SAML アサーションを暗号化するための証明書を手動で生成する

Domino® server.id ファイルにパスワードがある場合は、管理者が SAML メタデータファイルと証明書ファイルを手動で作成する必要があります。IdP カタログアプリケーションの [SP 証明書の作成] ボタンは使用できません。サーバー ID ファイルに既に存在するインターネット証明書を使用して SAML アサーションを検証する予定の場合も、メタデータファイルを手動で作成する必要があります。

このタスクについて

注: AuthnRequest を使用するように SAML を設定している場合、サーバー ID ファイルがパスワードで保護されていると、この手順を使用できません。回避策として、SAML アサーションを暗号化するための証明書を自動的に生成する で説明するように、パスワードで保護されたサーバー ID ファイルを使用せずに、IdP 設定文書の [SP 証明書の作成] ボタンを使用します。その後、サーバー ID のパスワードを再設定してください。

手順

  1. Domino® サーバーの NOTES.INI ファイルを編集して、以下の必要な設定を入力します。
    SAMLAuthVersion=value

    ここで、それぞれの値は次のとおりです。

    1 - SAML 1.1 の場合

    2 - SAML 2.0 の場合

    SAMLUrl=https://your_SAML_service_provider_hostname
    例えば、 https://domino1.us.renovations.com
    注: Domino® サーバーで TLS を有効にしない場合は (ADFS IdP では必須)、この URL の先頭を https ではなく、http にする必要があります (例: http://domino1.us.renovations.com)。
    SAMLSloUrl=https://iti-ws2.renovations.com/sps/samlTAM20/saml20

    ご使用の統合でログアウト URL が必要ないか、サポートされていない場合でも、前述の例のような URL を入力して、エクスポートするメタデータが正しい構文になるようにしてください。

  2. サーバー ID ファイルに使用可能なインターネット証明書が既に含まれている場合は、この手順はオプションです。Domino® サーバー上の Domino® サーバーコンソールで、次のコマンドを入力して証明書を作成します。会社名が複数の単語から成る場合は、次の例のように、名前を引用符 (") で囲みます。
    certmgmt create saml [overwrite][company "Renovations Home Improvement"]
    注: 会社名を指定しない場合、デフォルトで SAML Signing が使用されます。
  3. certmgmt create saml コマンドを発行したら、コンソールに表示されるパブリックキーのハッシュを書き留めます。public key hash= の後に続く文字列がキーです。次の例では、キーは以下のものです。 v6i9TOz7zP9GBCXxtrz+KA== 
    Certificate created, public key hash=v6i9TOz7zP9GBCXxtrz+KA==
  4. Domino® サーバーの NOTES.INI ファイルをもう一度編集して、手順 3 で書き留めたハッシュキーを使用し、以下の必要な設定を入力します。
    SAMLPublicKeyHash=your_hash_key
    ヒント: 例えば、前の手順を実行した管理者ではないなどの理由で、ハッシュキーを控えていない場合や、既存の別の証明書を使用したい場合は、CERTMGMT SHOW ALL コマンドを使用してキーを表示することができます。
  5. 管理者が使いやすい文字列を使用して、以下の NOTES.INI の設定を入力します。
    SAMLCompanyName=your_organization_name
    your_organization_name に入力するテキストは、手順 2 で証明書を作成したとき (certmgmt create saml) に指定した会社名と一致している必要があります。または、your_organization_name に、CERTMGMT SHOW ALL コマンドの発行時に表示されるサブジェクト名を指定することもできます。手順 2 で会社名を指定しなかった場合は、SAMLCompanyName の値として SAML Signing を使用してください。例えば、次のように指定します。
    SAMLCompanyName=SAML Signing
  6. 次のコマンドを入力してメタデータ .XML ファイルを生成し、統合にインポートします。 
    certmgmt export saml xml filename.xml
  7. エクスポートした証明書ファイルを、設定中の IdP 設定文書へのインポートに使用できる場所にコピーします。
  8. 適切な IdP 設定文書を開きます。[証明書管理] タブの [証明書管理設定] で、前のステップで使用したパブリックキーのハッシュをコピーして [証明書パブリックキーのハッシュ値 (ベース 64)] フィールドに貼り付けます。

次のタスク

Web サーバー IdP 設定または ID ボールトサーバー IdP 設定を idp.xml にエクスポートします。