ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
IWA を有効にする (ADFS のみ)
統合 Windows 認証 (IWA) を使用した場合、Windows クライアント上のユーザーは、社内イントラネット上のサーバーにアクセスするときに、ADFS ログイン名とパスワードの入力が求められません。IWA は、基本 SAML 認証、Notes 統合ログイン、および Web 統合ログインで使用できます。
ADFS サービスプリンシパル名 (SPN) を作成する
ADFS で統合 Windows 認証 (IWA) を有効にするには、ADFS をログインアカウントに関連付けるサービスプリンシパル名 (SPN) を作成します。SPN により、クライアントはログインアカウント名がなくても認証を要求できます。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
  - SAML 認証を準備する
    Domino で SAML 認証を設定する前に、このセクションの手順を完了してください。
  - Web サーバーに対して基本 SAML 認証を設定する
    Web サーバーの基本 SAML 認証を使用すると、ブラウザー・クライアントは SAML で認証を行い、Domino Web サーバーにアクセスできます。Web サーバーに対して基本 SAML 認証を有効にするには、以下のタスクを完了します。
  - 統合 SAML ログイン用に ID ボールトサーバーを設定する
    Web 統合ログインまたは Notes 統合ログインを使用する場合には、このセクションの手順を完了します。有効になると、iNotes ユーザーおよび Notes クライアントユーザーはそれぞれ、パスワードの入力を求められることなく、ID ボールトの Notes ID ファイルにアクセスできます。IdP が ADFS である場合は、統合 Windows 認証 (IWA) を設定して、iNotes ユーザーや Notes クライアントユーザーが IdP 名前およびパスワードの入力を求められないようにすることができます。
  - Web 統合ログインを有効にする
    iNotes ユーザーが、Notes ID パスワードの入力を求められることなく、メッセージの署名や暗号化などセキュアな操作を実行できるようにするには、Web 統合ログインを有効にします。
  - Notes 統合ログインを有効にする
    Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。
  - IWA を有効にする (ADFS のみ)
    統合 Windows 認証 (IWA) を使用した場合、Windows クライアント上のユーザーは、社内イントラネット上のサーバーにアクセスするときに、ADFS ログイン名とパスワードの入力が求められません。IWA は、基本 SAML 認証、Notes 統合ログイン、および Web 統合ログインで使用できます。
    - ADFS サービスプリンシパル名 (SPN) を作成する
      ADFS で統合 Windows 認証 (IWA) を有効にするには、ADFS をログインアカウントに関連付けるサービスプリンシパル名 (SPN) を作成します。SPN により、クライアントはログインアカウント名がなくても認証を要求できます。
    - ADFS 2.0 で統合 Windows 認証を有効にする
      Active Directory Federation Services (ADFS) 2.0 で統合 Windows 認証 (IWA) を有効にするには、このタスクを完了します。
    - ADFS 3.0 または 4.0 で統合 Windows 認証を有効にする
      Active Directory Federation Services (ADFS) 3.0 または 4.0 で統合 Windows 認証 (IWA) を有効にするには、このタスクを完了します。
    - 統合 Windows 認証用にブラウザを設定する
      ブラウザが統合 Windows 認証 (IWA) をサポートするように設定されていることを確認します。
  - 証明書を生成して SAML アサーションを暗号化する
    アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。
  - クライアントユーザーに対する SAML とログアウトに関する注意
    Domino® と Notes® では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、Notes と Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  この記事では、Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズに関する情報を提供します。

ADFS サービスプリンシパル名 (SPN) を作成する

ADFS で統合 Windows 認証 (IWA) を有効にするには、ADFS をログインアカウントに関連付けるサービスプリンシパル名 (SPN) を作成します。SPN により、クライアントはログインアカウント名がなくても認証を要求できます。

このタスクについて

IWA が既に有効であるために ADFS の SPN が既にある場合は、この手順をスキップします。

この手順は、単一の ADFS サーバーを使用することを前提としています。統合サーバーファームの ADFS サーバーを複数使用する場合は、「フェデレーションサーバーファームのサービスアカウントを手動で構成する」という Microsoft 文書を参照してください。

手順

Active Directory ドメインコントローラで、Windows 管理者として Windows ドメインにログインします。
以下のコマンドを実行して、SPN を完全修飾名と短縮名の 2 つで作成します。
```
setspn -s HTTP/<dns_name> <account_name>
setspn -s HTTP/<adfs_server_name> <account_name>
```
ここで、
<dns_name> は ADFS サーバーの完全修飾ドメイン名であり、<adfs_server_name> は ADFS マシンのホスト名であり、<account_name> はローカルサービスアカウントです。
注: SPN の HTTP/ 部分は、サービスへのアクセスに HTTPS を使用する場合でも適切な値です。
以下のコマンドを実行して、SPN が正しく作成されていることを確認します。
```
setspn -L <server>$
```

例

例えば、ドメイン名が us.renovations.com で、ADFS マシンホスト名が adfs01 で、アカウント名が admin である場合は、以下のコマンドで必要な SPN を作成できます。

setspn -s HTTP/adfs01.us.renovations.com admin
setspn -s HTTP/adfs01 admin

LDAP ブラウザを使用して Active Directory を表示した場合は、コンピュータ ADFS01 が表示されます。コンピュータアカウント名は ADFS01$ であり、アカウント文書には新しいサービスプリンシパル名が表示されます。