ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。Domino® と Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
Nomad 統合ログイン
Nomad 統合ログインを使用すると、ユーザーが Web ブラウザー向け HCL Nomad クライアントを設定するときに、HCL Notes ID パスワードの入力を求めるプロンプトがユーザーに表示されなくなります。代わりに、Nomad サーバー (SafeLinx) を介してアクセスする SAML ID プロバイダー (IdP) からのみ資格情報の入力を求めるプロンプトが出されます。ユーザーは Notes IDパスワードを入力する必要はありません。
Notes 証明書を deploy.nsf ファイルにエクスポートする
Nomad 統合ログインを有効にした後、Web ユーザー用に Nomad で使用される Notes 組織認証者を deploy.nsf データベースにエクスポートします。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。Domino® と Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
  - SAML 認証を準備する
    Domino で SAML 認証を設定する前に、このセクションの手順を完了してください。
  - Web サーバーに対して基本 SAML 認証を設定する
    Web サーバーの基本 SAML 認証を使用すると、ブラウザー・クライアントは SAML で認証を行い、Domino Web サーバーにアクセスできます。Web サーバーに対して基本 SAML 認証を有効にするには、以下のタスクを完了します。
  - Notes または Web 統合 SAML ログインのために ID ボールトサーバーを構成する
    Web 統合ログインまたは Notes 統合ログインを使用する場合には、このセクションの手順を完了します。有効になると、iNotes ユーザーおよび Notes クライアントユーザーはそれぞれ、パスワードの入力を求められることなく、ID ボールトの Notes ID ファイルにアクセスできます。IdP が ADFS である場合は、統合 Windows 認証 (IWA) を設定して、iNotes ユーザーや Notes クライアントユーザーが IdP 名前およびパスワードの入力を求められないようにすることができます。
  - Web 統合ログインを有効にする
    iNotes ユーザーが、Notes ID パスワードの入力を求められることなく、メッセージの署名や暗号化などセキュアな操作を実行できるようにするには、Web 統合ログインを有効にします。
  - Notes 統合ログインを有効にする
    Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。
  - Nomad 統合ログイン
    Nomad 統合ログインを使用すると、ユーザーが Web ブラウザー向け HCL Nomad クライアントを設定するときに、HCL Notes ID パスワードの入力を求めるプロンプトがユーザーに表示されなくなります。代わりに、Nomad サーバー (SafeLinx) を介してアクセスする SAML ID プロバイダー (IdP) からのみ資格情報の入力を求めるプロンプトが出されます。ユーザーは Notes IDパスワードを入力する必要はありません。
    - Nomad 統合ログインの前提条件
      Nomad 統合ログインを構成する前に、以下の前提条件ステップが完了していることを確認してください。
    - Nomad 統合ログイン構成コンポーネント
      Nomad 統合ログインの構成には、次のコンポーネントが含まれます。「nomadfl_prerequisites.html」で説明されているように、これらのコンポーネント以外にも前提条件コンポーネントがあることに注意してください。
    - Nomad 統合ログイン用の IdP 設定文書を作成する
      idpcat.nsf で Nomad 統合ログイン用の IdP 設定文書を作成します。
    - Nomad 統合ログインで使用される ID ボールトサーバー用に証明書利用者信頼をセットアップする
      Nomad 統合ログイン用の IdP 設定文書を作成し、ServiceProvider.xml ファイルをエクスポートした後、IdP の証明書利用者信頼をセットアップして、ServiceProvider.xml ファイルを IdP にインポートします。
    - Nomad 統合ログインを有効にする
      証明書利用者信頼を設定した後、ID ボールトに使用されるセキュリティ設定ポリシーと ID ボールト文書で Nomad 統合ログインを有効にします。
    - Notes 証明書を deploy.nsf ファイルにエクスポートする
      Nomad 統合ログインを有効にした後、Web ユーザー用に Nomad で使用される Notes 組織認証者を deploy.nsf データベースにエクスポートします。
    - Nomad 統合ログインのトラブルシューティング
      Nomad 統合ログインが機能している場合、Web ブラウザー向け Nomad をセットアップしていないユーザーは、セットアップ時に Notes ID の入力を求められることなく Nomad サーバーに接続できます。Nomad 統合ログインで問題が発生した場合のために、次のセクションでは一般的な問題と回避策について説明します。
  - IWA を有効にする (ADFS のみ)
    統合 Windows 認証 (IWA) を使用した場合、Windows クライアント上のユーザーは、社内イントラネット上のサーバーにアクセスするときに、ADFS ログイン名とパスワードの入力が求められません。IWA は、基本 SAML 認証、Notes 統合ログイン、および Web 統合ログインで使用できます。
  - 証明書を生成して SAML アサーションを暗号化する
    アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。
  - クライアントユーザーに対する SAML とログアウトに関する注意
    Domino® と Notes® では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、Notes と Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。
- OpenID Connect (OIDC) を使用して統合 ID 認証を構成する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズについて説明します。

Notes 証明書を deploy.nsf ファイルにエクスポートする

Nomad 統合ログインを有効にした後、Web ユーザー用に Nomad で使用される Notes 組織認証者を deploy.nsf データベースにエクスポートします。

このタスクについて

Notes 証明書を deploy.nsf データベースにエクスポートした後、そのデータベースを Nomad サーバーにコピーします。このファイルにより、ID ボールトサーバーとの初期通信に使用される Web ブラウザー向け Nomad クライアントに Notes 証明書が提供されます。

手順

システム管理サーバー上の Domino Administrator クライアントから、Domino ディレクトリを開きます。
[セキュリティ] > [証明書] > [Notes 認証者] を展開します。
手順 Nomad 統合ログインを有効にするでセキュリティ設定ポリシーに追加した Notes 認証者文書を選択します。
[アクション] > [証明書をデプロイデータベースにエクスポート] を選択します。
データベースに deploy.nsf というファイル名を付け、[OK] をクリックします。
[クライアントで Notes 統合ログインを有効にする] を選択し、[OK] をクリックします。
このファイルを SafeLinx インストールの場所の saml サブディレクトリにコピーします。例えば、Linux の場合は以下のとおりです: /opt/hcl/SafeLinx/saml。
注:
SafeLinx サーバーは、デフォルトでこのディレクトリ内でファイルを検索します。ファイルを別のディレクトリに配置し、その後、次のコンソールコマンドを使用してその場所を示すことができます。
```
chwg -s hcl-wlNomad -l nomad-web-proxy<number> -a hcl-deployNSF=<full path to new directory location>
```
ここで、nomad-web-proxy<number> は Nomad サーバーの keyValue です。Nomad サーバーが 1 つある場合は、nomad-web-proxy0 を指定します。追加の Nomad サーバーごとに、nomad-web-proxy1、nomad-web-proxy2 というように番号を 1 つ増やします。