Notes クライアントユーザーが、Notes ID パスワードの入力を求められることなく、Notes を起動してセキュアな操作を実行できるようにするには、Notes 統合ログインを有効にします。
手順
-
Domino ディレクトリで、組織の ID ボールトのユーザー用の既存のセキュリティ設定ポリシーを開きます。
-
[ID ボールト] タブで、割り当てられたボールトが存在することを確認します。
-
タブを選択します。
-
[SAML IdP との Notes 統合ログインを有効にする] で [はい] を選択します。
-
9.0.1 にアップグレードしたクライアントユーザーの場合は、ポリシーを最初にデプロイするときに、[統合ログインの追加設定 (Notes または Web)] の下の [ID ボールトを使用したパスワード認証を許可] で [はい] を選択します。
ヒント: ユーザーの統合ログインの成功を確認した後は、セキュリティ向上のために [ID ボールトを使用したパスワード認証を許可] を [いいえ] に変更することをお勧めします。ID ボールトを使用したパスワード認証が許可されていない場合、このユーザーは、Notes または Web 用のユーザーの ID をダウンロードするためには、統合ログインを使用したボールトへの認証が必要となります。このポリシー設定では IBM Notes と Web の両方の動作が ID ボールトを使用して制御されるため、この設定は、統合ログイン以外は使用しないという場合にのみ [いいえ] に変更してください。
- オプション:
統合ログインが有効または無効になったときにユーザーに通知するカスタムメッセージを作成します。
-
[キーと認証] タブを選択します。
-
ポリシーに Notes 認証者を追加するには、[管理者の信頼のデフォルト] セクションの [リンクの更新] をクリックします。
-
[選択されたものをサポート] を選択し、[OK] をクリックします。
-
[Notes 認証者] タブをクリックし、Notes ユーザーの ID に署名した証明書を選択し、[OK] をクリックします。
注: ID が組織単位 (OU) 証明書によって署名された場合は、組織証明書をはじめ階層内のすべての証明書を含めます。
-
[インターネット相互認証] タブをクリックし、ADFS または TFIM 2.0 からエクスポートされた証明書に対する Notes ルート認証者からの相互認証を選択し、[OK] をクリックします。
-
[インターネット認証] タブをクリックし、ADFS または TFIM 2.0 からエクスポートした SSL 証明書を選択して、[OK] をクリックします。
-
3 つ以上の証明書からなるチェーンが表示されることを確認します (組織単位証明書があれば、証明書の数はさらに増えます)。最上位に Notes 認証者があり、中央にインターネット相互認証があり、最下位にインターネット認証があります。
例:
- オプション:
複数のコンピュータを持つクライアントの場合は、特定のコンピュータにポリシーを適用するための式を [マシン固有の式] に入力します。
-
セキュリティポリシーを保存して閉じます。
-
Domino Administrator から、ID ボールトアプリケーション ((idvault.nsf) を開きます。このアプリケーションは、デフォルトでは IBM_ID_VAULT ディレクトリに保管されています。以下のステップを完了します。
-
構成ビューから、SAML 認証用に構成するボールトのボールト文書を開きます。
-
[Notes 統合ログイン承認 IdP 構成] フィールドに、ID ボールトサーバー IdP 設定文書の [ホスト名またはこのサイトにマップされたアドレス] フィールドにあるホスト名を入力します。例えば、vault.domino1.us.renovations.com です。
-
[保存して閉じる] をクリックします。