Notes 統合ログインを有効にする

Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。

始める前に

以下の前提条件を満たします。
  • Web 統合ログインも使用している場合は、それを有効にし、正常に機能することをテストします。
  • すべての Notes クライアントユーザーに対して Notes 統合ログインを有効にする前に、テストユーザーに対して有効にし、そのユーザーに対して Notes 統合ログインが機能することをテストします。
  • Notes® 統合ログインに含める予定の Notes® ユーザーに適用するセキュリティポリシーで、Notes® クライアントパスワードとインターネットパスワードの同期を無効にしてください。
  • トピック「Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する」で統合ログインと互換性がないクライアント設定の表を参照してください。
  • 統合 SAML ログイン用に ID ボールトサーバーを設定する」セクションのすべての手順を完了します。

手順

  1. Domino® ディレクトリで、組織の ID ボールトのユーザー用の既存のセキュリティ設定ポリシーを開きます。
  2. [ID ボールト] タブで、割り当てられたボールトが存在することを確認します。
  3. [パスワード管理] > [統合ログイン] タブを選択します。
  4. [SAML IdP との Notes 統合ログインを有効にする] で [はい] を選択します。
  5. 9.0.1 にアップグレードしたクライアントユーザーの場合は、ポリシーを最初にデプロイするときに、[統合ログインの追加設定 (Notes または Web)] の下の [ID ボールトを使用したパスワード認証を許可] で [はい] を選択します。
    ヒント: ユーザーの統合ログインの成功を確認した後は、セキュリティ向上のために [ID ボールトを使用したパスワード認証を許可] を [いいえ] に変更することをお勧めします。ID ボールトを使用したパスワード認証が許可されていない場合、このユーザーは、Notes または Web 用のユーザーの ID をダウンロードするためには、統合ログインを使用したボールトへの認証が必要となります。このポリシー設定では Notes と Web の両方の動作が ID ボールトを使用して制御されるため、この設定は、統合ログイン以外は使用しないという場合にのみ [いいえ] に変更してください。
  6. オプション: 統合ログインが有効または無効になったときにユーザーに通知するカスタムメッセージを作成します。
  7. [キーと認証] タブを選択します。
  8. ポリシーに Notes® 認証者を追加するには、[管理者の信頼のデフォルト] セクションの [リンクの更新] をクリックします。
  9. [選択されたものをサポート] を選択し、[OK] をクリックします。
  10. [Notes 認証者] タブをクリックし、Notes ユーザーの ID に署名した証明書を選択し、[OK] をクリックします。
    注: ID が組織単位 (OU) 証明書によって署名された場合は、組織証明書をはじめ階層内のすべての証明書を含めます。
  11. [インターネット相互認証] タブをクリックし、ADFS からエクスポートされた証明書に対する Notes ルート認証者からの相互認証を選択し、[OK] をクリックします。
  12. [インターネット認証] タブをクリックし、ADFS からエクスポートした TLS 証明書を選択して、[OK] をクリックします。
  13. 3 つ以上の証明書からなるチェーンが表示されることを確認します (組織単位証明書があれば、証明書の数はさらに増えます)。最上位に Notes 認証者があり、中央にインターネット相互認証があり、最下位にインターネット認証があります。
    例:3 つの証明書からなるチェーンの例。
  14. オプション: 複数のコンピュータを持つクライアントの場合は、特定のコンピュータにポリシーを適用するための式を [マシン固有の式] に入力します。
  15. セキュリティポリシーを保存して閉じます。
  16. Domino® Administrator から、ID ボールトアプリケーション ((idvault.nsf) を開きます。このアプリケーションは、デフォルトでは IBM_ID_VAULT ディレクトリに保管されています。以下のステップを完了します。
    1. 構成ビューから、SAML 認証用に構成するボールトのボールト文書を開きます。
    2. [Notes 統合ログイン承認 IdP 構成] フィールドに、ID ボールトサーバー IdP 設定文書の [ホスト名またはこのサイトにマップされたアドレス] フィールドにあるホスト名を入力します。例えば、vault.domino1.us.renovations.com です。
    3. [保存して閉じる] をクリックします。

次のタスク

Notes 統合ログインをテストする