ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
OpenID Connect (OIDC) を使用して統合 ID 認証を構成する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
OIDC 認証を準備する
このセクションのタスクは、OIDC プロバイダーを使用した HTTP ベアラー認証と、OIDC プロバイダーを使用した Web クライアントの SSO の構成に関する機能の前提条件となります。
JSON Web キーキャッシュを管理する
HTTP サーバータスクのスレッドは、JSON Web キー (JWK) を管理し、構成されている OIDC プロバイダーからそれらのキーを取得して更新します。これらの信頼する JWK は、HTTP ベアラー認証と OIDC ベースの SSO に使用される JWT を暗号的に検証するために使用されます。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。Domino® と Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- OpenID Connect (OIDC) を使用して統合 ID 認証を構成する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
  - OIDC 認証を準備する
    このセクションのタスクは、OIDC プロバイダーを使用した HTTP ベアラー認証と、OIDC プロバイダーを使用した Web クライアントの SSO の構成に関する機能の前提条件となります。
    - 信頼する OIDC プロバイダーを構成する
      IdP カタログアプリケーション (idpcat.nsf) を使用して、信頼する OIDC プロバイダーを構成します。
    - JSON Web キーキャッシュを管理する
      HTTP サーバータスクのスレッドは、JSON Web キー (JWK) を管理し、構成されている OIDC プロバイダーからそれらのキーを取得して更新します。これらの信頼する JWK は、HTTP ベアラー認証と OIDC ベースの SSO に使用される JWT を暗号的に検証するために使用されます。
  - OIDC プロバイダーを使用した HTTP ベアラー認証を構成する
    ネイティブアプリ、モバイルアプリ、プログレッシブ Web アプリ (PBA)、シングルページアプリ (SPA) などのクライアントアプリケーションは、OIDC プロバイダーから取得した署名付き JWT アクセストークンによる HTTP ベアラー認証を使用して、Domino サーバーに対して認証を行うことができます。
  - Web ユーザーの OIDC ベース SSO を構成する
    ブラウザークライアントのシングルサインオン (SSO) オプションは、PKCE による Open ID Connect (OIDC) 認可コードフローを使用することで利用できます。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズについて説明します。

JSON Web キーキャッシュを管理する

HTTP サーバータスクのスレッドは、JSON Web キー (JWK) を管理し、構成されている OIDC プロバイダーからそれらのキーを取得して更新します。これらの信頼する JWK は、HTTP ベアラー認証と OIDC ベースの SSO に使用される JWT を暗号的に検証するために使用されます。

このタスクについて

JWK キャッシュ管理スレッドは、HTTP タスクの開始時と再開時に、構成済みの各 OIDC プロバイダーの jwks_uri エンドポイントから JWK をロードすることに加えて、プロバイダーが cache-control 応答ヘッダーで返した JWK の有効期限を追跡し、有効期限が切れる前にプロバイダーの JWK を更新します。cache-control ヘッダーを返さないプロバイダーは、デフォルトで 15 分ごとに更新されます。

また、JWK キャッシュ管理スレッドは、有効期限が既に切れている JWK がないかキャッシュをチェックし、キャッシュが増えて制御できなくなるのを防ぐためにそれらの JWK を削除します。

手順

次の表のアクションのタイミングを変更する場合は、その NOTES.INI 設定を編集します。

表 1. デフォルト設定
設定	説明
OIDC_PROVIDER_CACHE_POLLING_INTERVAL=30	スレッドで 30 秒ごとにアクションをポーリングする
OIDC_PROVIDER_CACHE_ADVANCE_RENEWAL=60	スレッドで有効期限の 60 秒前にプロバイダーを更新する
OIDC_PROVIDER_CACHE_DEFAULT_EXPIRATION=15*60	Max-age がないプロバイダーをデフォルトで 15 分ごとに更新する
OIDC_JWK_CACHE_PURGE_INTERVAL=126060	有効期限が既に切れている JWK をデフォルトで 12 時間ごとにパージする
OIDC_JWK_CACHE_PURGE_EXPIRED_SEC=246060	24 時間以上前に期限切れになった JWK のみをパージする