ID ボールトサーバー IdP 設定文書を作成する

この設定文書は、Notes 統合ログインと Web 統合ログインの両方に使用されます。

始める前に

IdP からエクスポートしたメタデータ .xml ファイル (例えば、FederationMetadata.xml) を、IdP 設定文書へのインポートに使用できる場所などに配置します。

手順

  1. idpcat.nsf を開きます。
  2. [IdP 構成の追加] をクリックして、新規構成文書を作成します。
  3. [XML ファイルのインポート] をクリックし、IdP からエクスポートしたメタデータ .xml ファイルを選択します。ADFS では、このファイル名は通常 FederationMetadata.xml です。
    .xml ファイルから以下の情報がインポートされます。
    表 1. metadata .xml ファイルから値が生成される IdP 設定文書のフィールド。
    フィールド 説明
    プロトコルバージョン 以下のいずれかです。
    • SAML 2.0
    • SAML 1.1
    • TFIM
    統合製品 以下のいずれかです。
    • AuthnRequest SAML 2.0 互換
    • ADFS
    • TFIM
    注: Authn は、SAML 2.0 で使用可能な標準の認証プロトコルです。IdP が Authn をサポートするように設定されている場合は、AuthnRequest SAML 2.0 互換を選択するのがベストプラクティスです。
    成果物解決サービス URL Domino® は、[統合製品] フィールドに指定された統合サービスの成果物 URL を生成します。

    例えば、Renovations という組織が TFIM、SAML 2.0、SSL を使用している場合、以下の成果物 URL が生成される可能性があります。https://tfim.renovations.com/FIM/sps/samlTAM20/soap

    シングルサインオンサービス URL インポートされた XML ファイルでこのデータを使用できる場合、Domino は [統合製品] フィールドに指定された統合サービスのログイン URL を生成します。

    例えば、Renovations という組織が TFIM、SAML 2.0、SSL を使用している場合、以下のログイン URL が生成される可能性があります。https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial

    注: このフィールドの値は、IdP の予期される URL のサブセットです。Domino サーバーは、必要に応じて完全な URL を生成します。
    署名 X.509 証明書 IBM Domino は、ファイルから証明書コードをインポートします。
    暗号化 X.509 証明書

    IBM Domino は、ファイルから証明書コードをインポートします。

    注: このフィールドは、[タイプ] フィールドが SAML 2.0 に設定されている場合にのみ表示されます。
    プロトコルサポート列挙 Domino は、[タイプ] フィールドに指定された SAML リリースのプロトコルのうち、指定された IdP でサポートされるプロトコルを示す文字列を生成します。この文字列は、この構成文書で指定された IdP に対するサービスプロバイダとして IBM Domino が提供する認証 URL の一部となります。

    例えば、url.oasis.names.tc:SAML:2.0:protocol

  4. [基本] タブの [ホスト名またはこのサイトにマップされたアドレス] フィールドに、ID ボールトサーバーの DNS ホスト名を文字列 vault. に続けて入力します。例えば、以下のようにします。
    vault.domino1.us.renovations.com
  5. [状態] に対して [無効] を選択します。これは、後で統合ログインを有効にするときに有効にします。
  6. [サービスプロバイダ ID] フィールドで、IdP のサービスプロバイダパートナーとして ID ボールトサーバーを識別する値を入力します。
    例: https://vault.domino1.us.renovations.com
    • この値は、正しく構成されている必要がありますが、HTTP 接続には使用されません。
    • SSL を使用している場合は (ADFS には必須)、URL に https: を指定します。
    • この値は、ID ボールトサーバーを識別するために作成する IdP 信頼または連携の値に一致する必要があります。例えば、ADFS では、この値は証明書利用者信頼の [証明書利用者信頼の識別子] ボックスに指定された値に一致する必要があります。
  7. [クライアント設定] タブで、Notes 統合ログインに関連する以下の手順を完了します。
    1. ADFS で統合 Windows 認証 (IWA) を使用している場合は、[Windows シングルサインオンの有効化] を [はい] に設定します。このフィールドは、Notes 統合ログインに必要です。これにより、Domino が Notes® クライアントの組み込みブラウザのセットアップ方法を認識できるようになります。
    2. [信頼されたサイト] フィールドに、[基本] タブに設定したホスト名とは異なる、信頼された ID プロバイダ (IdP) の Web ホスト名をリストします。各エントリはセミコロンまたは戻り文字で区切ってください。
    3. Notes クライアントの組み込みブラウザで、ログインシーケンス中に IdP でアクセスされる URL を SSL で保護することが必要な場合は、[SSL の強制] フィールドの設定を [はい] のままにします。
  8. IdP 構成文書を保存して閉じます。
  9. オプション: 機密データを保護するために SAML アサーションを暗号化する場合は、タスク「証明書を生成して SAML アサーションを暗号化する」を完了します。これをタスク「ID ボールトサーバー設定を .xml ファイルにエクスポートする」よりも先に完了して、証明書に idp.xml ファイルが含まれるようにします。