ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
時間ベースのワンタイム・パスワード (TOTP) 認証
ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
TOTP 認証を構成する
時間ベースのワンタイムパスワード認証 (TOTP) を構成するには、次の手順を実行します。
2. 構成設定文書で TOTP 認証を使用可能にする
構成設定文書を使用して、Domino® サーバーで TOTP を有効にします。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
  - TOTP 認証を構成する
    時間ベースのワンタイムパスワード認証 (TOTP) を構成するには、次の手順を実行します。
    - 1. ボールトの信頼証明書を TOTP に発行する
      時間ベースのワンタイム・パスワード (TOTP) 認証を使用できるようにするには、mfamgt サーバー・コマンドを使用して、ユーザーの Notes 認証者に対して多要素認証証明書を発行します。
    - 2. 構成設定文書で TOTP 認証を使用可能にする
      構成設定文書を使用して、Domino® サーバーで TOTP を有効にします。
    - 3. サーバーで TOTP 認証を有効にする
      構成設定文書で TOTP 認証を有効にした後、サーバー文書、インターネット・サイト文書、または仮想サーバー文書を使用して、サーバー上で有効にします。
    - 4. TOTP の安全なメール操作を使用可能にする
      オプションで、Notes ID を持つ Web ユーザー (iNotes ユーザーなど) のメールのセキュリティー保護操作 (暗号化解除、暗号化、署名) のサポートを構成できます。
    - 5. TOTP ログインフォームを設定する
      カスタム・ログイン・フォーム $$LoginUserFormMFA を使用する Domino Web サーバー設定データベースを作成します。
    - 6. ボールト・サーバーを再起動して TOTP を有効にする
      すべての構成手順を完了したら、ボールト・サーバーを再起動します。
  - ドメイン間 TOTP 認証を設定する
    2 次 Domino ドメインのユーザーに対して TOTP 認証を有効化できます。設定が完了すると、2 次ドメインに登録されているユーザーは、1 次 Domino ドメインに設定されている TOTP 認証を設定して使用できます。
  - TOTP 認証に関する Docker の考慮事項
    Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。
  - ユーザーが TOTP を設定する方法
    Domino サーバーで時間ベースのワンタイムパスワード (TOTP) 認証を有効にした後、次に Web ユーザーがサーバーにログオンするときに、次の手順に従って TOTP を設定します。
  - ユーザーの TOTP 設定をリセットする
    TOTP が有効となっているサーバーにログオンするための有効な TOTP トークンをユーザーが提供できない場合は、TOTP 構成をリセットして、TOTP を再設定することができます。
  - TOTP 用の notes.ini 設定
    以下のサーバー notes.ini 設定が、TOTP 構成をカスタマイズするために利用できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  この記事では、Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズに関する情報を提供します。

2. 構成設定文書で TOTP 認証を使用可能にする

構成設定文書を使用して、Domino® サーバーで TOTP を有効にします。

手順

Domino® Administrator で、[設定] タブをクリックし、[メッセージング] セクションを展開します。
[設定] を選択します。
[サーバー設定の追加] をクリックして、新しいサーバー設定文書を作成します。または既存のものを選択して、[設定の編集] をクリックします。
「セキュリティー」タブをクリックします。

[多要素認証] セクションの次のフィールドに入力します。

フィールド	説明
Web 認証用の時間ベースのワンタイムパスワード (TOTP)	[有効] を選択します。
緊急スクラッチコードを許可	[はい] (デフォルト) を選択すると、ユーザーは TOTP トークンではなく 10 個のスクラッチコードのいずれかを提供できます。このオプションは、TOTP アプリケーションを実行するデバイスが停止した場合など、ユーザーが TOTP アプリケーションを使用できない場合にログインできるようにするために便利です。ユーザーには、TOTP を正常にセットアップした直後にスクラッチコードが表示されます。スクラッチコードを使用した後は、再度使用することはできません。
スクラッチコードをユーザーにメールする	緊急スクラッチ・コードを許可する場合は、[はい] を選択すると、最初に TOTP を設定したとき、または設定がリセットされて再び設定された場合に、スクラッチ・コードを含む暗号化されたメールがユーザーに送信されます。また、セットアップ中にスクラッチ・コードをコピーすることもできます。
シークレットの最大数	各ユーザーが Domino サーバーにアクセスするために設定できる TOTP URI (アカウント) の数。1、2、または 3 (デフォルト)。TOTP アプリケーションが複数のデバイスで実行されている場合は、複数の TOTP URI を設定すると便利です。
アルゴリズム	トークンの生成に使用されるアルゴリズム。使用環境にサポートされていない古い TOTP アプリケーションが存在する場合を除き、デフォルトの HMAC-SHA256を使用します。注: ID ボールト・サーバーは、HMAC アルゴリズムのダウンロードを、HMAC-SHA256 から HMAC-SHA1 へのように、1 レベル分だけサポートしています。したがって、Google 認証システムなどの TOTP クライアントをサポートするために、デフォルトのアルゴリズムを HMAC-SHA256 として保持しています。Authy と Microsoft 認証システムは、現在 HMAC-SHA1 をサポートしており、HMAC-SHA1 または HMAC-SHA256 に対して有効になっているサーバーに対して動作します。

[保存して閉じる] をクリックします。