SAML の Domino 前提条件を満たす
SAML で必要になる以下の Domino 設定を完了してください。
ディレクトリ名のマッピング (ADFS のみ)
Active Directory mail
属性のユーザーアドレスが Domino ディレクトリユーザー文書にある [インターネットアドレス] フィールドのアドレスと同じである場合、追加のディレクトリ設定は必要ありません。そうでない場合、altSecurityIdentities
などの Active Directory 属性に Notes 識別名を追加する必要があります。次に、その属性を使用して Active Directory の名前に Domino 名をマップするようにディレクトリアシスタントを設定します。詳しくは、リモート LDAP ディレクトリで Notes 識別名を使用するを参照してください。
シングルサインオン
ユーザーが複数の Domino サーバーにアクセスする場合や、WebSphere サーバーと Domino サーバーにアクセスする場合には、シングルサインオンが必要です。SAML 認証を設定する前に、シングルサインオンを設定し、それが機能することをテストします。単一サーバーセッション認証ではなく複数サーバーセッション認証を使用するのがベストプラクティスです。詳しくは、複数サーバーのセッションベースの認証 (シングルサインオン)を参照してください。
SSL 証明書
ID ボールト
Web 統合ログインや Notes 統合ログインの場合、ID ボールトをセットアップする必要があり、参加するユーザーはボールトに ID を持っている必要があります。セキュリティポリシー設定によって、ユーザーをボールトに割り当てるようにしてください。詳しくは、ユーザーをボールトに対応づけるを参照してください。
iNotes でボールトを使用できるようにしてください。iNotes ユーザーの ID ファイルがボールトにアップロードされているかどうかを確認するには、ボールト管理者が ID ボールトアプリケーションを開き、ボールトユーザーのビューにそのユーザーの名前が表示されているかどうかを調べます。詳しくは、ID をデータベースに保存してボールトを使用するプログラムを有効にするを参照してください。
セキュリティ設定
- サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。
- Notes クライアントパスワードとインターネットパスワードとの同期など、SAML ユーザーに割り当てられたセキュリティポリシーで有効になっている Web パスワード管理の設定をすべて無効にします。
Domino Web サーバーテスト (推奨)
SAML 構成には、Domino 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを検討してください。これには、Web ユーザーとしてログインするための Domino の設定作業が含まれます (例えば、Domino サーバーのセットアップ時に Domino ディレクトリに設定された Domino 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino ユーザーとしてログインすることができ、Domino サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。