セキュリティーの機能

Domino 12.0.2 には、セキュリティに関連する次の機能と機能拡張が用意されています。

Security Assertion Markup Language (SAML)

SAML 統合ログインの変更
Domino サービスプロバイダーから ID プロバイダーに送信される署名付き AuthnRequest のデフォルト形式が、Post バインディングから Redirect バインディングに変更されました。
Post バインディングをデフォルト形式として使用するように戻すには、notes.ini 設定の SAML_REDIRECT_BINDING_SIGN=0 を使用します。
詳しくは、『Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する』を参照してください。
古い署名証明書のアーカイブ
IdP カタログデータベース内の ID プロバイダーとの信頼を構成する Domino サービスプロバイダーに、古い IDP 署名証明書を処理する機能が追加されました。

Domino が新しい IdP xml メタデータファイルを既存の IdP カタログ文書にインポートすると、新しい署名証明書が保存され、以前の署名証明書が(存在する場合、古い IdP 証明書として保存されます。

IdP レガシー証明書は、[証明書管理] タブの [古い認証の調査] ボタンから確認および削除できます。

現在の IdP 署名証明書の検証が失敗した場合、古い署名証明書を使用して SAML 応答とアサーションの署名が検証されます。

関連情報については、Web サーバー IdP 設定文書を作成する を参照してください。

OpenID Connect (OIDC)

Domino 12.0.2 では、OpenID Connect (OIDC) プロバイダーから取得した署名付き JSON Web トークン (JWT) を利用する 2 つの新しい統合 ID ログイン手法がサポートされています。

PKCE を使用した OIDC 認可コードフローによるシングルサインオン (SSO)
この機能について詳しくは、「Web ユーザーの OIDC ベース SSO を構成する」を参照してください。
OIDC を使用した HTTP ベアラー認証
OIDC プロバイダーを使用した HTTP ベアラー認証を構成するを参照してください。

CertMgr の更新

  • CertMgr を AIX でも使用できるようになりました。これにより、CertMgr で TLS 証明書を要求および管理できます。
  • CertMgr はクライアントモードにも対応しており、certstore.nsf のレプリカを自動的に作成し、オプションで複製も可能です。
  • Domino ディレクトリと証明書ストア内のインターネット CA ルート証明書が更新され、追加のフィールドが組み込まれました。詳しくは、更新されたインターネット CA ルート証明書を参照してください。
  • CertMgr は、TLS 資格情報文書で指定されたターゲット URL エンドポイントでの TLS 証明書の検証をサポートしています。この検証では、証明書の有効期限がチェックされ、証明書の有効期限が切れているかどうかが管理者に通知されます。詳しくは、「証明書の URL のヘルスチェック」を参照してください。

管理ツールの更新

Administration Quick
AdminQ により、Web ユーザー (HCL Verse ユーザーなど) のユーザー ID に影響するシステム管理プロセス (AdminP) 要求の処理が高速化されます。AdminQ では、Web ユーザーは、これらの要求の処理を完了するために HCL Notes クライアントで認証を行う必要がありません。
Domino 12.0.2 では、次の機能拡張が追加されました。
  • AdminQ は、ドメイン管理サーバーとボールト管理サーバーで自動的に実行されます。
  • ユーザー名の変更要求で、ID ボールトをドメイン管理サーバーに配置する必要がなくなりました。
  • ユーザー再認証要求がサポートされるようになりました。
  • ユーザーのパブリックキーのロールオーバー要求がサポートされるようになりました。
詳しくは、「AdminQ を使用した Web ユーザー要求の処理」を参照してください。
既存のサーバー用に MicroCA 証明書を作成する Domino コンソールコマンド
既存のサーバーの場合、Domino コンソールコマンドは、MicroCA 証明書を生成します。これは、自己署名証明書を使用してサーバーコントローラと Java ベース Domino コンソールの初期 SSL/TLS 接続を確立する以前のプロセスを置き換えるものです。詳しくは、Domino コンソールを使用して既存のサーバーの MicroCA 証明書を作成するを参照してください。

データベース暗号化の改善

データベース暗号化の新しいデフォルト選択は [128 ビット AES] です。以前は [暗号化 (強) ] でした。[256 ビット AES] 暗号化は、以下のいずれかのメニューパスからデータベース暗号化を設定するときに使用できるオプションとなりました。
  • [ファイル] > [複製] > [新規レプリカ]
  • [ファイル] > [アプリケーション] > [新規コピー]
  • [ファイル] > [設定] > [複製と同期] > [デフォルト]
  • [ファイル] > [セキュリティ] > [ユーザーセキュリティ] > [Notes データ] > [Notes データベース]
  • [ファイル] > [アプリケーション] > [プロパティー] > [暗号化]