Active Directory Federation Services (ADFS) を準備する

IdP が Microsoft Active Directory Federation Services (ADFS) である場合は、以下の手順を完了して、Domino で ADFS を使用する準備を整えます。

このタスクについて

これらの手順は ADFS 4.0 に基づいており、それよりも古いバージョンを使用している場合には異なる手順になる可能性があります。

手順

  1. 以下の要件を満たしていることを確認してください。
    • 以下のいずれかの ADFS バージョンをインストールし、設定している。
      • 2.0 (Windows Server 2008 R2 に搭載)
      • 3.0 (Windows Server 2012 R2 に搭載)
      • 4.0 (Windows Server 2016 に搭載)
    • ADFS サーバー上の Secure Sockets Layer (SSL) 証明書に証明機関 (CA) の署名がある。CA ルート証明書がドメインポリシーによってクライアントにデプロイされる (ADFS ベストプラクティス)。
    • Active Directory 信頼関係が導入されている場合を除き、以下のコンポーネントが同じ Active Directory ドメインにあること。
      • ADFS サーバー
      • ユーザーレコード
      • ユーザーのログイン元のクライアントコンピュータ。(統合 Windows 認証のみ)
  2. ADFS サーバーが動作していることを確認します。手順については、Microsoft の記事「フェデレーションサーバーが正常に動作していることを確認する」を参照してください。
  3. https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx に移動し、ユーザーがログインできることをテストします。
    • [This page cannot be displayed] というエラーが表示された場合は、IdP サインオンページを有効にしてください。
      1. ADFS サーバーの Windows PowerShell で、以下のコマンドを実行します。 
        Get-AdfsProperties
      2. 出力で EnableIdpInitiatedSignonPage という行が False かどうかを確認します。 
        EnableIdpInitiatedSignonPage    :False
      3. この値が False の場合は、以下のコマンドを実行して、True に設定します。
        set-ADfsProperties -EnableIdPInitiatedSignonPage $true
      4. 次のコマンドを実行して、変更を確定します。 
        Get-AdfsProperties
      5. ADFS サービスを再開します。
  4. 以下の 2 つのフィールドのコンテンツが各ユーザーで一致していることを確認します。
    • Domino ディレクトリのユーザー文書の [インターネットアドレス] フィールド。
    • ユーザー ADFS プロパティボックスの [メール] フィールド。
  5. オプション: 統合 Windows 認証を使用する場合は、ブラウザーで有効しなければならない場合もあります。詳しくは、統合 Windows 認証用にブラウザを設定するを参照してください。
    注: ユーザーログイン名は、メールアドレスのように見えますが、同じものではありません。