Web サーバー IdP 設定文書を作成する

SAML 認証に参加する Web サーバーの IdP 設定文書を作成します。

始める前に

IdP からエクスポートしたメタデータ .xml ファイル (例えば、FederationMetadata.xml) を、IdP 設定文書へのインポートに使用できる場所などに配置します。
注: 例えば、ID ボールトによる統合ログイン用に別の IdP 設定文書を作成する場合は、ファイルのバックアップコピーを作成します。その IdP 設定文書に .xml ファイルをインポートすると、.xml ファイルはローカルシステムから削除されます。

このタスクについて

Web サーバーがロードバランサや IP スプレーヤの背後にある場合は、Web サーバー IdP 設定文書を 1 つ作成します。IdP がロードバランサまたは IP スプレーヤに接続します。Web サーバーがロードバランサや IP スプレーヤの背後にない場合は、Web サーバーごとに個別の IdP 設定文書を作成します。

手順

  1. idpcat.nsf を開きます。
  2. [IdP 構成の追加] をクリックして、新規構成文書を作成します。
  3. [XML ファイルのインポート] をクリックし、IdP からエクスポートしたメタデータ .xml ファイルを選択します。ADFS では、このファイル名は通常 FederationMetadata.xml です。
    .xml ファイルから以下の情報がインポートされます。
    1. metadata.xml ファイルから値が生成される IdP 設定文書のフィールド。
    フィールド 説明
    プロトコルバージョン 以下のいずれかです。
    • SAML 2.0
    • SAML 1.1
    統合製品 以下のいずれかです。
    • AuthnRequest SAML 2.0 互換
    • ADFS
    注: Authn は、SAML 2.0 で使用可能な標準の認証プロトコルです。IdP が Authn をサポートするように設定されている場合は、AuthnRequest SAML 2.0 互換を選択するのがベストプラクティスです。
    成果物解決サービス URL

    Domino® は、[統合製品] フィールドに指定された統合サービスの成果物 URL を生成します。

    [XML ファイルのインポート] ボタンをクリックしたとき、このフィールドの Web アドレス (URL) が作成されます。これは、受信する要求が IdP との認証のためにリダイレクトされる先の URL です。

    このテキストは変更しないでください。ただし、フォームのインポートに使用できないメタデータ XML ファイルで作業している場合は、テキストをこのフィールドにコピーして貼り付けます。

    シングルサインオンサービス URL インポートされた XML ファイルでこのデータを使用できる場合、Domino®[統合製品] フィールドに指定された統合サービスのログイン URL を生成します。例えば、ADFS では次のようになります。 https://adfs.renovations.com/adfs/ls/IdpInitiatedSignOn.aspx
    注: このフィールドの値は、IdP の予期される URL のサブセットです。Domino® サーバーは、必要に応じて完全な URL を生成します。
    署名 X.509 証明書 IBM Domino® は、ファイルから証明書コードをインポートします。
    暗号化 X.509 証明書

    IBM Domino® は、ファイルから証明書コードをインポートします。

    注: このフィールドは、[タイプ] フィールドが SAML 2.0 に設定されている場合にのみ表示されます。
    プロトコルサポート列挙 Domino® は、[タイプ] フィールドに指定された SAML リリースのプロトコルのうち、指定された IdP でサポートされるプロトコルを示す文字列を生成します。この文字列は、この構成文書で指定された IdP に対するサービスプロバイダとして IBM Domino® が提供する認証 URL の一部となります。

    例えば、url.oasis.names.tc:SAML:2.0:protocol
  4. [基本] タブ > [ホスト名またはこのサイトにマップされたアドレス] フィールドで、Web サーバーの DNS ホスト名を 1 つ以上設定します。
    制約事項: Domino Web サーバーが TLS を使用している場合は、各ホスト名の後に、IP アドレスをセミコロンで区切って指定する必要があります。
    重要: ここに入力するホスト名は、サーバー文書の [インターネットプロトコル/HTTP] タブの [ホスト名] フィールド、またはインターネットサイト (Web サイト) 文書の [ホスト名またはこのサイトにマップされたアドレス] フィールドに入力した内容と一致していなければなりません。

    例えば、「mail01.us.renovations.com;n.nn.nnn.n」と入力します。

    ロードバランサを使用してサーバー間に要求を分散させた場合は、ターゲット Web サーバーのホスト名および IP アドレスに加えて、ロードバランサのホスト名および IP アドレスも含めます。各サーバーをセミコロンで区切るか、または Enter を押します。例:

    mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n

  5. [状態] に対して [無効] を選択します。これは、後の手順「Domino で SAML 認証を有効にする」で有効にします。
  6. [サービスプロバイダ ID] フィールドに、IdP のサービスプロバイダパートナーとして Web サーバーを識別する値を入力します。
    • この値は、正しく構成された URL にする必要がありますが、HTTP 接続には使用されません。
    • TLS を使用している場合は (ADFS には必須)、URL に https: を指定します。
    • この値は、Web サーバーを識別するために作成する IdP 信頼または連携の値に一致する必要があります。例えば、ADFS では、この値は証明書利用者信頼の [証明書利用者信頼の識別子] ボックスに指定された値に一致する必要があります。
    例:https://mail.us.renovations.com
  7. [基本] タブの [IdP 名] フィールドで、Identity Provider の Web サイトを表す名前を入力します。ここでは、正確な名前を指定する必要はありません。管理上、都合のよい名前でかまいません。
  8. IdP 設定文書を保存して閉じます。IdP 設定文書が現在無効で、サービスプロバイダ URL を解決できないため、以下のメッセージが表示されます。[はい] をクリックして先へ進み、保存します。 
    有効な URL ではないか、DNS 名を解決できませんでした: <URL>. このまま保存しますか?
  9. オプション: 機密データを保護するために SAML アサーションを暗号化する場合は、タスク「証明書を生成して SAML アサーションを暗号化する」を完了します。これをタスク「Domino Web 設定を .xml ファイルにエクスポートする」よりも先に完了して、証明書に ServiceProvider.xml ファイルが含まれるようにします。