Windows シングルサインオン環境に DSAPI フィルタをデプロイする場合の考慮事項

Web クライアント用の Windows シングルサインオンは、HCL Domino® Web サーバーのカスタマイズと組み合わせて使用することができます。DSAPI (Domino® web server application programming interface) は、Domino® Web サーバーにユーザー独自の拡張を記述できる C API で、この拡張 (フィルタなど) を行うことにより、Web サーバーの動作をカスタマイズすることができます。

例えば、DSAPI フィルタを記述して、Web ユーザーにカスタムな認証を提供することができます。Web クライアント用の Windows シングルサインオンの場合、DSAPI フィルタをインストールする必要はなく、フィルタのインストールに依存することもありません。ただし、一部の DSAPI フィルタについては、Domino® サーバー (または Domino® サーバー上の特定の Web サイト) で Windows シングルサインオンが無効になっている場合、適切にデプロイすることはできません。

DSAPI 認証のカスタマイズと Web クライアント用の Windows シングルサインオンを組み合わせる方法が一般的ですが、あるサーバーの URL に対してアクセスを規制し、別のサーバーの URL に対しては標準の Domino® 認証後にアクセスを許可する、などのように DSAPI フィルタを使用することもできます。特定の URL に対するアクセスを規制するため、DSAPI フィルタによってカスタムログイン処理が補助的に実行される場合があります。この場合、サードパーティシステムの呼び出しを行ってユーザーを確認し、必要となる追加の資格情報が作成されることになります。この場合、Web クライアント用の Windows シングルサインオンが設定された環境内で DSAPI フィルタを正しく実行するためには、認証処理に必要となるすべてのケース (アプリケーションのログインページの表示やログイン入力の処理など) を DSAPI フィルで処理する必要があります。ユーザー認証を DSAPI フィルタによって適切に処理できれば、Domino® によるユーザー認証は不要になり、Windows シングルサインオンも実行されません。

一部の DSAPI 認証フィルタの場合、Web クライアント用の Windows シングルサインオンではサポートされません。Windows シングルサインオン環境のユーザーの場合、Domino® のログインページは表示されないため、ユーザー名とパスワードを収集する Domino® のログインページに依存する DSAPI フィルタはサポートされません。また、基本の認証ヘッダーで指定された Web サーバーに送信されるユーザー名とパスワードに DSAPI フィルタが依存する場合も、DSAPI フィルタはサポートされません。さらに、Domino® を拡張して SPNEGO プロトコルを提供する DSAPI フィルタは、Web クライアント用の Windows シングルサインオンが有効になっている場合はサポートされません。これは、Windows シングルサインオンを処理する Domino に対して干渉が発生するためです。Web クライアント用の Windows シングルサインオンとは互換性のない DSAPI フィルタを継続して使用する場合は、Web クライアント用の Windows シングルサインオンが有効になっている Web サイトとは別の Web サイトに、現在の非互換の DSAPI フィルタをデプロイする必要があります。