Active Directory パスワード同期
この機能は、Active Directory ドメインに登録されているユーザーの Windows パスワードを、Domino HTTP や Notes ID のパスワードに適用します。
Active Directory 情報が Domino に同期されているユーザーが Windows ドメインのパスワードを変更すると、Active Directory ドメイン・コントローラーでインストールされ実行される Domino パスワード・フィルターによってパスワード変更要求が作成されます。Domino パスワード・フィルターは、要求プロセッサーとして指定されたドメイン内の Domino サーバーに要求をプッシュします。要求プロセッサーは、ユーザーの HTTP パスワード、ID ボールト内の Notes ID パスワード、または両方のパスワードに新しいパスワードを適用することで、パスワード変更要求を処理します。
この機能は主に、SAML 認証を使用しない環境で、Notes ID のロックを解除し、Active Directory パスワードを適用したい場合に役立ちます。例えば、HCL Nomad モバイル・ユーザーは、Active Directory ドメイン・コントローラーに接続できない切断されたオフライン・ユーザーと同様に、この機能を利用できます。
この機能を使用するには、Active Directory からパスワードを抽出して、ボールト内の Notes の ID にパスワードを再適用する機能が必要です。Microsoft は、まさにこの目的のために API 呼び出しを提供しています。この API は、Active Directory ドメイン・コントローラーにインストールされているソフトウェアからのみ使用できます。そのため、この機能のために Domino がインストールされています。
- HTTP パスワードまたは Notes ID を使用して Domino サーバーにアクセスする HCL Notes、HCL Nomad、HCL Verse、HCL iNotes の登録ユーザー。
- Domino には登録されていないが、HTTP パスワードを使用して Domino Web アプリケーションにアクセスする際に使用する Domino ディレクトリーにユーザー文書のある Web ユーザー。
要件
- ディレクトリー同期は、ユーザーの Active Directory 情報がプライマリー Domino ディレクトリーに同期された状態で有効にする必要があります。
- パスワード変更を Domino に送信する各 Active Directory ドメイン・コントローラーに対して Domino サーバーを登録し、そのサーバーを Domino ユーティリティ・サーバーとしてドメイン・コントローラーにインストールする必要があります。これらのサーバーのサーバー ID は、Active Directory ドメイン・コントローラーでパスワード変更要求を作成、転送するために使用されます。初期セットアップ後に、Domino サーバーは Active Directory ドメイン・コントローラー上で実行されません。
- 複数の Active Directory ドメインから、1つのDominoドメインに変更を送信できます。ただし、1 つの Active Directory ドメインから、複数の Domino ドメインに変更を送信できません。
- Notes ID のパスワードを同期するには、ID が ID ボールトに含まれている必要があります。
- パスワードは、左かっこで始まるパスワードを除き、すべて同期できます。たとえば、
(mypasswordのようなパスワードは同期できません。パスワードが同期されているユーザーが、左かっこで始まるパスワードに変更しようとすると、Windows は要件を満たさないというエラーを表示し、変更は許可されません。
- Domino 12 では、Notes クライアントのシングル・ログオン機能は非推奨ですが、Notes 12 より前のクライアントで使用されている場合は、パスワード同期との互換性がありません。
- ユーザーが Notes を使用して Notes ID パスワードを変更した場合、または管理者が Notes ID パスワードをリセットした場合、新しいパスワードは、次回の Windows パスワード変更までパスワード同期によって変更された Windows パスワードを上書きします。