このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
Domino で SAML 認証を設定する前に、このセクションの手順を完了してください。
Domino に SAML 統合 ID 認証を設定する前に、ID プロバイダ (IdP) を準備します。
組織のセキュリティを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
SSL (Secure Sockets Layer) は、TCP/IP プロトコル経由で実行する Domino® サーバータスクの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。
クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
暗号化を使用すると、不正なアクセスからデータを保護できます。
基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に 保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
IdP が Microsoft™ Active Directory Federation Services (ADFS) である場合は、以下の手順を完了して、Domino で ADFS を使用する準備を整えます。Domino® で SAML を設定する前に、以下の要件を満たしていることを確認してください。
IdP が IBM Tivoli Federated Identity Manager,™ である場合、SAML 1.1 または SAML 2.0 のいずれかに設定できます。Domino® で SAML を設定する前に、以下の要件を満たしていることを確認してください。
SAML で必要になる以下の Domino 設定を完了してください。
IdP と Domino 間で SSL を使用する場合は、IdP SSL 証明書を Domino ディレクトリにインポートして相互認証します。
IdP カタログ (idpcat.nsf) を作成して、SAML 統合認証に参加しているサーバーに複製します。Web 統合ログインまたは Notes 統合ログインを有効にする場合には、ID ボールトサーバーにも複製します。
ID プロバイダ (IdP) からメタデータ .xml ファイルをエクスポートします。このファイルには IdP に関する情報が含まれており、これにより、Domino はその IdP からの SAML アサーションを受け入れることができるようになります。
Web サーバーに対して基本 SAML 認証を有効にするには、以下のタスクを完了します。
Web 統合ログインまたは Notes 統合ログインを使用する場合には、このセクションの手順を完了します。有効になると、iNotes ユーザーおよび Notes クライアントユーザーはそれぞれ、パスワードの入力を求められることなく、ID ボールトの Notes ID ファイルにアクセスできます。IdP が ADFS である場合は、統合 Windows 認証 (IWA) を設定して、iNotes ユーザーや Notes クライアントユーザーが IdP 名前およびパスワードの入力を求められないようにすることができます。
iNotes ユーザーが、Notes ID パスワードの入力を求められることなく、メッセージの署名や暗号化などセキュアな操作を実行できるようにするには、Web 統合ログインを有効にします。
Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。
統合 Windows 認証 (IWA) を使用した場合、Windows クライアント上のユーザーは、社内イントラネット上のサーバーにアクセスするときに、ADFS ログイン名とパスワードの入力が求められません。IWA は、基本 SAML 認証、Notes 統合ログイン、および Web 統合ログインで使用できます。
アサーションに含まれる属性に個人の機密データ (社会保障番号など) が含まれる場合は、SAML アサーションの暗号化が必要になる可能性があります。Domino® は SAML アサーション全体を暗号化します。特定の属性を部分的に暗号化することはできません。
Domino® と Notes® では、シングルログアウト機能はサポートされません。このため、組織で SAML を構成する場合は、Notes と Domino のリソースへの物理的なアクセスを防ぐために、ユーザーがそれぞれのデスクトップ上で安全策を取るようにしてください。
このリリースでは、オンプレミス Domino® サーバーは資格情報ストアアプリケーション (credstore.nsf) を使用できます。資格情報ストアとは、IBM Notes® クライアントユーザーが OAuth (Open Authorization) プロトコルを使用するアプリケーションへのアクセスを許可するために必要な文書暗号キーやその他のトークンのためのセキュアなリポジトリです。OAuth はユーザーの資格情報を OAuth 準拠のアプリケーションで共有できるようにすることで、余分なパスワード入力を排除します。