Active Directory Federation Services (ADFS) を準備する
IdP が Microsoft™ Active Directory Federation Services (ADFS) である場合は、以下の手順を完了して、Domino で ADFS を使用する準備を整えます。
このタスクについて
手順
-
以下の要件を満たしていることを確認してください。
- 以下のいずれかの ADFS バージョンをインストールし、設定している。
- 2.0 (Windows Server 2008 R2 に搭載)
- 3.0 (Windows Server 2012 R2 に搭載)
- 4.0 (Windows Server 2016 に搭載)
- ADFS サーバー上の Secure Sockets Layer (SSL) 証明書に証明機関 (CA) の署名がある。CA ルート証明書がドメインポリシーによってクライアントにデプロイされる (ADFS ベストプラクティス)。
- Active Directory 信頼関係が導入されている場合を除き、以下のコンポーネントが同じ Active Directory ドメインにあること。
- ADFS サーバー
- ユーザーレコード
- ユーザーのログイン元のクライアントコンピュータ。(統合 Windows™ 認証のみ)
- 以下のいずれかの ADFS バージョンをインストールし、設定している。
- ADFS サーバーが動作していることを確認します。手順については、Microsoft の記事「フェデレーションサーバーが正常に動作していることを確認する」を参照してください。
-
https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx に移動し、ユーザーがログインできることをテストします。
- [This page cannot be displayed] というエラーが表示された場合は、IdP サインオンページを有効にしてください。
- ADFS サーバーの Windows PowerShell で、以下のコマンドを実行します。
Get-AdfsProperties
- 出力で
EnableIdpInitiatedSignonPage
という行がFalse
かどうかを確認します。EnableIdpInitiatedSignonPage :False
- この値が
False
の場合は、以下のコマンドを実行して、True
に設定します。set-ADfsProperties -EnableIdPInitiatedSignonPage $true
- 次のコマンドを実行して、変更を確定します。
Get-AdfsProperties
- ADFS サービスを再開します。
- ADFS サーバーの Windows PowerShell で、以下のコマンドを実行します。
- [This page cannot be displayed] というエラーが表示された場合は、IdP サインオンページを有効にしてください。
-
以下の 2 つのフィールドのコンテンツが各ユーザーで一致していることを確認します。
- Domino ディレクトリのユーザー文書の [インターネットアドレス] フィールド。
- ユーザー ADFS プロパティボックスの [メール] フィールド。
- オプション:
統合 Windows 認証を使用する場合は、ブラウザーで有効しなければならない場合もあります。詳しくは、統合 Windows 認証用にブラウザを設定するを参照してください。
注: ユーザーログイン名は、メールアドレスのように見えますが、同じものではありません。