保護

統合ウィンドウ認証 (IWA) を Eclipse ベースクライアントで有効にする
統合 Windows 認証 (IWA) は、提供されている Eclipse ベースのクライアントアプリケーションとサードパーティ製の Eclipse ベースのクライアントアプリケーションで使用可能で、Eclipse ベースの機能と IBM Notes クライアント内のアプリケーションに対して SPNEGO 認証を有効にします。 例には、ウィジェットと Live Text やフィード、IBM® Connections、複合アプリケーション、組み込みの IBM Sametime®、組み込みの Symphony® が含まれます。また、IWA は、IBM Notes には組み込まれていない Eclipse ベースの付属製品 (IBM WebSphere® Portal (SiteMinder 付属) やスタンドアロンの Connections 3.0 (SiteMinder 付属) など) とも動作します。

注: IWA は、IBM Notes クライアント起動時の認証のメカニズムとしては使用できません。

IWA は、現在ログインしているユーザーの Windows™ 資格情報を使用して、ユーザーがシングルサインオンを実行できるようにする認証プロトコルです。SPNEGO は、クライアントとサーバーがどの認証プロトコルを使用するかをネゴシエーションできるようにする IWA の 1 メカニズムです。これらのプロトコルは NT Lan Manager (NTLM) と Kerberos に限定されています。 セッション管理へのサポートは HTTP Cookie によって提供されます。

IBM Domino 管理者は、セキュリティ設定ポリシーを使用して IWA のサポートを指定するか、OS-CRED タイプのアカウントを作成してそのアカウントをクライアントユーザーにポリシーで適用するかのいずれかの方法を使用できます。

セキュリティポリシーで IWA 7有効にするには:

1. Domino ディレクトリで、セキュリティ設定文書を作成するか、既存のものを編集します (8.5.3 NAMES.NSF 設計が必須)。

2. [パスワード管理] タブにある [Standard 版 IBM Notes クライアント用に Windows シングルサインオンを有効にする] フィールドで [はい] を選択します。

注: セキュリティ設定ポリシーで IWA 認証を有効にすると、ブラウザとネットワーク階層で、フィードやウィジェットなどのコンポーネントのみでそれがサポートされます。たとえば、ウィジェットカタログが SPNEGO で保護されたサイトにある場合で、クライアントユーザーが組み込みブラウザからカタログにアクセスるる場合、そのユーザーはアカウントなしでカタログを認証します。

クライアントユーザー用に OS-CRED アカウントを作成すると、IWA が IBM Notes クライアント全体に対して自動的に有効になります。IBM Sametime や IBM Connections などのアプリケーション固有のアカウントも、タイプ OS-CRED に変更できます。

IWA は TAM-SPNEGO アカウントも処理できます。TAM-SPNEGO アカウントタイプのユーザーは、クライアントの plugin_customization.ini ファイルを使用することによって そのアカウントを新規の IWA 互換 SPNEGO サポートを使用するように切り替えることができます。

注: このファイルは通常、Notes_install_dirframework¥rcp サブディレクトリにあります。例:

Program Files¥IBM¥¥Notes¥framework¥rcp¥plugin_customization.ini

IBM Notes をインストールまたはアップグレードする前、そのファイルは Notes インストールキットのデプロイサブディレクトリ内にあります。

OS-CRED 認証を使用する代わりにすべての既存 TAM-SPNEGO アカウントを指定するには、以下のステートメントを追加します。

com.ibm.rcp.accounts/replace.tam.spnego=true

注: この設定用の、主に IBM Sametime によってコンシュームされる特定の Domino ポリシーはありません。 plugin_customization.ini ファイルの代わりとして、Domino デスクトップポリシー設定文書の [カスタム設定] タブを使用してカスタム名と値のペアを定義するために設定を適用できます。 ポリシーを使用して Eclipse 設定を適用する方法については、関連トピックを参照してください。

OS-CRED SPNEGO は自動的に有効になりません。 有効にするには、既存の IBM Domino Administrator またはクライアントプリファレンスのユーザーインターフェースメソッドを使用して OS-CRED タイプの新規アカウントを作成します。または、以下のステートメントをクライアントの plugin_customization.ini ファイルに追加することによってプラットフォームプリファレンスを設定します。

com.ibm.rcp.net.http/enable.spnego=true

この機能は埋め込みのアクティビティサイドバーアプリケーションで使用できます。アカウント設定と同様に、クライアントプリファレンスの設定時に Connections 構成では認証タイプとして「OS 資格情報」が提供されるようになりました。クライアントの plugin_customization.ini ファイルで次のように Connections 構成が供給される場合にもサポートされます。

com.ibm.lconn.client.base/server=Connections_server_namecom.ibm.lconn.client.base/authtype=OS-CRED

SPNEGO 認証中に問題が発生する場合、rcpinstall.properties ファイル内の Eclipse レベルのロギングの設定を以下のように有効にできます。 これにより、JVM と IBM Notes から、現在のシステムで使用しているログファイルへログ出力が提供されます。デフォルトでは、これは C:¥Program Files¥IBM¥Notes¥Data¥workspace¥logs になります。

com.ibm.rcp.accounts.level=FINESTcom.ibm.rcp.net.http.level=FINESTcom.ibm.rcp.security.spnego.level=FINEST

Eclipse ベースのクライアントに統合 Windows 認証 (IWA) を使用する際には、いくつかの考慮事項と制限事項に留意してください。


関連概念
Eclipse ベースのプラグインをデプロイする際の管理設定
Eclipse プリファレンスを使用して信頼を検証する

関連タスク
デスクトップポリシーを使用して Eclipse プリファレンス設定を割り当てる
管理アカウントを使用してクライアントプラグインを管理する