Web クライアント環境用の Windows シングルサインオンにマッピングするユーザー名を設定する

Web クライアント用の Windows シングルサインオンに参加する Web ユーザーの場合、Active Directory にアカウントが設定されています。また、Domino® ディレクトリにもユーザー文書が格納されています。ユーザー名のマップを設定すると、両方のディレクトリで検索されたユーザー名を HCL Domino® サーバーによって比較することができます。

ユーザー名のマッピングには、次の 3 つの目的があります。Domino® サーバーが特定のユーザーの LDAP 識別名を Active Directory で検出し、さらにこのユーザーの HCL Notes® 識別名 (DN) を Domino® ディレクトリで検出した場合、この 2 つの名前が同一のユーザーの名前であることがわかります。これが第 1 の目的です。サーバーは、ユーザーの Active Directory のユーザーアカウントにある mail 属性値がユーザー文書のインターネットアドレスの値と一致することを確認して、これら 2 つの名前をリンクします。

第 2 の目的として、ユーザーの Notes® 識別名を判別する際に、名前のマッピングが必要になる場合があります。Domino® ディレクトリの代わりに Active Directory を排他的に使用するサーバーが存在する SSO 環境の場合、ユーザーの LTPA トークンにはこのユーザーの Active Directory の識別名が定義されます。例えば、ユーザーのリポジトリに対して Active Directory を使用するように IBM® WebSphere® アプリケーションサーバー サーバーを設定する場合があります。この環境では通常、LTPA トークンには Web ユーザーの Active Directory 識別名が含まれます。通常、Domino® データベースの ACL は Web ユーザーの Notes® 識別名を参照するため、LTPA トークン内の Active Directory 識別名を Notes® 識別名にマップして、Domino® サーバーのデーベースに対する Web ユーザーのアクセス権をサーバーが判別できるようにする必要があります。WebSphere® から取得した SSO キーではなく、ユーザーの Notes® 識別名 (Domino® SSO キーが使用される場合のデフォルト) が LTPA トークンに定義されるように設定している場合、この手順は必要ありません。

Windows シングルサインオンが使用できず、SSO ドメイン内のサーバーに接続する際に Web ユーザーが最初にログオンする必要がある場合、どのディレクトリを使用してユーザーのパスワードを確認するかを、ユーザー名のマッピングによって指定することができます。これが第 3 の目的です。以下の場合、Windows シングルサインオンは使用できません。

  • インターネット経由で Web クライアントが接続している場合
  • イントラネット経由で Web クライアントが接続しているが、Windows シングルサインオンが設定されていない場合
  • イントラネット経由で Web クライアントが接続し、Windows シングルサインオンを使用するよう設定されているが、Active Directory ドメインにログオンしていない場合
  • Web クライアントが Domino® Web サーバーコンピュータ上で動作している場合

名前のマッピングの設定方法

ユーザー名のマッピングを設定する方法は、Active Directory と Domino® ディレクトリの主にどちらでユーザーを管理しているかによって異なります。変更や保守管理が容易なのはどちらのディレクトリなのかを検討する必要があります。インターネットユーザーの認証に別の認証アプリケーションを使用すると、ディレクトリの変更を最小限に抑えることができます。