Nomad 統合ログイン用の IdP 設定文書を作成する

idpcat.nsf で Nomad 統合ログイン用の IdP 設定文書を作成します。

始める前に

IdP からエクスポートしたメタデータ .xml ファイルを、IdP 設定文書へのインポートに使用できる場所に配置します。Active Directory Federation Services (ADFS) の場合、通常、このファイルは FederationMetadata.xml です。

注:

メタデータ .xml ファイルをインポートすると、そのファイルは IdP 設定文書に添付され、ローカルシステムから削除されます。

このタスクについて

IdP 設定文書により、Nomad ユーザーが使用し、サービスプロバイダーとして機能する Domino ID ボールトサーバーと、Domino サーバー上のメールや他のアプリケーションにアクセスするための認証サーバーとして機能する IdP との間のパートナーシップが設定されます。

このタスクでは、IdP 設定文書を作成し、IdP から前にエクスポートしたメタデータ .xml ファイルをインポートし、設定を実行し、その設定を ServiceProvider.xml ファイルにエクスポートします。

ID ボールトサーバーから次の手順を実行します。

手順

  1. idpcat.nsf を開きます。
  2. [IdP 構成の追加] をクリックして、新規構成文書を作成します。
  3. [基本] タブの [ホスト名またはこのサイトにマップされたアドレス] フィールドに、以下を入力します。 
    nomad.vault.<SafeLinxServerHost>
    ここで、<SafeLinxServerHost> は Nomad (SafeLinx) サーバーのホスト名です。以下に例を示します。 
    nomad.vault.safelinx.renovations.com
    注: nomad.vault. プレフィックスは、このフィーチャーの機能では必須です。このフィールドの値は DNS ホスト名に解決されません。
  4. [プロトコルバージョン] フィールドで [SAML 2.0] を選択します。
  5. [統合製品] フィールドで [AuthnRequest SAML 2.0 互換] を選択します。
  6. [XML ファイルのインポート] をクリックし、IdP からエクスポートしたメタデータ .xml ファイルを選択します。ADFS では、このファイル名は通常 FederationMetadata.xml です。
    次の情報が .xml ファイルから IdP 設定文書にインポートされます。
    1. 値がメタデータ .xml ファイルから生成される IdP 設定文書内のフィールド
    フィールド 説明
    シングルサインオンサービス URL ([基本] タブ) [統合製品] フィールドに指定した統合サービスのログイン URL。以下に例を示します。 https://adfs.renovations.com/adfs/ls/IdpInitiatedSignOn.aspx
    注: このフィールドの値は、IdP の予期される URL のサブセットです。Domino® サーバーは、必要に応じて完全な URL を生成します。
    署名 X.509 証明書 ([詳細] タブ) 署名用の X.509 証明書。IdP からのアサーション応答の署名を検証するために使用されます。
    暗号化 X.509 証明書 ([詳細] タブ) IdP 暗号化文書の送信に使用される暗号化用の X.509 証明書。
    プロトコルサポート列挙 ([詳細] タブ) 指定の IdP でサポートされる SAML 2.0 プロトコルを指定する文字列。この文字列は、IdP のサービスプロバイダーとして Domino® が提供する認証 URL の一部となります。

    例えば、urn.oasis.names.tc:SAML:2.0:protocol です。
  7. [サービスプロバイダー ID] フィールドで、以下を指定します。 
    https://nomad.vault.<hostname>
    ここで <hostname> は、Domino ディレクトリにあるサーバー文書の [完全修飾インターネットホスト名] フィールドで示される ID ボールトサーバーのホスト名です。以下に例を示します。 
    https://nomad.vault.domino1.renovations.com
    注: nomad.vault. プレフィックスは、このフィーチャーの機能では必須です。このフィールドの値は適切に構成されたセキュア URL でなければなりませんが、この値は HTTPS 接続には使用されず、DNS ホスト名には解決されません。
  8. [Nomad ポストバック URL] フィールドが表示されるようになりました。このフィールドには次の情報を指定します。この構成により、サービスプロバイダーとして機能するボールトサーバーは SAML アサーションを Nomad サーバーに送信できます。その後、Nomad サーバーはクライアントとして ID ボールトと通信し、ユーザーの ID ファイルを取得します。 
    https://<SafeLinxServerHost>/SL_saml/login/nomadfl
    ここで、<SafeLinxServerHost> は Nomad (SafeLinx) サーバーのホスト名です。以下に例を示します。 
    https://safelinx.renovations.com/SL_saml/login/nomadfl
  9. [クライアント設定] タブの [Windows シングルサインオンの有効化] フィールドで [いいえ] を選択します。
  10. [クライアント設定] タブで、次のフィールドに入力します。
    1. [Windows シングルサインオンの有効化] フィールドで [いいえ] を選択します。
    2. [TLS を強制] フィールドは [はい] に設定されたままにします。
  11. 新しい IdP 設定文書を保存します。
  12. [証明書管理] タブで、次の手順を実行します。これらの手順では、IdP とのセキュア通信に使用される、ID ボールトサーバーのサービスプロバイダサーバー証明書とキーを作成します。証明書とプライベートキーは、ID ボールトサーバーの ID ファイルに自動的に追加されます。
    注: Domino ボールトサーバーの IDファイルがパスワードで保護されている場合、またはこのファイルに証明書が既に含まれている場合、この手順を手動で実行します。詳しくは、「SAML アサーションを暗号化するための証明書を手動で生成する」を参照してください。
    1. [SP 証明書の作成] をクリックします。
    2. [会社名] フィールドに、renovationsvault などの任意の名前を入力します。証明書を作成すると、Domino で、このフィールド内の名前の前に「CN=」が付加されます。この名前が証明書の件名になります。
      注: この時点で、新しいサービスプロバイダー証明書とキーが ID ボールトサーバーの ID ファイルに追加されます。
    3. [Domino URL] フィールドに、ID ボールトサーバーのホスト名の URL を指定します。以下に例を示します。 
      https://domino1.renovations.com
    4. [SP XML のエクスポート] をクリックして、ServiceProvider.xml ファイルを作成して保存します。IdP 証明書利用者信頼の作成時に、このファイルを IdP にインポートします。
  13. Nomad ユーザーが使用するすべての Domino サーバー (ID ボールトサーバー、メールサーバー、アプリケーションサーバーなど) に idpcat.nsf を複製します。

タスクの結果

ServiceProvider.xml ファイルは IdP 設定文書に添付されます。この手順で作成した ID ボールトサーバー証明書とキーは、ID ボールトサーバーの ID ファイルに追加されます。

次のタスク