SAML の Domino 前提条件を満たす

SAML で必要になる以下の Domino 設定を完了してください。

ディレクトリ名のマッピング (ADFS のみ)

Active Directory mail 属性のユーザーアドレスが Domino ディレクトリユーザー文書にある [インターネットアドレス] フィールドのアドレスと同じである場合、追加のディレクトリ設定は必要ありません。そうでない場合、altSecurityIdentities などの Active Directory 属性に Notes 識別名を追加する必要があります。次に、その属性を使用して Active Directory の名前に Domino 名をマップするようにディレクトリアシスタントを設定します。詳しくは、リモート LDAP ディレクトリで Notes 識別名を使用するを参照してください。

シングルサインオン

ユーザーが複数の Domino サーバーにアクセスする場合や、WebSphere サーバーと Domino サーバーにアクセスする場合には、シングルサインオンが必要です。SAML 認証を設定する前に、シングルサインオンを設定し、それが機能することをテストします。単一サーバーセッション認証ではなく複数サーバーセッション認証を使用するのがベストプラクティスです。詳しくは、複数サーバーのセッションベースの認証 (シングルサインオン)を参照してください。

SSL 証明書

Domino と IdP の間に HTTPS 接続が必要である場合は (ADFS の場合と同様)、Domino サーバーに SSL 証明書を有効にしたキーリングファイルを設定します。証明書は、自己署名ではなく証明機関 (CA) から生成する必要があります。現在のブラウザのほとんどは、自己署名証明書をサポートしていません。詳しくは、自己署名証明書またはサードパーティの証明書を使用してキーリングファイルを作成するを参照してください。
注: Notes 統合ログインのみを使用し、基本的な Web SAML 認証や Web 統合ログインを使用しない場合は、Domino サーバーに SSL 証明書は必要ありません。Notes 統合ログインでは、Notes クライアントも ADFS サーバーも、HTTPS 経由で Domino サーバーに接続しません。

ID ボールト

Web 統合ログインや Notes 統合ログインの場合、ID ボールトをセットアップする必要があり、参加するユーザーはボールトに ID を持っている必要があります。セキュリティポリシー設定によって、ユーザーをボールトに割り当てるようにしてください。詳しくは、ユーザーをボールトに対応づけるを参照してください。

iNotes でボールトを使用できるようにしてください。iNotes ユーザーの ID ファイルがボールトにアップロードされているかどうかを確認するには、ボールト管理者が ID ボールトアプリケーションを開き、ボールトユーザーのビューにそのユーザーの名前が表示されているかどうかを調べます。詳しくは、ID をデータベースに保存してボールトを使用するプログラムを有効にするを参照してください。

Notes クライアントのユーザーは、自分の ID がボールトにあることを確認できます。そのためには、[ファイル] > [セキュリティ] > [ユーザーセキュリティ] をクリックし、[この ID ファイルはボールトにバックアップされました] が表示されていることを確認します。
[この ID ファイルはボールトにバックアップされました] 設定

セキュリティ設定

以下のセキュリティ設定を構成します。
  • サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。
  • Notes クライアントパスワードとインターネットパスワードとの同期など、SAML ユーザーに割り当てられたセキュリティポリシーで有効になっている Web パスワード管理の設定をすべて無効にします。

Domino Web サーバーテスト (推奨)

SAML 構成には、Domino 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを検討してください。これには、Web ユーザーとしてログインするための Domino の設定作業が含まれます (例えば、Domino サーバーのセットアップ時に Domino ディレクトリに設定された Domino 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino ユーザーとしてログインすることができ、Domino サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。

クロック同期

重要: SAML 認証にはタイムスタンプが含まれます。SAML IdP コンピュータと Domino SAML サービスプロバイダコンピュータが同じ現在時刻の概念を共有できるように、これらのコンピュータのクロックを同期させてください。クロックの同期があまりにもずれていると、アサーションの時刻が無効なように見えるため、SAML アサーションが否認される可能性があります。IdP マシンの時刻が Domino サーバーの時刻よりも進んでいる場合は特に問題です。アサーションが将来の時刻を指定するように見えるため、Domino はこのアサーションを否認します。
クロックスキューを回避するための NOTES.INI 設定の詳細については、Notes/Domino Wiki の以下の記事を参照してください。