Web サーバー IdP 設定文書を作成する
SAML 認証に参加する Web サーバーの IdP 設定文書を作成します。
始める前に
注: 例えば、ID ボールトによる統合ログイン用に別の IdP 設定文書を作成する場合は、ファイルのバックアップコピーを作成します。その IdP 設定文書に .xml ファイルをインポートすると、.xml ファイルはローカルシステムから削除されます。
このタスクについて
手順
- idpcat.nsf を開きます。
- [IdP 構成の追加] をクリックして、新規構成文書を作成します。
-
[XML ファイルのインポート] をクリックし、IdP からエクスポートしたメタデータ .xml ファイルを選択します。ADFS では、このファイル名は通常 FederationMetadata.xml です。
.xml ファイルから以下の情報がインポートされます。
表 1. metadata.xml ファイルから値が生成される IdP 設定文書のフィールド。 フィールド 説明 プロトコルバージョン 以下のいずれかです。 - SAML 2.0
- SAML 1.1
- TFIM
統合製品 以下のいずれかです。 - AuthnRequest SAML 2.0 互換
- ADFS
- TFIM
注: Authn は、SAML 2.0 で使用可能な標準の認証プロトコルです。IdP が Authn をサポートするように設定されている場合は、AuthnRequest SAML 2.0 互換を選択するのがベストプラクティスです。成果物解決サービス URL Domino® は、[統合製品] フィールドに指定された統合サービスの成果物 URL を生成します。 例えば、Renovations という組織が TFIM、SAML 2.0、SSL を使用している場合、以下の成果物 URL が生成される可能性があります。https://tfim.renovations.com/FIM/sps/samlTAM20/soap。
シングルサインオンサービス URL インポートされた XML ファイルでこのデータを使用できる場合、Domino® は [統合製品] フィールドに指定された統合サービスのログイン URL を生成します。 例えば、Renovations という組織が TFIM、SAML 2.0、SSL を使用している場合、以下のログイン URL が生成される可能性があります。https://tfim.renovations.com/FIM/sps/samlTAM20/logininitial。
注: このフィールドの値は、IdP の予期される URL のサブセットです。Domino® サーバーは、必要に応じて完全な URL を生成します。署名 X.509 証明書 IBM Domino® は、ファイルから証明書コードをインポートします。 暗号化 X.509 証明書 IBM Domino® は、ファイルから証明書コードをインポートします。
注: このフィールドは、[タイプ] フィールドが SAML 2.0 に設定されている場合にのみ表示されます。プロトコルサポート列挙 Domino® は、[タイプ] フィールドに指定された SAML リリースのプロトコルのうち、指定された IdP でサポートされるプロトコルを示す文字列を生成します。この文字列は、この構成文書で指定された IdP に対するサービスプロバイダとして IBM Domino® が提供する認証 URL の一部となります。 例えば、url.oasis.names.tc:SAML:2.0:protocol。
-
[基本] タブ > [ホスト名またはこのサイトにマップされたアドレス] フィールドで、Web サーバーの DNS ホスト名を 1 つ以上設定します。
制約事項: Domino Web サーバーが SSL を使用している場合は、各ホスト名の後に、IP アドレスをセミコロンで区切って指定する必要があります。重要: ここに入力するホスト名は、サーバー文書の [インターネットプロトコル/HTTP] タブの [ホスト名] フィールド、またはインターネットサイト (Web サイト) 文書の [ホスト名またはこのサイトにマップされたアドレス] フィールドに入力した内容と一致していなければなりません。
例えば、「mail01.us.renovations.com;n.nn.nnn.n」と入力します。
ロードバランサを使用してサーバー間に要求を分散させた場合は、ターゲット Web サーバーのホスト名および IP アドレスに加えて、ロードバランサのホスト名および IP アドレスも含めます。各サーバーをセミコロンで区切るか、または Enter を押します。以下に例を示します。
mail.us.renovations.com;n.nn.nnn.n mail01.us.renovations.com;n.nn.nnn.n mail02.us.renovations.com;n.nn.nnn.n
- [状態] に対して [無効] を選択します。これは、後の手順「Domino で SAML 認証を有効にする」で有効にします。
-
[サービスプロバイダ ID] フィールドに、IdP のサービスプロバイダパートナーとして Web サーバーを識別する値を入力します。
- この値は、正しく構成された URL にする必要がありますが、HTTP 接続には使用されません。
- SSL を使用している場合は (ADFS には必須)、URL に https: を指定します。
- この値は、Web サーバーを識別するために作成する IdP 信頼または連携の値に一致する必要があります。例えば、ADFS では、この値は証明書利用者信頼の [証明書利用者信頼の識別子] ボックスに指定された値に一致する必要があります。
-
[基本] タブの [IdP 名] フィールドで、Identity Provider の Web サイトを表す名前を入力します。ここでは、正確な名前を指定する必要はありません。管理上、都合のよい名前でかまいません。
例えば、Renovations という組織にはサードパーティによってホストされるサポートサイトがあり、そのサードパーティは IBM® Tivoli® Federated Identity Manager を使用して Identity Provider としての機能を提供する場合、管理者は Renovations Customer Support (TFIM) などのように入力してかまいません。
-
IdP 設定文書を保存して閉じます。IdP 設定文書が現在無効で、サービスプロバイダ URL を解決できないため、以下のメッセージが表示されます。[はい] をクリックして先へ進み、保存します。
有効な URL ではないか、DNS 名を解決できませんでした: <URL>. このまま保存しますか?
- オプション: 機密データを保護するために SAML アサーションを暗号化する場合は、タスク「証明書を生成して SAML アサーションを暗号化する」を完了します。これをタスク「Domino Web 設定を .xml ファイルにエクスポートする」よりも先に完了して、証明書に idp.xml ファイルが含まれるようにします。