SSO LTPA トークン内のユーザー名マッピングを設定する

ユーザーのシングルサインオンを認証するために作成された LTPA トークンには、認証されているユーザーの名前が含まれています。HCL Domino® は LTPA トークンの作成時に、デフォルトでトークン内に Domino® の識別名を設定します。IBM® WebSphere® アプリケーションサーバー サーバーにアクセスしようとしているユーザーからトークンを取得した WebSphere サーバーは、この名前形式を認識できる必要があります。認識できない場合、そのトークンは無視されてシングルサインオンは失敗します。また、ユーザーは、再ログインを行うよう求められます。

このタスクについて

このような状況は一般的に、SSO 環境に参加している様々なサーバーによって使用される複数ディレクトリのある、エンドユーザーの設定で発生します。また、この設定では、ユーザーは複数の ID を持つ場合があります。例えば、あるユーザーは、WebSphere LDAP ディレクトリ内では uid=jdoe,cn=sales,dc=renovations, dc=com として認識される一方、Domino® ディレクトリでは同じユーザーが John P Doe/Sales/Renovations として認識されている場合があります。WebSphere は、John P Doe/Sales/Renovations などのユーザー名を含む LTPA トークンを受信した場合、このユーザーを WebSphere ディレクトリ内で検索しますが、見つからない場合にはトークンを拒否します。

ここで Domino® 管理者は、Domino® と WebSphere が混在する環境で、Domino®WebSphere® が同じディレクトリを共有しない場合に、確実に名前が認識されるように、Domino で作成された LTPA トークン内に表示されるユーザー名を、WebSphere® で処理できる名前にマッピングすることができます。

注: リリースが混在する Domino® 環境で LTPA トークン内のユーザー名をマッピングする場合、マッピングが正常に機能するには、そのトークンが Domino® 7.0 以降のサーバーで生成されている必要があります。LTPA トークン内のユーザー名の値を、(例えば別名を設定する目的で) Domino 7.0 よりも以前のサーバー内のユーザー文書にある [Fullname] フィールドに 2 つ目の値として追加すると、そのユーザーは Domino® 6.02 以降のサーバーや WebSphere サーバーのデータベースにもアクセスできます。

LTPA トークン内で使用されるユーザー名の指定方法は、シングルサインオン環境で使用するディレクトリ設定の内容により異なります。

  • HCL Notes® ユーザー情報を Domino® ディレクトリだけに格納している場合、ユーザー名のマッピングはユーザー文書内で指定します。
  • Notes® ユーザー情報を組織の LDAP ディレクトリに格納している場合、ユーザー名のマッピングはディレクトリアシスタント内で設定します。
  • 組織が Domino® ディレクトリと LDAP ディレクトリの両方を使用している場合は、Domino® ユーザーレコードとディレクトリアシスタント SSO 情報の両方を設定します。

一般に [LDAP ディレクトリ] フィールドと [Domino® ディレクトリ] フィールドは 1 対 1 で対応しないため、ディレクトリアシスタント文書を名前のマッピングに使用する場合、LDAP 管理者は LTPA の [ユーザー名] フィールドと同等に使用する LDAP のフィールドを指定できます。

注: SSO 設定文書でマッピング機能を無効にすると、ディレクトリアシスタント文書内にあるすべての名前のマッピング設定は無視されます。

Domino® ディレクトリ環境でユーザー名マッピングを設定するには

このタスクについて

この環境では、一部の Domino® SSO ユーザーは Domino® ディレクトリ内にユーザーレコードを持っています。

手順

  1. LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名]有効にするオプションを選択します。
  2. そのユーザーのユーザー文書で、[管理情報] をクリックします。[クライアント情報] で、[LTPA ユーザー名] フィールドに WebSphere® で使用されるユーザー名 DN を入力します。

    このフィールドに入力する値は一意でなければなりません。つまり、組織内で 2 人以上のユーザーと一致してはいけません。一般的には、これはユーザーの LDAP 識別名 (DN) です。名前の各要素はスラッシュ (/) で区切ります。たとえば、LDAP 識別名が次の場合、

    uid=jdoe,cn=sales,dc=renovations, dc=com 

    次のように値を入力します。

    uid=jdoe/cn=sales/dc=renovations/dc=com

タスクの結果

名前は [LTPA ユーザー名] フィールドに Domino® 形式で入力されますが、Domino® は設定された LTPA ユーザー名を WebSphere で使用される適切な LDAP 形式に変換してからそれを Domino によって作成された LTPA トークンに入れます。

会社の LDAP ディレクトリ環境 (Domino® と LDAP ディレクトリが混在する環境) でユーザー名マッピングを設定するには

このタスクについて

この環境では、一部またはすべての Domino® ユーザーは、Domino® ディレクトリ内にユーザーレコードを持っていません。それらの Domino® ユーザーは、代わりに、Directory Assistance を通じて Domino® にアクセスできる外部 LDAP ディレクトリにレコードを持っています。

手順

  1. LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名]有効にするオプションを選択します。
  2. LDAP ディレクトリのディレクトリアシスタント文書を開きます。[SSO 設定] セクションで、このユーザー用に作成された SSO トークンでユーザー名として使用する LDAP 属性を入力します。[LTPA_UserNm] フィールドが要求されると、この属性が LTPA トークン内で使用されます。選択したフィールドに WebSphere® が処理できるユーザー名が入力されていることを確認してください。このフィールドのオプションには、次のものが含まれます。
    • ユーザーを一意で識別する、すべての適切な LDAP 属性。
    • LDAP 識別名に使用する $DN の値。これはもっとも一般的な設定であり、ユーザーの LDAP DN が、任意の LDAP フィールドに入力されている名前ではなく、WebSphere® が処理できる名前であることを示しています。
    • Domino® 識別名が既知の場合、それをデフォルトに設定するにはこのフィールドを空白のままにします。Domino 識別名が既知でない場合は、LDAP 識別名がデフォルトとして設定されます。

タスクの結果

ディレクトリアシスタントが、特定のユーザーフィールドの検索で Domino® ディレクトリと LDAP ディレクトリの両方に一致する項目が見つかるように設定されている場合、Domino®Domino® のユーザーレコードと LDAP のレコードの間の一貫性を要求します。Domino® は両方のディレクトリ内にあるインターネットメールアドレスに一致する値があることを確認するために追加の手順を実行します。このために DA はユーザーの LDAP mail 属性を検索します。この値は Domino® のユーザーレコードの [internetaddress] フィールドの情報と一致しなければなりません。

1. SSO が正しく動作するために一致しなければならない値
LDAP ディレクトリ内の属性 Domino® ディレクトリ内の属性

mail: Jbond@secret.spies.com

internetaddress: Jbond@secret.spies.com

名前のマッピングを設定する際には、以下の追加の考慮事項に留意してください。

  • ユーザー文書で別名をサポートするには、LDAP 名を、[LTPA_UserNm] フィールドと [ユーザー名] フィールド (2 つ目の値として) の両方に追加します。[ユーザー名] フィールドの 2 つ目の値は、文書属性の Fullname となります。
  • HCL Sametime® サーバーはインターネットサイトの設定をサポートしていません。
  • 要約されたディレクトリカタログにユーザー情報が格納されている場合は、LTPA トークンでの名前のマッピングがサポートされません。