1. Notes 統合ログインのための ID ボールトとセキュリティポリシーをデプロイする
IBM Domino の ID ボールトと セキュリティポリシーがまだ存在しない場合は、ボールト管理者が Notes クライアントユーザーの統合ログインをサポートするボールトと、このようなユーザーに適用するセキュリティポリシーを作成します。統合ログインを設定するための次のタスクを完了する前に、管理者がテストユーザーとしてログインして、ボールトのデプロイメントをテストすることもお勧めします。
2. SAML ID プロバイダと統合を設定する
組織が IBM Domino と IBM Notes の ID プロバイダとして Microsoft™ ADFS を使用するか IBM® Tivoli® Federated Identity Manager (TFIM) を使用するかを決定したら、Notes 統合ログインで SAML 認証をサポートするように TFIM 統合または ADFS Relying Party Trust を設定するための手順をすべて実行してください。実行する必要のあるタスクには、SAML 統合の作成や、メタデータファイルへの IdP 情報のエクスポートなどがあります。
3. Domino ID ボールトサーバーが Notes 統合ログインをサポートできるようにする
IBM Domino 管理者は、IdP カタログ (idpcat.nsf) アプリケーションの IdP 設定文書で Notes 統合ログインに関する SAML 構成設定を指定します。
4. Notes 統合ログイン用の ID ボールトを設定する
IBM Domino ID ボールト管理者は、ボールトをセットアップして、SAML ID プロバイダ (IdP) の IdP カタログ文書の名前を指定します。
5. セキュリティ設定ポリシーを使用して Notes 統合ログイン設定をクライアントユーザーに適用する
SAML ベースの統合ログインを Domino サーバーと ID プロバイダ (IdP) 上で設定したら、セキュリティポリシーでその統合ログインの使用を Notes クライアントユーザーに割り当てることができます。
6. IBM Notes 統合ログインと IBM Notes 共有ログインを組み合わせてオフラインユーザーをサポートする (Windows のみ)
Notes クライアントに Windows™ を使用している組織では、IBM Notes 統合ログインと IBM Notes 共有ログイン機能を組み合わせて設定できます。IBM Notes 共有ログイン機能では、IBM Notes ユーザーが、ID ファイルのパスワードの入力を求められません。この機能は、Notes クライアントがオフラインで動作するときに必要です。IBM Notes 統合ログイン機能は、Notes クライアントの ID ファイルがデスクトップにない状況において、SAML 認証を使用してボールトからユーザーの ID ファイルを取得できるようにします (Notes クライアントのオフラインでの動作時に SAML 認証を実現する必要があります)。
7. クライアントユーザーに対する SAML とログアウトに関する注意
IBM Domino と IBM Notes では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、 IBM Notes と IBM Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。