ID ボールトサーバー用に証明書利用者信頼をセットアップする

Domino ID ボールトサーバー用に証明書利用者信頼を Active Directory Federated Services (ADFS) にセットアップします。ここでは、ADFS 3.0 と ADFS 4.0 向けの手順について説明します。

このタスクについて

この手順は、Active Directory Federation Services (ADFS) に適用されます。

手順

  1. ADFS から、[スタート] > [管理ツール] > [AD FS の管理] を選択します。
  2. [証明書利用者信頼] フォルダにナビゲートします。
  3. [アクション] > [証明書利用者信頼の追加] を選択します。
  4. [開始] をクリックして、[証明書利用者信頼の追加] ウィザードを実行します。
  5. [データ ソースの選択] ウィンドウで、[証明書利用者についてのデータをファイルからインポートする] を選択し、対応する ID ボールトサーバー IdP 設定文書からエクスポートした idp.xml ファイルを選択します。その後、「次へ」 をクリックします。
    注: idp.xml ファイルからインポートすると、手順 6 ~ 10 の値が自動的に取り込まれます。[証明書利用者についてのデータを手動で入力する] を選択した場合は、これらの値を自分で入力します。
  6. [Select Display Name] ウィンドウで、サービスプロバイダを表す [表示名] を入力します。例えば、「Domino Renovations Vault」とします。「次へ」 をクリックします。
  7. [プロファイルの選択] ウィンドウで、[AD FS プロファイル] を選択し、[次へ] をクリックします。
  8. [証明書の構成] ウィンドウで、[次へ] をクリックします。
  9. [URL の構成] ウィンドウで、[SAML 2.0 WebSSO プロトコルのサポートを有効にする] を選択します。[証明書利用者 SAML 2.0 SSO サービスの URL] で、以下の URL を入力します。
    https://<host>/names.nsf?SAMLIDLogin
    <host> は、Web サーバーまたは ID ボールトサーバーであり、Web 統合ログインを使用するかどうかによって異なります。
    1. ID ボールトサーバー証明書利用者信頼で [証明書利用者 SAML 2.0 SSO サービスの URL] ホスト名を指定する
    Web 統合ログインを使用した場合 Notes 統合ログインのみを使用する場合
    統合ログインに参加する Web サーバーの DNS ホスト名を指定します。例:
    https://mail.us.renovations.com/names.nsf?SAMLIDLogin
    • URL の終了文字列は /names.nsf?SAMLIDLogin であることに注意してください。この文字列は、Web サーバー信頼文書の URL の終了文字列 (/names.nsf?SAMLLogin) とは異なります。
    • ID ボールトサーバーホスト名ではなく Web サーバーホスト名を指定します。このようにすると、iNotes ユーザーは ID ボールトサーバーから統合ログインの資格情報を取得できます。
    • ホスト名は、作成した Web サーバー IdP 設定文書[ホスト名またはこのサイトにマップされたアドレス] フィールドに含まれているホスト名に一致する必要があります。ID ボールトサーバー IdP 設定文書に指定されているホスト名を使用しないでください。
    • 信頼文書ごとに 1 台の Web サーバーホストのみを指定できます。
    • ロードバランサの背後に複数の Web サーバーホストがある場合は、ここにそのロードバランサのホスト名を指定します。ロードバランサがない場合は、この手順を繰り返し、Web サーバーごとに個別の信頼文書を作成します。
    統合ログインに参加する Domino ID ボールトサーバーの DNS ホスト名を指定します。例:
    https://vault.domino1.us.renovations.com/names.nsf?SAMLIDLogin
    • ホスト名は、作成した ID ボールトサーバー IdP 設定文書[ホスト名またはこのサイトにマップされたアドレス] フィールドに含まれているホスト名に一致する必要があります。
    以下の例は、Web 統合ログインを使用する場合に、Web サーバーに指定されるホスト名を示しています。[URL の構成] ウィンドウにある [証明書利用者 SAML 2.0 SSO サービスの URL]
  10. [識別子の構成] ウィンドウで、[証明書利用者信頼の識別子] フィールドに、ID ボールトサーバーを識別する URL を入力し、[追加][次へ] の順にクリックします。
    この URL は、ID ボールトサーバー IdP 設定文書の [サービスプロバイダ ID] フィールドに指定したものに一致する必要があります。例: https://vault.domino1.us.renovations.com
    注: この URL は、識別子としてのみ使用され、HTTP 接続には使用されません。
    [識別子の構成] ウィンドウにある [証明書利用者信頼の識別子]
  11. [次へ] をクリックして、[今すぐ多要素認証を構成しますか?] ウィンドウをスキップします。
  12. [発行承認規則の選択] ウィンドウで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] をクリックします。
  13. [信頼の追加の準備完了] ウィンドウで、[次へ] をクリックします。
  14. [完了] ウィンドウで、[Open the Edit Claim Rules dialog for this relying party trust when the wizard closes] を選択し、[閉じる] をクリックします。
  15. ウィザードを閉じたときに [要求規則の編集] ダイアログが開いていない場合は、作成した証明書利用者信頼の名前を右クリックし、[要求規則の編集...] を選択します。
  16. [要求規則の編集] ダイアログで、[規則の追加] をクリックします。
  17. [規則テンプレートの選択] ダイアログで、[規則の種類の選択] に対して [LDAP 属性を要求として送信] を選択し、[次へ] をクリックします。
  18. [規則の構成] ダイアログボックスに必要な情報を入力します。
    1. [要求規則名] に「EmailAddressToNameID」と入力します。
    2. [属性ストア][Active Directory] を選択します。
    3. [LDAP 属性][E-Mail-Addresses] を選択します。
    4. [出力方向の要求の種類][名前 ID] を選択します。
    5. [完了] をクリックします。
  19. [要求規則の編集] ダイアログで、[適用] をクリックし、[OK] をクリックします。
  20. [AD FS Trust Relationships] > [証明書利用者信頼] フォルダーで、次の手順を実行します。
    1. Domino に対して作成した新しい証明書利用者信頼を右クリックし、[プロパティ] を選択します。
    2. [エンドポイント] タブをクリックします。
    3. [SAML アサーション コンシューマー エンドポイント] で、Domino に対する POST バインディング URL があることを確認します。また、Artifact バインディング URL がある場合は、それを削除します。Domino では、POST バインディングのみを使用するためです。
      Domino のエンドポイント POST バインディング URL