィールド	説明
成果物解決サービス URL	IBM Domino により、[製品] フィールドに指定した統合サービスの成果物 URL が生成されます。たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のような成果物 URL が生成されます。`https://tfim.renovations.com/FIM/sps/samlTAM20/soap`
シングルサインオンサービス URL	インポートされた XML ファイル内のデータが使用可能な場合は、IBM Domino により、[製品] フィールドに指定した統合サービスのログイン URL が生成されます。たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のようなログイン URL が生成されます。`https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial` 注: このフィールドの値は、IdP に対して期待される URL のサブセットとなります。必要に応じて、Domino サーバーによって完全な URL が生成されます。
署名 X.509 証明書	IBM Domino により、ファイルから証明書コードがインポートされます。
暗号化 X.509 証明書	IBM Domino により、ファイルから証明書コードがインポートされます。注: このフィールドが表示されるのは、[タイプ] フィールドが [SAML 2.0] に設定されている場合のみです。
プロトコルサポート列挙	IBM Domino により、[タイプ] フィールドに指定された SAML リリース用のプロトコルを指定する文字列が生成されます。これらのプロトコルは、指定された IdP でもサポートされます。この文字列は認証 URL の一部となります。認証 URL は、サービスプロバイダとなる IBM Domino によって、この設定文書で指定された IdP に提供されます。例: `url.oasis.names.tc:SAML:2.0:protocol`