Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
このタスクについて
SAML 認証を使用すると、指定された ID プロバイダ (IdP) でユーザー認証を一度行うだけで、その IdP とパートナーになっている任意のサーバーにアクセスできるようになります。Notes® クライアントと Web クライアントのどちらのユーザーも SAML 認証を利用できます。認証は署名付きの XML ID アサーションに依存します。結果的にユーザーに対して透過認証とシングルサインオンが実現され、複数の Domino® Web サーバーとアプリケーション、さらに IdP とパートナーになっているサードパーティ製アプリケーションに対してもワンタイム認証が適用されます。ワンタイム認証の方式は IdP によって決定されます。したがって、ユーザーにパスワードを求めるプロンプトが出される場合もあれば、イントラネット内のユーザーに対して非パスワード認証方式 (統合 Windows™ 認証 (SPNEGO/Kerberos) など) が使用される場合もあります。
- Windows™ または Citrix の Notes® クライアントユーザーの場合、通常、統合 Windows™ 認証 (IWA) 用に設定された IdP を使用することで、SAML 認証によってシングルサインオンソリューションが容易になります。Notes® クライアント起動時の SAML 認証は、Notes®統合ログインとも呼ばれます。なお、SAML の HTTP 部分は Notes® クライアント内で処理されるため、HTTP サーバータスクを Domino® ボールトサーバー上で実行する必要はありません。
- HCLiNotes® ユーザーなど Web クライアントユーザーの場合も、SAML 認証を使用することでシングルサインオンソリューションが助長されます。このソリューションでは、ユーザーの ID ファイルが Notes® ID ボールトからダウンロードされます。このタイプの SAML 認証は Web 統合ログインと呼ばれ、これにより、iNotes ユーザーはセキュアなメール操作を使用できます。
- Web サーバー上の他のアプリケーションのユーザーの場合は、SAML ベースのシングルサインオンが、Domino® で既に使用可能な別のシングルサインオン (SSO) 方式(マルチセッションサーバー認証) の代替手段となります。SAML は、ご使用の Domino® 環境に含まれるサードパーティ製 Web アプリケーションのサービスにユーザーがアクセスする場合や、マルチセッションサーバー認証では組織にとって制限が多すぎる場合 (ターゲット環境が複数の DNS ドメイン間での SSO を必要とする場合など) に最も便利です。
管理者は、SAML 認証を使用するように Domino® サーバーを設定することができます。それには、このサーバーを Microsoft Active Directory Federation Services (ADFS) などのオンプレミスの統合 ID サーバーのパートナーにします。ADFS サーバーが ID プロバイダ (IdP) になり、Domino® サーバーが SAML 認証サービスのプロバイダとしてこの IdP に登録されます。
Domino® は SAML 1.1 と SAML 2.0 の両方をサポートしていますが、選択した ID プロバイダによっては、使用する SAML バージョンを選べない場合があります。組織が SAML 1.1 を使用する具体的な理由がない限り、SAML 2.0 を使用することをお勧めします。特定のアプリケーションでシングルサインオンをサポートするために SAML 1.1 が必要であれば、SAML 1.1 を使用してください。
ID プロバイダ (IdP) | SAML バージョン |
---|---|
IBM® Tivoli® Access Manager/Tivoli Federated Identity Manager (TAM/TFIM) | SAML 1.1 または SAML 2.0 |
Microsoft™ Active Directory Federation Services (ADFS)。 以下のバージョンがサポートされています。
|
SAML 2.0 必須 |
組織で RSS フィードを使用している場合は、SAML 認証を有効化すると RSS フィードで予期しない結果が生じる可能性があります。
互換性
組織が使用するもの | SAML が推奨されない理由 |
---|---|
スマートカードで保護された ID | スマートカードで保護された ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、スマートカードで保護された ID を統合ログインのユーザー ID にすることはできません。 |
Notes® ローミングユーザーであり、サーバー上のローミング用の個人アドレス帳に ID ファイルが格納されているユーザー。 | ローミング用の個人アドレス帳に ID が格納されている Notes® ローミングユーザーを統合ログインユーザーにすることはできません。ローミング用の個人アドレス帳に格納された Notes® ID では、Notes® 統合ログインに必要な ID ボールトを使用できないためです。 |
Notes® (USB デバイス上) | USB デバイス上の Notes® では、Notes® 統合ログインに必要な ID ボールトを使用できないため、USB デバイス上の Notes® で統合ログインを使用することはできません。 |
Notes® ユーザー ID (複数のパスワードを保有) | 複数のパスワードを持つ ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、複数のパスワードを持つ Notes® ユーザー ID を統合ログインのユーザー ID にすることはできません。 |
Notes® ユーザーに対するサーバーベースのパスワードチェック | すべての Notes® ユーザーを Notes® 統合ログイン用に設定する場合は、サーバープラットフォーム上でこの機能を無効にしてください。非統合ログインユーザーに対してはパスワードチェックを強制できますが、統合ログインユーザーに対しては強制できません。 |
Notes クライアントとともにインストールされる Notes シングルログインコンポーネント | この設定は、Notes 統合ログインではサポートされていません。 |
Notes Basic 版クライアント、Domino Administrator クライアント | これらのクライアントは、Notes 統合ログインではサポートされていません。Notes Standard 版クライアントが必要です。 |