複数サーバーのセッションベースの認証 (シングルサインオン)

シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino® サーバーや WebSphere® サーバーに、再度ログインすることなくアクセス可能になります。

このタスクについて

サーバーによって生成される認証トークンが Cookie としてサーバーに送信されるため、ユーザーの Web ブラウザでは、Cookie が有効になっている必要があります。

この設定は、次の手順を実行することにより行います。

  • ドメイン全体の設定文書 (Web SSO 設定文書) を Domino® ディレクトリ内に作成します。1 つの Domino® ドメインまたはディレクトリ内に、複数の Web SSO 設定文書を格納することもできます。インターネットサイトを使用している場合、各インターネットサイトに対して SSO 設定文書を作成することもできます (ただし、すべてのプロトコルがインターネットサイト設定に従うとは限りません)。
  • Web サイト文書またはサーバー文書内のセッションベース認証で [複数サーバー (SSO)] オプションを有効にします。

シングルサインオンは、複数の Domino® ドメインに渡って有効にできます。

SSO 機能を使用すると、ユーザーは混在環境でログインし、複数サーバーの使用を簡単に行えるようになります。SSO の設定をうまく行うには、次の注意事項に留意して Domino® 環境を設定してください。

一般的な注意事項

このタスクについて

  • SSO グループに参加しているすべてのサーバーは、インターネットアクセスの設定に同じメカニズムを使用する必要があります。すべてのサーバーがインターネットサイト文書を使用するか、すべてのサーバーがサーバー文書で設定したインターネットアクセスを行う必要があります。
  • 参加している SSO サーバーに適用される DNS ドメインは、SSO 設定文書の中で指定されます。シングルサインオンが有効なサーバーに発行する URL では、ホスト名や IP アドレスではなく、完全な DNS サーバー名を指定する必要があります。ブラウザからサーバーのグループに Cookie を送信できるようにするには、Cookie に DNS ドメインを含め (設定によってそのように指定されています)、Cookie 内の DNS ドメインがサーバーの URL に一致している必要があります。TCP/IP ドメイン上で Cookie を使用できないのは、このためです。
  • クラスタ化されたサーバーの場合は、Web サイト文書またはサーバー文書内の [ホスト名] フィールドに完全な DNS サーバー名を指定する必要があります。そうすれば、インターネットクラスタマネージャ (ICM) が SSO を使用してクラスタメンバーにリダイレクトできます。DNS サーバーのホスト名がそこで指定されていないと、ICM は TCP/IP ホスト名のみを持つクラスタ化された Web サーバーに URL をリダイレクトします (デフォルト時)。この場合、DNS ドメインが URL 内で指定されていないため、ICM は Cookie を送信できません。
  • サーバー文書でインターネットサイトを有効にすると、既存の SSO 設定はすべて自動的に無効になります。

WebSphere® issues

このタスクについて

  • WebSphere®Domino® を同じ LDAP ディレクトリに設定する必要はありませんが、WebSphere®Domino® が同じディレクトリを共有しない場合、複数 ID の問題への対処が必要になることがあります。
  • WebSphere は、Domino® LTPA トークンを使用できません。Domino®WebSphere® を同じ LTPA グループに含めるには、LTPA トークンを WebSphere® からエクスポートして Domino® にインポートする必要があります。
  • WebSphere® との相互運用性のために WebSphere® キーを Domino® SSO の設定にインポートした場合、SSO のアイドルタイムアウト値を設定できません。WebSphere® サーバーはアイドルタイムアウト値に従いません。
  • シングルサインオンに参加するユーザーのグループに、Domino® LDAP ディレクトリを使用する WebSphere® サーバーが含まれていると、該当するディレクトリで階層なしの名前を持つユーザーは SSO を使用できません (関連するサーバーがすべて Domino® の場合は、階層なしのユーザー名であっても SSO は正常に機能します)。