Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する

統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。

このタスクについて

SAML 認証を使用すると、指定された ID プロバイダ (IdP) でユーザー認証を一度行うだけで、その IdP とパートナーになっている任意のサーバーにアクセスできるようになります。Notes クライアントと Web クライアントのどちらのユーザーも SAML 認証を利用できます。認証は署名付きの XML ID アサーションに依存します。結果的にユーザーに対して透過認証とシングルサインオンが実現され、複数の Domino Web サーバーとアプリケーション、さらに IdP とパートナーになっているサードパーティ製アプリケーションに対してもワンタイム認証が適用されます。ワンタイム認証の方式は IdP によって決定されます。したがって、ユーザーにパスワードを求めるプロンプトが出される場合もあれば、イントラネット内のユーザーに対して非パスワード認証方式 (統合 Windows™ 認証 (SPNEGO/Kerberos) など) が使用される場合もあります。

組織が SAML 認証を使用するのは、次の 3 つの場合が考えられます。組織の必要に応じて、これらの設定のいずれか、すべてを行ってください。
  • Windows または Citrix の Notes クライアントユーザーの場合、通常、統合 Windows 認証 (IWA) 用に設定された IdP を使用することで、SAML 認証によってシングルサインオンソリューションが容易になります。Notes クライアント起動時の SAML 認証は、Notes統合ログインとも呼ばれます。なお、SAML の HTTP 部分は Notes クライアント内で処理されるため、HTTP サーバータスクを Domino ボールトサーバー上で実行する必要はありません。
  • HCLiNotes® ユーザーなど Web クライアントユーザーの場合も、SAML 認証を使用することでシングルサインオンソリューションが助長されます。このソリューションでは、ユーザーの ID ファイルが Notes ID ボールトからダウンロードされます。このタイプの SAML 認証は Web 統合ログインと呼ばれ、これにより、iNotes ユーザーはセキュアなメール操作を使用できます。
  • Web サーバー上の他のアプリケーションのユーザーの場合は、SAML ベースのシングルサインオンが、Domino で既に使用可能な別のシングルサインオン (SSO) 方式(マルチセッションサーバー認証) の代替手段となります。SAML は、ご使用の Domino 環境に含まれるサードパーティ製 Web アプリケーションのサービスにユーザーがアクセスする場合や、マルチセッションサーバー認証では組織にとって制限が多すぎる場合 (ターゲット環境が複数の DNS ドメイン間での SSO を必要とする場合など) に最も便利です。

管理者は、SAML 認証を使用するように Domino サーバーを設定することができます。それには、このサーバーを Microsoft Active Directory Federation Services (ADFS) などのオンプレミスの統合 ID サーバーのパートナーにします。ADFS サーバーが ID プロバイダ (IdP) になり、Domino サーバーが SAML 認証サービスのプロバイダとしてこの IdP に登録されます。

Domino は SAML 1.1 と SAML 2.0 の両方をサポートしていますが、選択した ID プロバイダによっては、使用する SAML バージョンを選べない場合があります。組織が SAML 1.1 を使用する具体的な理由がない限り、SAML 2.0 を使用することをお勧めします。特定のアプリケーションでシングルサインオンをサポートするために SAML 1.1 が必要であれば、SAML 1.1 を使用してください。

参加アプリケーションに必要な SAML のレベルに応じて、SAML をサポートする次の ID プロバイダが、Domino がパートナーとなる対象の統合として機能します。
表 1. ID プロバイダでサポートされる SAML バージョン
ID プロバイダ (IdP) SAML バージョン
IBM® Tivoli® Access Manager/Tivoli Federated Identity Manager (TAM/TFIM) SAML 1.1 または SAML 2.0
Microsoft™ Active Directory Federation Services (ADFS)。
以下のバージョンがサポートされています。
  • 2.0 (Windows Server 2008 R2 に搭載)
  • 3.0 (Windows Server 2012 R2 に搭載)
  • 4.0 (Windows Server 2016 に搭載)
 SAML 2.0 必須
注:

組織で RSS フィードを使用している場合は、SAML 認証を有効化すると RSS フィードで予期しない結果が生じる可能性があります。

互換性

次の表に、SAML が互換性を持たない、または部分的にしか互換性を持たないクライアント設定を示します。
表 2. SAML 統合ログインとの互換性を持たないクライアント設定
組織が使用するもの SAML が推奨されない理由
スマートカードで保護された ID スマートカードで保護された ID では、Notes 統合ログインに必要な ID ボールトを使用できないため、スマートカードで保護された ID を統合ログインのユーザー ID にすることはできません。
Notes ローミングユーザーであり、サーバー上のローミング用の個人アドレス帳に ID ファイルが格納されているユーザー。 ローミング用の個人アドレス帳に ID が格納されている Notes ローミングユーザーを統合ログインユーザーにすることはできません。ローミング用の個人アドレス帳に格納された Notes ID では、Notes 統合ログインに必要な ID ボールトを使用できないためです。
Notes (USB デバイス上) USB デバイス上の Notes では、Notes 統合ログインに必要な ID ボールトを使用できないため、USB デバイス上の Notes で統合ログインを使用することはできません。
Notes ユーザー ID (複数のパスワードを保有) 複数のパスワードを持つ ID では、Notes 統合ログインに必要な ID ボールトを使用できないため、複数のパスワードを持つ Notes ユーザー ID を統合ログインのユーザー ID にすることはできません。
Notes ユーザーに対するサーバーベースのパスワードチェック すべての Notes ユーザーを Notes 統合ログイン用に設定する場合は、サーバープラットフォーム上でこの機能を無効にしてください。非統合ログインユーザーに対してはパスワードチェックを強制できますが、統合ログインユーザーに対しては強制できません。
Notes クライアントとともにインストールされる Notes シングルログインコンポーネント この設定は、Notes 統合ログインではサポートされていません。
Notes Basic 版クライアント、Domino Administrator クライアント これらのクライアントは、Notes 統合ログインではサポートされていません。Notes Standard 版クライアントが必要です。

手順

以下のタスクを実行します。