SAML アサーションを暗号化するための証明書を自動的に生成する
SAML アサーションの暗号化に使用する証明書を IdP 設定文書から自動的に生成できます。
このタスクについて
Domino からの SAML アサーションを暗号化するサーバーから証明書を作成します。証明書作成の手順では、エージェントを実行して、ボタンをクリックした先のサーバーのサーバー ID 内に新しい証明書を作成します。使用する idpcat.nsf のレプリカが、新しい証明書を追加するサーバー ID のサーバー上にあることを確認してください。Web を使用する基本 SAML 認証の場合は、Domino Web サーバー上の idpcat.nsf レプリカに接続します。
ID ボールトで Notes ID にアクセスできる Web ユーザー (Web 統合ログイン) の場合は、2 つの idpcat.nsf 文書が必要です。1 つ目は、メール・サーバーに対する SAML 認証用の文書です。この文書は、メール・サーバー上の idpcat.nsf レプリカを開きます。2 つ目の idpcat 文書は、セキュアなメール操作を可能にする ID ボールトにアクセスするための文書です。この文書は、ID ボールト・サーバー上の idpcat.nsf を開きます。
Notes ユーザー (Notes 統合ログイン) の場合、ID ボールトサーバーから証明書を作成します。
この手順は、サーバー ID ファイルがパスワードで保護されていない場合や、サーバー ID ファイルに新しいインターネット証明書を作成する場合に使用できます。それ以外の場合は、手順に従って手動で証明書を生成します。
このタスクを完了するには、[フルアクセスアドミニストレーター] > [管理者] > [制限なしで署名または実行] で、サーバー文書に自分の名前がリストされている (あるいはグループに属している) 必要があります。
手順
- idpcat.nsf の Web サーバー IdP 設定文書または ID ボールトサーバー IdP 設定文書を開きます。これは、証明書を生成するサーバー上で開きます。
- [証明書管理] タブをクリックします。
-
[SP 証明書の作成] をクリックします。[会社証明書の作成] プロンプトで、会社名を入力し、[OK] をクリックして、その名前を [会社名] フィールドに追加します。
証明書を作成するときに、IBM Domino® は [会社名] フィールドの文字列の前に「CN=」を付加し、この名前を証明書の所有者として使用します。メタデータファイルがインポートされると、この名前は IdP 構成で表示されるようになります。
-
[Domino URL] フィールドに、Domino® サーバーの URL 内で完全修飾 DNS 名を示す文字列を入力します。
たとえば、次のように入力します。
このフィールドの文字列は、ユーザーの SAML アサーションを IBM Domino® に返送するための URL の先頭部分として IdP で使用されます。https://your_SAML_service_provider_hostname注: このホスト名にvaultが含まれることはありません。それが [基本] タブの [サービスプロバイダ ID] に含まれている場合でも同じです。注: 通常は、[基本] タブの [サービスプロバイダ ID] フィールドに入力した文字列を使用できます。ただし、 Notes® 統合ログインと iNotes® Web 統合ログインの両方で使用される ID ボールトのパートナーシップを設定する場合は、その代わりとして、iNotes® サーバーの Web アドレス (DNS ホスト名、またはインターネットサイト名) の完全修飾 DNS 名を URL に使用します。例:https://dom1.renovations.com。