Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
このタスクについて
SAML 認証を使用すると、指定された ID プロバイダ (IdP) でユーザー認証を一度行うだけで、その IdP とパートナーになっている任意のサーバーにアクセスできるようになります。Notes® クライアントと Web クライアントのどちらのユーザーも SAML 認証を利用できます。認証は署名付きの XML ID アサーションに依存します。結果的にユーザーに対して透過認証とシングルサインオンが実現され、複数の Domino® Web サーバーとアプリケーション、さらに IdP とパートナーになっているサードパーティ製アプリケーションに対してもワンタイム認証が適用されます。ワンタイム認証の方式は IdP によって決定されます。したがって、ユーザーにパスワードを求めるプロンプトが出される場合もあれば、イントラネット内のユーザーに対して非パスワード認証方式 (統合 Windows™ 認証 (SPNEGO/Kerberos) など) が使用される場合もあります。
- Windows、Mac、Citrix 上の Notes® クライアント・ユーザーの場合、SAML 認証を設定して、ID ボールトへのユーザー認証を行うことができます。この設定では、ユーザーが Notes クライアントを起動すると IdP からのログイン・ページが表示され、認証を行うと ID ボールトから ID がダウンロードされます。この設定は、Notes 統合ログイン (NFL) と呼ばれます。
- オペレーティング・システムが Microsoft Active Directory ドメインに結合されている Windows™ または Citrix 上の Notes® クライアント・ユーザーの場合、SAML 認証によりシングル・サインオン・ソリューションを実行できます。このソリューションでは Active Directory フェデレーション・サービス (ADFS) で統合 Windows™ 認証 (IWA) を設定します。Notes® クライアント起動時の SAML 認証は、統合 Windows 認証 (IWA) によるNotes®統合ログインとも呼ばれます。なお、SAML の HTTP 部分は Notes® クライアント内で処理されるため、HTTP サーバータスクを Domino® ボールトサーバー上で実行する必要はありません。
- HCL iNotes® ユーザーや HCL Verse ユーザーなど Web クライアント・ユーザーの場合も、SAML 認証を使用することでシングル・サインオン・ソリューションが助長されます。このソリューションでは、ユーザーの ID ファイルが Notes® ID ボールトからダウンロードされます。このタイプの SAML 認証は Web 統合ログインと呼ばれ、これにより、iNotes ユーザーや Verse ユーザーはセキュアなメール操作を使用できます。
- Web サーバー上の他のアプリケーションのユーザーの場合は、SAML ベースのシングルサインオンが、Domino® で既に使用可能な別のシングルサインオン (SSO) 方式(マルチセッションサーバー認証) の代替手段となります。SAML は、ご使用の Domino® 環境に含まれるサードパーティ製 Web アプリケーションのサービスにユーザーがアクセスする場合や、マルチセッションサーバー認証では組織にとって制限が多すぎる場合 (ターゲット環境が複数の DNS ドメイン間での SSO を必要とする場合など) に最も便利です。
Domino は、SAML 2.0 AuthNRequest 対応の IdP をサポートしています。この機能を持つほとんどの IdP は、Domino で動作することが知られています。さらに、Domino は Microsoft Active Directory フェデレーション・ サービス (ADFS) でもテストされています。ADFS バージョン 3、4、5 は Domino でサポートされています。
互換性
組織が使用するもの | SAML が推奨されない理由 |
---|---|
スマートカードで保護された ID | スマートカードで保護された ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、スマートカードで保護された ID を統合ログインのユーザー ID にすることはできません。 |
Notes® ローミングユーザーであり、サーバー上のローミング用の個人アドレス帳に ID ファイルが格納されているユーザー。 | ローミング用の個人アドレス帳に ID が格納されている Notes® ローミングユーザーを統合ログインユーザーにすることはできません。ローミング用の個人アドレス帳に格納された Notes® ID では、Notes® 統合ログインに必要な ID ボールトを使用できないためです。 |
Notes® (USB デバイス上) | USB デバイス上の Notes® では、Notes® 統合ログインに必要な ID ボールトを使用できないため、USB デバイス上の Notes® で統合ログインを使用することはできません。 |
Notes® ユーザー ID (複数のパスワードを保有) | 複数のパスワードを持つ ID では、Notes® 統合ログインに必要な ID ボールトを使用できないため、複数のパスワードを持つ Notes® ユーザー ID を統合ログインのユーザー ID にすることはできません。 |
Notes® ユーザーに対するサーバーベースのパスワードチェック | すべての Notes® ユーザーを Notes® 統合ログイン用に設定する場合は、サーバープラットフォーム上でこの機能を無効にしてください。非統合ログインユーザーに対してはパスワードチェックを強制できますが、統合ログインユーザーに対しては強制できません。 |
Notes クライアントとともにインストールされる Notes シングルログインコンポーネント | この設定は、Notes 統合ログインではサポートされていません。 |
Notes Basic 版クライアント、Domino Administrator クライアント | これらのクライアントは、Notes 統合ログインではサポートされていません。Notes Standard 版クライアントが必要です。 |