Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する

統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。

このタスクについて

SAML 認証を使用すると、指定された ID プロバイダ (IdP) でユーザー認証を一度行うだけで、その IdP とパートナーになっている任意のサーバーにアクセスできるようになります。Notes® クライアントと Web クライアントのどちらのユーザーも SAML 認証を利用できます。認証は署名付きの XML ID アサーションに依存します。結果的にユーザーに対して透過認証とシングルサインオンが実現され、複数の Domino® Web サーバーとアプリケーション、さらに IdP とパートナーになっているサードパーティ製アプリケーションに対してもワンタイム認証が適用されます。ワンタイム認証の方式は IdP によって決定されます。したがって、ユーザーにパスワードを求めるプロンプトが出される場合もあれば、イントラネット内のユーザーに対して非パスワード認証方式 (統合 Windows 認証 (SPNEGO/Kerberos) など) が使用される場合もあります。

組織が SAML 認証を使用するのは、次の 4 つの場合が考えられます。組織の必要に応じて、これらの設定のいずれか、すべてを行ってください。
  • Windows、Mac、Citrix 上の Notes® クライアント・ユーザーの場合、SAML 認証を設定して、ID ボールトへのユーザー認証を行うことができます。この設定では、ユーザーが Notes クライアントを起動すると IdP からのログイン・ページが表示され、認証を行うと ID ボールトから ID がダウンロードされます。この設定は、Notes 統合ログイン (NFL) と呼ばれます。
  • オペレーティング・システムが Microsoft Active Directory ドメインに結合されている Windows または Citrix 上の Notes® クライアント・ユーザーの場合、SAML 認証によりシングル・サインオン・ソリューションを実行できます。このソリューションでは Active Directory フェデレーション・サービス (ADFS) で統合 Windows™ 認証 (IWA) を設定します。Notes® クライアント起動時の SAML 認証は、統合 Windows 認証 (IWA) によるNotes®統合ログインとも呼ばれます。なお、SAML の HTTP 部分は Notes® クライアント内で処理されるため、HTTP サーバータスクを Domino® ボールトサーバー上で実行する必要はありません。
  • HCL iNotes® ユーザーや HCL Verse ユーザーなど Web クライアント・ユーザーの場合も、SAML 認証を使用することでシングル・サインオン・ソリューションが助長されます。このソリューションでは、ユーザーの ID ファイルが Notes® ID ボールトからダウンロードされます。このタイプの SAML 認証は Web 統合ログインと呼ばれ、これにより、iNotes ユーザーや Verse ユーザーはセキュアなメール操作を使用できます。
  • Web サーバー上の他のアプリケーションのユーザーの場合は、SAML ベースのシングルサインオンが、Domino® で既に使用可能な別のシングルサインオン (SSO) 方式(マルチセッションサーバー認証) の代替手段となります。SAML は、ご使用の Domino® 環境に含まれるサードパーティ製 Web アプリケーションのサービスにユーザーがアクセスする場合や、マルチセッションサーバー認証では組織にとって制限が多すぎる場合 (ターゲット環境が複数の DNS ドメイン間での SSO を必要とする場合など) に最も便利です。

Domino は、SAML 2.0 AuthNRequest 対応の IdP をサポートしています。この機能を持つほとんどの IdP は、Domino で動作することが知られています。さらに、Domino は Microsoft Active Directory フェデレーション・ サービス (ADFS) でもテストされています。ADFS バージョン 3、4、5 は Domino でサポートされています。

互換性

次の表に、SAML が互換性を持たない、または部分的にしか互換性を持たないクライアント設定を示します。
1. SAML 統合ログインとの互換性を持たないクライアント設定
組織が使用するもの SAML が推奨されない理由
スマートカードで保護された ID スマートカードで保護された ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、スマートカードで保護された ID を統合ログインのユーザー ID にすることはできません。
Notes® ローミングユーザーであり、サーバー上のローミング用の個人アドレス帳に ID ファイルが格納されているユーザー。 ローミング用の個人アドレス帳に ID が格納されている Notes® ローミングユーザーを統合ログインユーザーにすることはできません。ローミング用の個人アドレス帳に格納された Notes® ID では、Notes® 統合ログインに必要な ID ボールトを使用できないためです。
Notes® (USB デバイス上) USB デバイス上の Notes® では、Notes® 統合ログインに必要な ID ボールトを使用できないため、USB デバイス上の Notes® で統合ログインを使用することはできません。
Notes® ユーザー ID (複数のパスワードを保有) 複数のパスワードを持つ ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、複数のパスワードを持つ Notes® ユーザー ID を統合ログインのユーザー ID にすることはできません。
Notes® ユーザーに対するサーバーベースのパスワードチェック すべての Notes® ユーザーを Notes® 統合ログイン用に設定する場合は、サーバープラットフォーム上でこの機能を無効にしてください。非統合ログインユーザーに対してはパスワードチェックを強制できますが、統合ログインユーザーに対しては強制できません。
Notes クライアントとともにインストールされる Notes シングルログインコンポーネント この設定は、Notes 統合ログインではサポートされていません。
Notes Basic 版クライアント、Domino Administrator クライアント これらのクライアントは、Notes 統合ログインではサポートされていません。Notes Standard 版クライアントが必要です。

手順

以下のタスクを実行します。