クライアントユーザーに対する SAML とログアウトに関する注意
Domino® と Notes® では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、Notes と Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。
IdP のログインとログアウトの詳細
ユーザーが特定のマシンでログインしたことを継続して記憶するように SAML IdP が設定されている場合、IdP は Cookie を残すか、他の状態を設定してユーザーを特定することがあります。IBM Notes/Domino のログアウトのメカニズムは IdP や、IdP によって設定されたユーザー情報を含むユーザーのデスクトップの状態には影響を与えません。
ユーザーが SAML IdP にログインした後、IdP はユーザーに代わってシームレスに SAML アサーションを提供します。この SAML アサーションを、SAML SP として設定された Domino サーバーが認証のために受け入れます。エンドユーザーの不在時に他の人がユーザーのマシンに近寄って、IBM Notes/Domino のリソースにアクセスするのを防ぐためには、エンドユーザーのコンピュータがセキュリティで保護されていることが不可欠です (たとえば、オペレーティングシステムの「コンピュータのロック」機能や、パスワードで保護されたスクリーンセーバーを使用するなど)。
特に 1 つのデスクトップを共有している Domino Web ユーザーの場合、IdP で混同が起こる恐れがあります。ユーザーが一度 IdP にログインすると、IdP はその後同じユーザーが継続して使用しているものと見なす可能性があります。複数のユーザーが 1 つのデスクトップで別々のユーザーとしてオペレーティングシステムにログインするように義務付けられている場合や、IdP の構成が 統合 Windows™ 認証によって SPNEGO/Kerberos (IWA) を使用してすべてのユーザーを認証するように設定されている場合は、このシナリオを回避することができます。IdP で IWA が使用される場合、IdP がオペレーティングシステムに別々にログインしたユーザーを混同することはありません。