SAML アサーションの暗号化に使用する証明書を IdP 設定文書から自動的に生成できます。
このタスクについて
ユーザーを認証するサーバーから証明書を作成します。Web ユーザー (Web 統合ログイン) の場合、セキュアなメール操作を使用できるように、メールサーバーごとに証明書を作成します。Notes ユーザー (Notes 統合ログイン) の場合、ID ボールトサーバーから証明書を作成します。
この手順は、サーバー ID ファイルがパスワードで保護されていない場合や、サーバー ID ファイルに新しいインターネット証明書を作成する場合に使用できます。それ以外の場合は、手順に従って手動で証明書を生成します。
このタスクを完了するには、[フルアクセスアドミニストレーター] > [管理者] > [制限なしで署名または実行] で、サーバー文書に自分の名前がリストされている (あるいはグループに属している) 必要があります。
IdP 設定文書の
[証明書の作成] ボタンで自動的に証明書を生成します。
注: IdP 設定文書の [XML のエクスポート] ボタンを使用して設定を idp.xml ファイルにエクスポートする前に、この手順を完了してください。そうすると、証明書は IdP にインポートする Domino メタデータ .xml ファイル (idp.xml) に自動的に含められます。
手順
-
idpcat.nsf の Web サーバー IdP 設定文書または ID ボールトサーバー IdP 設定文書を開きます。これは、証明書を生成するサーバー上で開きます。
-
[証明書管理] タブをクリックします。
-
[SP 証明書の作成] をクリックします。[会社証明書の作成] プロンプトで、会社名を入力し、[OK] をクリックして、その名前を [会社名] フィールドに追加します。
証明書を作成するときに、IBM Domino® は [会社名] フィールドの文字列の前に「CN=」を付加し、この名前を証明書の所有者として使用します。メタデータファイルがインポートされると、この名前は IdP 構成で表示されるようになります。
-
[Domino URL] フィールドに、Domino サーバーの URL 内で完全修飾 DNS 名を示す文字列を入力します。
たとえば、次のように入力します。
https://your_SAML_service_provider_hostname
このフィールドの文字列は、ユーザーの SAML アサーションを IBM Domino に返送するための URL の先頭部分として IdP で使用されます。
注: このホスト名に vault
が含まれることはありません。それが [基本] タブの [サービスプロバイダ ID] に含まれている場合でも同じです。
注: Domino で SSL が構成されていないため、IdP に対して TFIM を使用する場合、この設定には https ではなく http を含める必要があります。例えば、以下のようにします。http://domino1.us.renovations.com。
注: 通常は、[基本] タブの [サービスプロバイダ ID] フィールドに入力した文字列を使用できます。ただし、 Notes® 統合ログインと iNotes® Web 統合ログインの両方で使用される ID ボールトのパートナーシップを設定する場合は、その代わりとして、iNotes サーバーの Web アドレス (DNS ホスト名、またはインターネットサイト名) の完全修飾 DNS 名を URL に使用します。例:https://dom1.renovations.com。
-
[シングルログアウト URL] フィールドに URL を入力します。IdP でシングルログアウトが必要ないか、サポートされていない場合でも、構文的に正しい URL を入力して、エクスポートされたメタデータファイルが正しい構文になるようにしてください。SAML 2.0 を使用する TFIM IdP の構成では、IBM Domino が現在 SAML 2.0 シングルログアウト機能を実装していなくても、IdP と Domino メタデータファイルにシングルログアウト URL を指定する必要があります。
以下に、TFIM のログアウト URL の例を示します。
https://your_tfim_server.com/sps/samlTAM20/saml20
次のタスク
Web サーバーまたは ID ボールトサーバー設定を idp.xml にエクスポートします。