セキュリティーの機能
Domino 12.0.2 には、セキュリティに関連する次の機能と機能拡張が用意されています。
Security Assertion Markup Language (SAML)
- SAML 統合ログインの変更
- Domino サービスプロバイダーから ID プロバイダーに送信される署名付き AuthnRequest のデフォルト形式が、Post バインディングから Redirect バインディングに変更されました。
- 古い署名証明書のアーカイブ
- IdP カタログデータベース内の ID プロバイダーとの信頼を構成する Domino サービスプロバイダーに、古い IDP 署名証明書を処理する機能が追加されました。
Domino が新しい IdP xml メタデータファイルを既存の IdP カタログ文書にインポートすると、新しい署名証明書が保存され、以前の署名証明書が(存在する場合、古い IdP 証明書として保存されます。
IdP レガシー証明書は、[証明書管理] タブの [古い認証の調査] ボタンから確認および削除できます。
現在の IdP 署名証明書の検証が失敗した場合、古い署名証明書を使用して SAML 応答とアサーションの署名が検証されます。
関連情報については、Web サーバー IdP 設定文書を作成する を参照してください。
OpenID Connect (OIDC)
Domino 12.0.2 では、OpenID Connect (OIDC) プロバイダーから取得した署名付き JSON Web トークン (JWT) を利用する 2 つの新しい統合 ID ログイン手法がサポートされています。
- PKCE を使用した OIDC 認可コードフローによるシングルサインオン (SSO)
- この機能について詳しくは、「Web ユーザーの OIDC ベース SSO を構成する」を参照してください。
- OIDC を使用した HTTP ベアラー認証
- OIDC プロバイダーを使用した HTTP ベアラー認証を構成するを参照してください。
CertMgr の更新
- CertMgr を AIX でも使用できるようになりました。これにより、CertMgr で TLS 証明書を要求および管理できます。
- CertMgr はクライアントモードにも対応しており、certstore.nsf のレプリカを自動的に作成し、オプションで複製も可能です。
- Domino ディレクトリと証明書ストア内のインターネット CA ルート証明書が更新され、追加のフィールドが組み込まれました。詳しくは、更新されたインターネット CA ルート証明書を参照してください。
- CertMgr は、TLS 資格情報文書で指定されたターゲット URL エンドポイントでの TLS 証明書の検証をサポートしています。この検証では、証明書の有効期限がチェックされ、証明書の有効期限が切れているかどうかが管理者に通知されます。詳しくは、「証明書の URL のヘルスチェック」を参照してください。
管理ツールの更新
- Administration Quick
- AdminQ により、Web ユーザー (HCL Verse ユーザーなど) のユーザー ID に影響するシステム管理プロセス (AdminP) 要求の処理が高速化されます。AdminQ では、Web ユーザーは、これらの要求の処理を完了するために HCL Notes クライアントで認証を行う必要がありません。
- 既存のサーバー用に MicroCA 証明書を作成する Domino コンソールコマンド
- 既存のサーバーの場合、Domino コンソールコマンドは、MicroCA 証明書を生成します。これは、自己署名証明書を使用してサーバーコントローラと Java ベース Domino コンソールの初期 SSL/TLS 接続を確立する以前のプロセスを置き換えるものです。詳しくは、Domino コンソールを使用して既存のサーバーの MicroCA 証明書を作成するを参照してください。
データベース暗号化の改善
データベース暗号化の新しいデフォルト選択は [128 ビット AES] です。以前は [暗号化 (強) ] でした。[256 ビット AES] 暗号化は、以下のいずれかのメニューパスからデータベース暗号化を設定するときに使用できるオプションとなりました。