ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
証明書を生成して SAML アサーションを暗号化する
アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
  - SAML 認証を準備する
    Domino で SAML 認証を設定する前に、このセクションの手順を完了してください。
  - Web サーバーに対して基本 SAML 認証を設定する
    Web サーバーの基本 SAML 認証を使用すると、ブラウザー・クライアントは SAML で認証を行い、Domino Web サーバーにアクセスできます。Web サーバーに対して基本 SAML 認証を有効にするには、以下のタスクを完了します。
  - 統合 SAML ログイン用に ID ボールトサーバーを設定する
    Web 統合ログインまたは Notes 統合ログインを使用する場合には、このセクションの手順を完了します。有効になると、iNotes ユーザーおよび Notes クライアントユーザーはそれぞれ、パスワードの入力を求められることなく、ID ボールトの Notes ID ファイルにアクセスできます。IdP が ADFS である場合は、統合 Windows 認証 (IWA) を設定して、iNotes ユーザーや Notes クライアントユーザーが IdP 名前およびパスワードの入力を求められないようにすることができます。
  - Web 統合ログインを有効にする
    iNotes ユーザーが、Notes ID パスワードの入力を求められることなく、メッセージの署名や暗号化などセキュアな操作を実行できるようにするには、Web 統合ログインを有効にします。
  - Notes 統合ログインを有効にする
    Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。
  - IWA を有効にする (ADFS のみ)
    統合 Windows 認証 (IWA) を使用した場合、Windows クライアント上のユーザーは、社内イントラネット上のサーバーにアクセスするときに、ADFS ログイン名とパスワードの入力が求められません。IWA は、基本 SAML 認証、Notes 統合ログイン、および Web 統合ログインで使用できます。
  - 証明書を生成して SAML アサーションを暗号化する
    アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。
    - SAML アサーションを暗号化するための証明書を自動的に生成する
      SAML アサーションの暗号化に使用する証明書を IdP 設定文書から自動的に生成できます。
    - SAML アサーションを暗号化するための証明書を手動で生成する
      Domino® server.id ファイルにパスワードがある場合は、管理者が SAML メタデータファイルと証明書ファイルを手動で作成する必要があります。IdP カタログアプリケーションの [SP 証明書の作成] ボタンは使用できません。サーバー ID ファイルに既に存在するインターネット証明書を使用して SAML アサーションを検証する予定の場合も、メタデータファイルを手動で作成する必要があります。
  - クライアントユーザーに対する SAML とログアウトに関する注意
    Domino® と Notes® では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、Notes と Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  この記事では、Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズに関する情報を提供します。

証明書を生成して SAML アサーションを暗号化する

アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。

このタスクについて

SAML アサーションを暗号化するには、Domino 用のインターネット証明書を server.id ファイルにインポートする必要があります。この手順は、IdP 設定文書を介して自動的に実行できます。自動で行うのが最も簡単ですが、この方法が常に使用できるわけではありません。以下の条件のいずれかに当てはまる場合は、証明書を手動で生成する必要があります。

Domino サーバーのサーバー ID ファイルがパスワードで保護されている。
サーバー ID ファイルに既に存在するインターネット証明書を再利用する。
[フルアクセスアドミニストレーター] > [管理者] > [制限なしで署名または実行] で、IdP カタログの署名者がサーバー文書にリストされない (あるいはグループに属していない)。

注: この他の方法で新しいインターネット証明書を作成することもできます。例えば、Domino® 認証機関 (CA) を使用する方法 (インターネット証明書のキー使用で署名が許可される場合) があります。

注: IdP 設定を ServiceProvider.xml にエクスポートする前に、この手順を完了します。そうすると、ServiceProvider.xml に証明書が含まれるようになり、それは他の Domino 設定情報とともに IdP にインポートされることになります。