ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
時間ベースのワンタイム・パスワード (TOTP) 認証
ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
TOTP 認証に関する Docker の考慮事項
Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
  - TOTP 認証の前提条件
    TOTP 認証の前提条件の概要。
  - TOTP 認証を構成する
    時間ベースのワンタイムパスワード認証 (TOTP) を構成するには、次の手順を実行します。
  - ドメイン間 TOTP 認証を設定する
    2 次 Domino ドメインのユーザーに対して TOTP 認証を有効化できます。設定が完了すると、2 次ドメインに登録されているユーザーは、1 次 Domino ドメインに設定されている TOTP 認証を設定して使用できます。
  - TOTP 認証に関する Docker の考慮事項
    Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。
  - ユーザーが TOTP を設定する方法
    Domino サーバーで時間ベースのワンタイムパスワード (TOTP) 認証を有効にした後、次に Web ユーザーがサーバーにログオンするときに、次の手順に従って TOTP を設定します。
  - ユーザーの TOTP 設定をリセットする
    TOTP が有効となっているサーバーにログオンするための有効な TOTP トークンをユーザーが提供できない場合は、TOTP 構成をリセットして、TOTP を再設定することができます。
  - TOTP 用の notes.ini 設定
    以下のサーバー notes.ini 設定が、TOTP 構成をカスタマイズするために利用できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。Domino® と Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- OpenID Connect (OIDC) を使用して統合 ID 認証を構成する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズについて説明します。

TOTP 認証に関する Docker の考慮事項

Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。

Docker 上の Domino サーバーで ID コンテナーを作成またはレプリケートします。TOTP 固有の設定はすべて、ユーザーの ID ボールト・ドキュメントに保存されます。
Docker コンテナー内で実行される Web サイトまたは仮想サーバーがコンテナーの外部からアクセス可能であることを確認します。
デフォルトのインターネット・サイト、有効になっている TLS 、Web サイトまたはホスト名に接続できる Server Name Indication (SNI) のある Domino HTTP サーバーを実行することをお勧めします。SNI の詳細については、Domino のドキュメントの「Domino Web サーバーで Server Name Indication (SNI) をサポート」を参照してください。