ホーム
保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
インターネット/イントラネットクライアントの名前とパスワードによる認証
基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
Web クライアントのセッションベースの名前とパスワードによる認証
Domino® Web サーバーに対するアクセス権を持つ Web クライアントの名前とパスワードによる認証を設定するには、「基本的な名前とパスワードによる認証」か「セッションベースの名前とパスワードによる認証」のいずれかの方法を使用します。セッションベースの名前とパスワードによる認証には、基本的な名前とパスワードによる認証では使用できない機能が含まれています。セッションとは、Web クライアントが Cookie を使用してサーバーにアクティブにログオンしている時間と定義されています。セッション認証の有効化と制御に関する設定を指定するには、システム設定に応じて Web サイト文書かサーバー文書を編集します。
セッション認証を無効にする
サーバーでセッションベースの認証を有効にすると、特定のインターネットサイトに基本認証を設定できます。この機能を利用するには、インターネットサイトの使用をサーバーで有効にする必要があります。

保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
- Domino のセキュリティの概要
  組織のセキュリティを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- SSL セキュリティー
  SSL (Secure Sockets Layer) は、TCP/IP プロトコル経由で実行する Domino® サーバータスクの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。
- クライアントの SSL と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
  - ID ボールトの Notes® ID パスワードでの Web ユーザーの認証
    サーバーにアクセスする Web ユーザーを認証するために、ID ボールトのパスワードを使用するように HCL Domino® を設定できます。
  - 基本的な名前とパスワードによる認証を設定する
    TCP と SSL の両方で、Web (HTTP)、IMAP、POP3、LDAP、SMTP インバウンド、IIOP といったすべてのインターネットプロトコルで基本的な名前とパスワードによる認証を使用できるようにするには、次の 3 つの手順を実行する必要があります。
  - Web クライアントのセッションベースの名前とパスワードによる認証
    Domino® Web サーバーに対するアクセス権を持つ Web クライアントの名前とパスワードによる認証を設定するには、「基本的な名前とパスワードによる認証」か「セッションベースの名前とパスワードによる認証」のいずれかの方法を使用します。セッションベースの名前とパスワードによる認証には、基本的な名前とパスワードによる認証では使用できない機能が含まれています。セッションとは、Web クライアントが Cookie を使用してサーバーにアクティブにログオンしている時間と定義されています。セッション認証の有効化と制御に関する設定を指定するには、システム設定に応じて Web サイト文書かサーバー文書を編集します。
    - セッションベースの名前とパスワードによる認証を設定する
      複数のステップ手順を実行してセッションベースの名前とパスワードによる認証を設定する。
    - HTML ログインフォームをカスタマイズする
      HCLDomino® ではデフォルト HTML ログインフォームが提供され、そこにユーザーの名前とパスワードを入力すると、その名前とパスワードをユーザーセッション全体に適用できます。Web ブラウザは、サーバーのキャラクタセットを使用して、そのサーバーにユーザーの名前とパスワードを送信します。そのため、ユーザーは、名前とパスワードを ASCII と Latin-1 以外のキャラクタセットで入力することができます。
    - セッション認証を無効にする
      サーバーでセッションベースの認証を有効にすると、特定のインターネットサイトに基本認証を設定できます。この機能を利用するには、インターネットサイトの使用をサーバーで有効にする必要があります。
  - インターネットクライアントの認証レベルを制御する
    Domino® ディレクトリや LDAP ディレクトリでユーザーを認証するとき、ユーザーがユーザー名とパスワードを提供したときに、HCLDomino での制限レベルを選択できます。これは、すべてのインターネットプロトコル (HTTP、LDAP、IMAP、POP3) に適用されます。
  - インターネットパスワードを管理する
    Domino® ディレクトリにユーザー文書が存在するユーザーに割り当てるインターネットパスワードを管理するには、セキュリティ設定ポリシー文書を使用します。インターネットパスワードのクオリティと長さを管理することもできますし、ユーザーが Web ブラウザを使用してインターネットパスワードを変更できるようにしたり、有効期限や変更間隔を制御することもできます。
  - インターネットとイントラネットの匿名アクセス
    匿名アクセスを設定すると、インターネットクライアントとイントラネットクライアントからサーバーにユーザー名を識別されることなくアクセスできます。これらのクライアントからのデータベースへのアクセスは、HCLDomino® によってログファイルや [ユーザーの使用状況] ダイアログボックスなどには記録されません。
  - インターネットクライアントとイントラネットクライアントの検証と認証
    名前とパスワードによるアクセスを設定し、インターネットとイントラネットのユーザーのユーザー文書を作成すると、Domino® は、ユーザーがアクセスが制限された動作を試みたとき、またはサーバー上で匿名アクセスが許可されていないときのいずれかの場合にユーザーの認証を行います。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を共有する
  このリリースでは、オンプレミス Domino® サーバーは資格情報ストアアプリケーション (credstore.nsf) を使用できます。資格情報ストアとは、IBM Notes® クライアントユーザーが OAuth (Open Authorization) プロトコルを使用するアプリケーションへのアクセスを許可するために必要な文書暗号キーやその他のトークンのためのセキュアなリポジトリです。OAuth はユーザーの資格情報を OAuth 準拠のアプリケーションで共有できるようにすることで、余分なパスワード入力を排除します。

セッション認証を無効にする

サーバーでセッションベースの認証を有効にすると、特定のインターネットサイトに基本認証を設定できます。この機能を利用するには、インターネットサイトの使用をサーバーで有効にする必要があります。

手順

Domino® Administrator で、セッション認証を上書きしたい Web サイト文書を選択し、[文書の編集] をクリックします。
[Web サイト] > [ルールの作成] をクリックします。
[基本] タブで次の操作を行います。
1. [ルールの種類]で、[セッション認証の上書き] を選択します。
2. サイトの受信 URL パターンを指定します。
3. 現在の Web サイト文書の [Domino Web Engine] タブで、[セッション認証を上書きするときにセッションクッキーを生成する] に [はい] か [いいえ] を選択します。