SAML の Domino 前提条件を満たす

SAML で必要になる以下の Domino 設定を完了してください。

シングルサインオン

ユーザーが複数の Domino サーバーにアクセスする場合や、WebSphere サーバーと Domino サーバーにアクセスする場合には、シングルサインオンが必要です。SAML 認証を設定する前に、シングルサインオンを設定し、それが機能することをテストします。単一サーバーセッション認証ではなく複数サーバーセッション認証を使用するのがベストプラクティスです。詳しくは、『複数サーバーのセッションベースの認証 (シングルサインオン)』を参照してください。

TLS 証明書

ユーザーが Domino サーバーにアクセスするためにセキュアな HTTPS 接続を必要とする場合、またはモバイル・クライアントがある場合は、Domino Web サーバー上で有効な TLS 証明書を使用してキー・リング・ファイルを設定します。証明書は、自己署名ではなく証明機関 (CA) から生成する必要があります。現在のブラウザのほとんどは、自己署名証明書をサポートしていません。詳しくは、『証明書マネージャーで TLS 証明書を管理する』を参照してください。
注: Notes 統合ログインのみを使用し、基本的な Web SAML 認証や Web 統合ログインを使用しない場合は、Domino サーバーに TLS 証明書は必要ありません。Notes 統合ログインでは、Notes クライアントも ADFS サーバーも、HTTPS 経由で Domino サーバーに接続しません。

セキュリティー設定

以下のセキュリティ設定を構成します。
  • サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。
  • Notes® クライアントパスワードとインターネットパスワードとの同期など、SAML ユーザーに割り当てられたセキュリティポリシーで有効になっている Web パスワード管理の設定をすべて無効にします。

Domino Web サーバーテスト (推奨)

SAML 構成には、Domino® 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino® Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino® HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを検討してください。これには、Web ユーザーとしてログインするための Domino® の設定作業が含まれます (例えば、Domino® サーバーのセットアップ時に Domino® ディレクトリに設定された Domino® 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino® ユーザーとしてログインすることができ、Domino® サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。

クロック同期

重要: SAML 認証にはタイムスタンプが含まれます。SAML IdP コンピュータと Domino® SAML サービスプロバイダコンピュータが同じ現在時刻の概念を共有できるように、これらのコンピュータのクロックを同期させてください。クロックの同期があまりにもずれていると、アサーションの時刻が無効なように見えるため、SAML アサーションが否認される可能性があります。IdP マシンの時刻が Domino® サーバーの時刻よりも進んでいる場合は特に問題です。アサーションが将来の時刻を指定するように見えるため、Domino® はこのアサーションを否認します。
クロックスキューを回避するための NOTES.INI 設定の詳細については、Notes/Domino Wiki の以下の記事を参照してください。