IBM Domino 9.0.1 Social Edition Administrator ヘルプ

保護

Domino Web サーバーが SAML 認証を提供できるようにする
IBM Domino で Security Assertion Markup Language (SAML) 認証を有効にするには、IdP カタログアプリケーションを使用します。Domino サーバーがパスワード保護されている場合は、追加タスクが発生する可能性があります。

始める前に

Domino Web サーバーで SAML を有効化する前に、Domino Web サーバーで使用する予定の ID プロバイダ (IdP) を構成しておく必要があります。関連トピックを参照してください。
ID プロバイダ (IdP) からエクスポートされた metadata.xml ファイルのコピーを取得し、IdP 設定文書の作成時にこのファイルの内容をインポートできるようにします。このファイルの保管先は、IBM Domino Administrator クライアントがアクセス可能な場所であればどこでも構いません。
IdP カタログ (idpcat.nsf) アプリケーションが既に存在する場合は、そのアプリケーションで文書を作成するためのアクセス権が必要です。
SAML 設定には SSL セキュリティを使用することをお勧めします。ご使用の統合が Microsoft™ Active Directory (ADFS) の場合は、SSL が必要となります。
証明書の作成やメタデータのエクスポートのためにこの手順のステップを実行する管理者は、サーバー文書の [管理者 (フルアクセス)]、[管理者]、[制限なしで署名または実行] の下にリストされている (またはグループに所属している) 必要があります。
idpcat.nsf は文書のロックが無効となるようにしてください。
注: この条件と前記の条件が満たされない場合、証明書作成やメタデータエクスポートのステップの実行に idpcat.nsf 内のエージェントを使用することはできません。その代わりとして、Domino サーバーコンソールで一連のコマンドを使用してこれらのステップを実行したい場合は、Domino メタデータファイルの手動作成についての関連トピックを参照してください。

このタスクについて

IdP 設定文書に含まれるいくつかのフィールドの値は、metadata.xml ファイルを IdP からインポートする際に自動的に指定されます。

重要: Domino サーバーにパスワードで保護された server.id ファイルがある場合は、管理者は (手順 9 に示す) [証明書の作成] ボタンを使用してメタデータファイルを作成することができません。server.id ファイルがパスワード保護されている場合は、このシーケンスに含まれる、Domino メタデータファイルの作成タスクを参照してください。

重要: 後で既存の SAML IdP 設定文書を変更する場合や、新規の設定文書を追加する場合は、変更内容が認識されるように、HTTP プロセスを Domino Web サーバー上で再始動してください。

注: 組織で RSS フィードを使用している場合は、SAML 認証を有効化すると RSS フィードで予期しない結果が生じる可能性があります。

手順

1. IBM Domino Administrator クライアントから、ファイル名が idpcat.ntf のテンプレートを使用して IdP カタログアプリケーション (idpcat.nsf) を作成するか、アプリケーションが既に存在する場合はそれを開きます。

重要:

IdP カタログアプリケーションには、任意のアプリケーションタイトルを設定することはできません。アプリケーションにはタイトル

idpcat

を割り当てる必要があります。ファイルシステムでは、アプリケーションのファイル名は

idpcat.nsf

でなければなりません。

注意: ご使用のサーバーが UNIX™ 上で稼働している場合は、ファイル名がすべて小文字になっていることを確認してください。

2. ACL で、IBM Domino SAML 管理者 (複数可) とこのサーバーのみにアクセス権を割り当てます。

注:

参加する他の SAML サーバーに

ipdcat.nsf

が複製される場合は、それらのエントリが ACL に追加されます。

3. [IdP 構成の追加] をクリックし、新しい設定文書を作成します。

注:

組織で複数のインターネットサイト文書を使用していて、これら複数の Web サイトで SAML 認証を使用したい場合は、参加するインターネットサイトごとに個別の関連 IdP 設定文書を作成します。詳しくは、インターネットサイト文書からの SAML の設定に関連するトピックを参照してください。

4. [基本] タブの [ホスト名またはこのサイトにマップされたアドレス] フィールドに、サービスプロバイダの Web サイトを表す IP アドレス、Web アドレス (DNS ホスト名またはインターネットサイト名)、またはその両方を入力します。両方を入力する場合は、IP アドレスと Web アドレスをセミコロンで区切ってください (例: n.nn.nnn.n; www.renovations.com)。アドレスの順序は問いません。セミコロンで区切って複数の項目を入力することができます。

重要:

ここに入力する IP アドレスまたは Web アドレスは、サーバー文書の

[インターネットプロトコル/HTTP]

タブの

[ホスト名]

フィールド、または対応するインターネットサイト文書の

[ホスト名またはこのサイトにマップされたアドレス]

フィールドに入力した内容と一致していなければなりません。この方法で、共通の ID プロバイダパートナーシップを共有するホスト名/IP アドレスの組み合わせをすべて指定できます。

制約事項: 推奨事項に従い、組織で SSL を使用している場合は、IP アドレスを含める必要があります。

5. [IdP 名] フィールドに、ID プロバイダの Web サイトを識別する名前を入力します。これは管理の便宜上の名前にすぎないため、正確でなくても構いません。

たとえば、Renovations 組織のサポートサイトのホスティング元が、IBM® Tivoli® Federated Identity Manager を使用して ID プロバイダの役目を果たすサードパーティである場合は、「Renovations Customer Support (TFIM)」のように入力します。

6. [プロトコルバージョン] フィールドで、SAML のバージョンを選択します。

重要:

Microsoft ADFS で統合が設定されている場合は、SAML 2.0 が必要です。

7. この設定文書の [状態] は [有効] (デフォルト) のままにします。

8. [統合製品] フィールドで、SAML 認証に使用する統合サービスに応じて [TFIM] (IBM Tivoli Federated Identity Manager の場合) または [ADFS] (Microsoft Active Directory Federation Services の場合) を選択します。デフォルトは [ADFS] です。

9. [サービスプロバイダ ID] フィールドに、IdP で IBM Domino をサービスプロバイダパートナーとして識別する文字列を入力します。

この文字列は通常、Domino HTTP サーバーの HTTP URL と同じです (例:

https://domino1.us.renovations.com

)。

注: IBM Domino で SSL を設定せずに、IdP に TFIM を使用する場合、この設定には https ではなく http が含まれます (例: http://domino1.us.renovations.com)。 IdP に ADFS を使用する場合は SSL が必要なので、文字列内に https を使用します。

重要: [証明書管理] タブの [証明書の作成] ボタンを使用するには、このフィールドに入力する必要があります。

10. [XML ファイルのインポート] をクリックし、IdP からエクスポートした metadata.xml ファイルを指定します。

インポートされた XML ファイルから提供される情報はそのままにすることをお勧めします。

注: ADFS で統合が設定されている場合は、このファイルの名前が若干異なる可能性があります (例: FederationMetadata.xml)。

表 1. metadata.xml ファイルから値が生成される IdP 設定文書内のフィールド

フィールド 説明

成果物解決サービス URL IBM Domino により、[製品] フィールドに指定した統合サービスの成果物 URL が生成されます。
たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のような成果物 URL が生成されます。https://tfim.renovations.com/FIM/sps/samlTAM20/soap

シングルサインオンサービス URL インポートされた XML ファイル内のデータが使用可能な場合は、IBM Domino により、[製品] フィールドに指定した統合サービスのログイン URL が生成されます。
たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のようなログイン URL が生成されます。https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial
注: このフィールドの値は、IdP に対して期待される URL のサブセットとなります。必要に応じて、Domino サーバーによって完全な URL が生成されます。

署名 X.509 証明書 IBM Domino により、ファイルから証明書がインポートされます。

暗号化 X.509 証明書 IBM Domino により、ファイルから証明書がインポートされます。
注: このフィールドが表示されるのは、[タイプ] フィールドが [SAML 2.0] に設定されている場合のみです。

プロトコルサポート列挙 IBM Domino により、[タイプ] フィールドに指定された SAML リリース用のプロトコルを指定する文字列が生成されます。これらのプロトコルは、指定された IdP でもサポートされます。この文字列は認証 URL の一部となります。認証 URL は、サービスプロバイダとなる IBM Domino によって、この設定文書で指定された IdP に提供されます。
例: url.oasis.names.tc:SAML:2.0:protocol

11. [クライアント設定] タブで、次のサブステップをすべて実行します。

この IdP 文書が、Windows™ シングルサインオン (SPNEGO/Kerberos) ユーザー認証を使用する IdP に対応する場合は、

[Windows シングルサインオンの有効化]

の設定を [はい] のままにします。このフィールドは、Notes クライアントの統合ログインに必要です。これにより、IBM Domino が Notes クライアントの組み込みブラウザのセットアップ方法を認識できるようになります。

詳しくは、IBM Notes/Domino Wiki で、統合 Windows 認証 (IWA) 用に ADFS をセットアップする方法に関する記事を検索してください。関連トピックの IBM 技術情報 #1614543 には、このような全記事へのリンクが記載される予定です。

[信頼されたサイト]

フィールドに、

[基本]

タブに設定したホスト名とは異なる、信頼された ID プロバイダ (IdP) の Web ホスト名をリストします。各エントリはセミコロンまたは戻り文字で区切ってください。

c. Notes クライアントの組み込みブラウザで、ログインシーケンス中に IdP でアクセスされる URL を SSL で保護することが必要な場合は、[SSL の強制] フィールドの設定を [はい] のままにします。

12. SAML 2.0 を使用していて、なおかつ IdP で使用する証明書を IBM Domino からエクスポートする必要がある場合は、[証明書管理] タブで次のサブステップをすべて実行します。

[会社名]

フィールドに、エクスポートされる Domino メタデータファイル (

idp.xml)

内の証明書を識別する名前を入力します。管理者にとって便利な文字列を使用します。

Domino サーバーを示す名前 (例:

Domino US Renovations

) を使用することも、Domino サーバー上の特定のインターネットサイト設定を表す場合は仮想名 (例:

Domino East Coast US Renovations

) を使用することもできます。

ヒント: この名前は、実際の IdP 設定に含まれるものと一致する必要はありません。ただし、この文字列は idp.xml ファイルの構文と互換性がなければなりません。つまり、不等号括弧 (< または >) などの文字を含めることはできません。

[証明書の作成]

をクリックします。プロンプトが出されたら、文書を保存してタブに戻り、このボタンをもう一度クリックします。

IBM Domino は証明書の作成時に、[会社名] フィールドに指定した文字列の前に「CN=」を付加し、この名前を証明書の内容として使用します。メタデータファイルがインポートされると、この名前は IdP 構成で表示されるようになります。

[Domino URL]

フィールドに、Domino サーバーの URL 内で完全修飾 DNS 名を識別する文字列を入力します。

たとえば、次のように入力します。

https://your_SAML_service_provider_hostname

このフィールドに指定した文字列は URL の最初の部分となり、IdP がユーザーの SAML アサーションを IBM Domino に送信する際に使用されます。

注: IBM Domino で SSL を設定せずに、IdP に TFIM を使用する場合、この設定には https ではなく http が含まれます (例: http://domino1.us.renovations.com)。

注: [基本] タブの [サービスプロバイダ ID] フィールドに入力した文字列を使用できます。

IdP が URL を必要とする場合 (ご使用の統合が Tivoli Federated Identity Manager (TFIM 2.0) の場合など) は、

[シングルログアウト URL]

フィールドに URL を入力します。SAML 2.0 が設定された TFIM IdP では、IBM Domino が現在 SAML 2.0 シングルログアウト機能を実装していない場合でも、IdP と Domino メタデータファイルにシングルログアウト URL を指定する必要があります。

ログアウト URL の例を次に示します。

https://your_tfim_server.com/sps/samlTAM20/saml20

13. フォームの先頭にある [XML のエクスポート] ボタンをクリックして、作成した idp.xml ファイルを文書の添付ファイルとして保存します。

注:

このボタンが表示されるのは、以前に作成した

idp.xml

ファイルがまだ添付されていない場合のみです。

14. IdP 設定文書を保存して閉じます。

次のタスク

インターネットサイト文書を使用する場合は、その文書に関連するトピックの手順に従って、SAML を有効化し、優先されるセッション Cookie を指定します。

注: 後でインターネットサイト文書で認証タイプを変更して SAML を削除した場合、その変更を有効にして SAML を無効化するには、この IdP 設定文書を無効化または削除する必要があります。

親トピック: IBM Domino で SAML を設定する
次のトピック: Domino メタデータファイルの手動作成

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィールド	説明
成果物解決サービス URL	IBM Domino により、[製品] フィールドに指定した統合サービスの成果物 URL が生成されます。たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のような成果物 URL が生成されます。`https://tfim.renovations.com/FIM/sps/samlTAM20/soap`
シングルサインオンサービス URL	インポートされた XML ファイル内のデータが使用可能な場合は、IBM Domino により、[製品] フィールドに指定した統合サービスのログイン URL が生成されます。たとえば、Renovations 組織が TFIM、SAML 2.0、SSL を使用している場合は、次のようなログイン URL が生成されます。`https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial` 注: このフィールドの値は、IdP に対して期待される URL のサブセットとなります。必要に応じて、Domino サーバーによって完全な URL が生成されます。
署名 X.509 証明書	IBM Domino により、ファイルから証明書がインポートされます。
暗号化 X.509 証明書	IBM Domino により、ファイルから証明書がインポートされます。注: このフィールドが表示されるのは、[タイプ] フィールドが [SAML 2.0] に設定されている場合のみです。
プロトコルサポート列挙	IBM Domino により、[タイプ] フィールドに指定された SAML リリース用のプロトコルを指定する文字列が生成されます。これらのプロトコルは、指定された IdP でもサポートされます。この文字列は認証 URL の一部となります。認証 URL は、サービスプロバイダとなる IBM Domino によって、この設定文書で指定された IdP に提供されます。例: `url.oasis.names.tc:SAML:2.0:protocol`