SAML の Domino 前提条件を満たす
SAML で必要になる以下の Domino 設定を完了してください。
ディレクトリ名のマッピング (ADFS のみ)
Active Directory mail
属性のユーザーアドレスが Domino ディレクトリユーザー文書にある [インターネットアドレス] フィールドのアドレスと同じである場合、追加のディレクトリ設定は必要ありません。そうでない場合、altSecurityIdentities
などの Active Directory 属性に Notes 識別名を追加する必要があります。次に、その属性を使用して Active Directory の名前に Domino 名をマップするようにディレクトリアシスタントを設定します。詳しくは、リモート LDAP ディレクトリで Notes 識別名を使用するを参照してください。
シングルサインオン
ユーザーが複数の Domino サーバーにアクセスする場合や、WebSphere サーバーと Domino サーバーにアクセスする場合には、シングルサインオンが必要です。SAML 認証を設定する前に、シングルサインオンを設定し、それが機能することをテストします。単一サーバーセッション認証ではなく複数サーバーセッション認証を使用するのがベストプラクティスです。詳しくは、複数サーバーのセッションベースの認証 (シングルサインオン)を参照してください。
SSL 証明書
ID ボールト
Web 統合ログインや Notes 統合ログインの場合、ID ボールトをセットアップする必要があり、参加するユーザーはボールトに ID を持っている必要があります。セキュリティポリシー設定によって、ユーザーをボールトに割り当てるようにしてください。詳しくは、ユーザーをボールトに対応づけるを参照してください。
iNotes でボールトを使用できるようにしてください。iNotes ユーザーの ID ファイルがボールトにアップロードされているかどうかを確認するには、ボールト管理者が ID ボールトアプリケーションを開き、ボールトユーザーのビューにそのユーザーの名前が表示されているかどうかを調べます。詳しくは、ID をデータベースに保存してボールトを使用するプログラムを有効にするを参照してください。
セキュリティ設定
- サーバー設定文書の [セキュリティ] タブで [インターネットパスワードを強制的にロックアウト] フィールドを無効にします。
- Notes® クライアントパスワードとインターネットパスワードとの同期など、SAML ユーザーに割り当てられたセキュリティポリシーで有効になっている Web パスワード管理の設定をすべて無効にします。
Domino Web サーバーテスト (推奨)
SAML 構成には、Domino® 用と ID プロバイダ (IdP) 用の連携設定が必要であるため、まず Domino® Web サーバーの設定が IdP とは関係なく使用される場合に、基本的に堅固であることが必要です。このため、SAML を設定する前に、Domino® HTTP サーバーを単一サーバーセッションの認証用にセットアップすることを検討してください。これには、Web ユーザーとしてログインするための Domino® の設定作業が含まれます (例えば、Domino® サーバーのセットアップ時に Domino® ディレクトリに設定された Domino® 管理者を Web ユーザーとしてログインできるようにします)。この管理者が Domino® ユーザーとしてログインすることができ、Domino® サーバー上の URL を参照できたら、そのサーバーは SAML の構成と有効化のための準備ができています。