SAML の Domino 前提条件を満たす

SAML で必要になる以下の Domino 設定を完了してください。

ディレクトリ名のマッピング (ADFS のみ)

Active Directory mail 属性のユーザーアドレスが Domino ディレクトリユーザー文書にある [インターネットアドレス] フィールドのアドレスと同じである場合、追加のディレクトリ設定は必要ありません。そうでない場合、altSecurityIdentities などの Active Directory 属性に Notes 識別名を追加する必要があります。次に、その属性を使用して Active Directory の名前に Domino 名をマップするようにディレクトリアシスタントを設定します。詳しくは、リモート LDAP ディレクトリで Notes 識別名を使用するを参照してください。

シングルサインオン

ユーザーが複数の Domino サーバーにアクセスする場合や、WebSphere サーバーと Domino サーバーにアクセスする場合には、シングルサインオンが必要です。SAML 認証を設定する前に、シングルサインオンを設定し、それが機能することをテストします。単一サーバーセッション認証ではなく複数サーバーセッション認証を使用するのがベストプラクティスです。詳しくは、複数サーバーのセッションベースの認証 (シングルサインオン)を参照してください。

SSL 証明書

Domino と IdP の間に HTTPS 接続が必要である場合は (ADFS の場合と同様)、Domino サーバーに SSL 証明書を有効にしたキーリングファイルを設定します。証明書は、自己署名ではなく証明機関 (CA) から生成する必要があります。現在のブラウザのほとんどは、自己署名証明書をサポートしていません。詳しくは、自己署名証明書またはサードパーティの証明書を使用してキーリングファイルを作成するを参照してください。
注: Notes 統合ログインのみを使用し、基本的な Web SAML 認証や Web 統合ログインを使用しない場合は、Domino サーバーに SSL 証明書は必要ありません。Notes 統合ログインでは、Notes クライアントも ADFS サーバーも、HTTPS 経由で Domino サーバーに接続しません。

ID ボールト

Web 統合ログインや Notes 統合ログインの場合、ID ボールトをセットアップする必要があり、参加するユーザーはボールトに ID を持っている必要があります。セキュリティポリシー設定によって、ユーザーをボールトに割り当てるようにしてください。詳しくは、ユーザーをボールトに対応づけるを参照してください。

iNotes でボールトを使用できるようにしてください。iNotes ユーザーの ID ファイルがボールトにアップロードされているかどうかを確認するには、ボールト管理者が ID ボールトアプリケーションを開き、ボールトユーザーのビューにそのユーザーの名前が表示されているかどうかを調べます。詳しくは、ID をデータベースに保存してボールトを使用するプログラムを有効にするを参照してください。

Notes クライアントのユーザーは、自分の ID がボールトにあることを確認できます。そのためには、[ファイル] > [セキュリティ] > [ユーザーセキュリティ] をクリックし、[この ID ファイルはボールトにバックアップされました] が表示されていることを確認します。
[この ID ファイルはボールトにバックアップされました] 設定

セキュリティ設定

以下のセキュリティ設定を構成します。
  • サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。
  • Notes® クライアントパスワードとインターネットパスワードとの同期など、SAML ユーザーに割り当てられたセキュリティポリシーで有効になっている Web パスワード管理の設定をすべて無効にします。

Domino Web サーバーテスト (推奨)

SAML 構成には、Domino® 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino® Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino® HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを検討してください。これには、Web ユーザーとしてログインするための Domino® の設定作業が含まれます (例えば、Domino® サーバーのセットアップ時に Domino® ディレクトリに設定された Domino® 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino® ユーザーとしてログインすることができ、Domino® サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。

クロック同期

重要: SAML 認証にはタイムスタンプが含まれます。SAML IdP コンピュータと Domino® SAML サービスプロバイダコンピュータが同じ現在時刻の概念を共有できるように、これらのコンピュータのクロックを同期させてください。クロックの同期があまりにもずれていると、アサーションの時刻が無効なように見えるため、SAML アサーションが否認される可能性があります。IdP マシンの時刻が Domino® サーバーの時刻よりも進んでいる場合は特に問題です。アサーションが将来の時刻を指定するように見えるため、Domino® はこのアサーションを否認します。
クロックスキューを回避するための NOTES.INI 設定の詳細については、Notes/Domino Wiki の以下の記事を参照してください。