Nomad 統合ログイン用の IdP 設定文書を作成する
idpcat.nsf で Nomad 統合ログイン用の IdP 設定文書を作成します。
始める前に
IdP からエクスポートしたメタデータ .xml ファイルを、IdP 設定文書へのインポートに使用できる場所に配置します。Active Directory Federation Services (ADFS) の場合、通常、このファイルは FederationMetadata.xml です。
注:
メタデータ .xml ファイルをインポートすると、そのファイルは IdP 設定文書に添付され、ローカルシステムから削除されます。
このタスクについて
IdP 設定文書により、Nomad ユーザーが使用し、サービスプロバイダーとして機能する Domino ID ボールトサーバーと、Domino サーバー上のメールや他のアプリケーションにアクセスするための認証サーバーとして機能する IdP との間のパートナーシップが設定されます。
このタスクでは、IdP 設定文書を作成し、IdP から前にエクスポートしたメタデータ .xml ファイルをインポートし、設定を実行し、その設定を ServiceProvider.xml ファイルにエクスポートします。
ID ボールトサーバーから次の手順を実行します。
手順
- idpcat.nsf を開きます。
- [IdP 構成の追加] をクリックして、新規構成文書を作成します。
-
[基本] タブの [ホスト名またはこのサイトにマップされたアドレス] フィールドに、以下を入力します。
ここで、nomad.vault.<SafeLinxServerHost>
<SafeLinxServerHost>
は Nomad (SafeLinx) サーバーのホスト名です。以下に例を示します。nomad.vault.safelinx.renovations.com
注:nomad.vault.
プレフィックスは、このフィーチャーの機能では必須です。このフィールドの値は DNS ホスト名に解決されません。 - [プロトコルバージョン] フィールドで [SAML 2.0] を選択します。
- [統合製品] フィールドで [AuthnRequest SAML 2.0 互換] を選択します。
-
[XML ファイルのインポート] をクリックし、IdP からエクスポートしたメタデータ .xml ファイルを選択します。ADFS では、このファイル名は通常 FederationMetadata.xml です。
次の情報が .xml ファイルから IdP 設定文書にインポートされます。
表 1. 値がメタデータ .xml ファイルから生成される IdP 設定文書内のフィールド フィールド 説明 シングルサインオンサービス URL ([基本] タブ) [統合製品] フィールドに指定した統合サービスのログイン URL。以下に例を示します。 https://adfs.renovations.com/adfs/ls/IdpInitiatedSignOn.aspx 注: このフィールドの値は、IdP の予期される URL のサブセットです。Domino® サーバーは、必要に応じて完全な URL を生成します。署名 X.509 証明書 ([詳細] タブ) 署名用の X.509 証明書。IdP からのアサーション応答の署名を検証するために使用されます。 暗号化 X.509 証明書 ([詳細] タブ) IdP 暗号化文書の送信に使用される暗号化用の X.509 証明書。 プロトコルサポート列挙 ([詳細] タブ) 指定の IdP でサポートされる SAML 2.0 プロトコルを指定する文字列。この文字列は、IdP のサービスプロバイダーとして Domino® が提供する認証 URL の一部となります。 例えば、urn.oasis.names.tc:SAML:2.0:protocol です。
-
[サービスプロバイダー ID] フィールドで、以下を指定します。
https://nomad.vault.<hostname>
ここで<hostname>
は、Domino ディレクトリにあるサーバー文書の [完全修飾インターネットホスト名] フィールドで示される ID ボールトサーバーのホスト名です。以下に例を示します。https://nomad.vault.domino1.renovations.com
注:nomad.vault.
プレフィックスは、このフィーチャーの機能では必須です。このフィールドの値は適切に構成されたセキュア URL でなければなりませんが、この値は HTTPS 接続には使用されず、DNS ホスト名には解決されません。 -
[Nomad ポストバック URL] フィールドが表示されるようになりました。このフィールドには次の情報を指定します。この構成により、サービスプロバイダーとして機能するボールトサーバーは SAML アサーションを Nomad サーバーに送信できます。その後、Nomad サーバーはクライアントとして ID ボールトと通信し、ユーザーの ID ファイルを取得します。
https://<SafeLinxServerHost>/SL_saml/login/nomadfl
ここで、<SafeLinxServerHost>
は Nomad (SafeLinx) サーバーのホスト名です。以下に例を示します。https://safelinx.renovations.com/SL_saml/login/nomadfl
- [クライアント設定] タブの [Windows シングルサインオンの有効化] フィールドで [いいえ] を選択します。
-
[クライアント設定] タブで、次のフィールドに入力します。
- [Windows シングルサインオンの有効化] フィールドで [いいえ] を選択します。
- [TLS を強制] フィールドは [はい] に設定されたままにします。
- 新しい IdP 設定文書を保存します。
-
[証明書管理] タブで、次の手順を実行します。これらの手順では、IdP とのセキュア通信に使用される、ID ボールトサーバーのサービスプロバイダサーバー証明書とキーを作成します。証明書とプライベートキーは、ID ボールトサーバーの ID ファイルに自動的に追加されます。
注: Domino ボールトサーバーの IDファイルがパスワードで保護されている場合、またはこのファイルに証明書が既に含まれている場合、この手順を手動で実行します。詳しくは、「SAML アサーションを暗号化するための証明書を手動で生成する」を参照してください。
- Nomad ユーザーが使用するすべての Domino サーバー (ID ボールトサーバー、メールサーバー、アプリケーションサーバーなど) に idpcat.nsf を複製します。
タスクの結果
次のタスク
- Nomad 統合ログインで使用される他の ID ボールトサーバーがある場合は、手順 サービスプロバイダーサーバーの証明書とキーを他のボールトサーバー ID ファイルに追加する を実行します。
- 他の ID ボールトサーバーがない場合は、手順 Nomad 統合ログインで使用される ID ボールトサーバー用に証明書利用者信頼をセットアップする を実行します。