Web SSO 設定文書を作成する
Web SSO 設定文書は、HCL Domino® Directory に保管された、ドメイン全体にまたがる設定文書です。この文書は、シングルサインオンドメインに参加するすべての Domino® サーバーに複製する必要がありますが、関連するサーバーや管理者に対して暗号化されます。そして、ユーザー資格情報の確認時にサーバーが使用する共有シークレットキーが含まれています。
インターネットサイトを使用する場合に Web SSO 設定文書を作成するには
始める前に
また、クライアントのロケーション文書で、ホームサーバーやメールサーバーが SSO に参加する一連のサーバーと同じドメイン内のサーバーに設定されていることも確認してください。そうなっていれば、SSO 文書が暗号化されている場合に、参加するサーバーで使用するすべてのパブリックキーが見つかります。
手順
- Domino® Administrator で [ファイル] をクリックし、サーバーの Domino® ディレクトリ (通常は NAMES.NSF) を開きます。
- [インターネットサイト] ビューを選択します。
- [Web SSO 設定の作成] をクリックします。
- 文書で、[キー] をクリックします。
- 共有シークレットキーを使用し、次のいずれかの方法で Web SSO 設定を初期化します。
- [Domino のみ] (シングルサインオンに IBM® WebSphere® サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。このオプションを選択した場合は、手順 6 を実行せず、代わりに手順 7 に進んでください。
- [Domino と WebSphere] (WebSphere® でシングルサインオンする) を選択し、手順 6 に進みます。
- 次の設定を行います。
表 1. Domino® と WebSphere® SSO 設定フィールド フィールド
アクション
設定名
SSO 設定の名前を入力します。その際、以下の点に留意してください。
- 複数の Web SSO 設定文書を作成するには、各文書に一意の名前を付けます。Web SSO 文書は名前ごとに保存されるため、複数の文書が同じ名前を持っていると、SSO 設定が正常に機能しません。ただし、複数の SSO 文書の作成は、限られた条件の下でのみ有効です。複数の SSO 文書はすべてのプロトコルで認識されるとは限りません。特に、Java™ エージェント、とその他のローカル Java™ バックエンドクラスを使用するコンポーネントを含む SSO は、デフォルトの LtpaToken 以外の名前が使用されている場合は機能しません。
- シングルサインオンの設定が R5.0x サーバーを含むリリース混在設定である場合、[設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。
組織名
(必須) 組織名を入力します。この名前は、対応する Web サイトの組織名に一致していなければなりません。SSO 文書は、Web サイト文書とともに [インターネットサイト] ビューに表示されます。
DNS ドメイン
(必須) トークンが生成される DNS ドメイン (.renovations.com など) を入力します。シングルサインオンが有効なサーバーはすべて、指定した DNS ドメインに所属している必要があります。
DNS ドメインを入力するとき、必ず先頭にピリオド (.) を入力してください。例えば、
renovations.com
ではなく.renovations.com
と入力します。SSO ドメインに WebSphere® サーバーが含まれる場合、WebSphere® は DNS ドメインの大文字と小文字を区別するため、DNS ドメインの値を適切に (大文字と小文字を区別して) 指定します。
LTPA トークンのマップ名
このオプションを有効にすることによって、Domino で作成された LTPA トークンに表示されるユーザー名を WebSphere® SSO サーバーが処理できるユーザー名にマップします。Domino® と Websphere が混在する環境で作業していて、Domino® と WebSphere® が同じディレクトリを共有していない場合、この設定を有効にする必要があります。
Domino で作成された LTPA トークンが引き続きユーザーの Domino® 識別名を含むようにする場合は、このオプションを有効にしないでください。
Domino® サーバー名
シングルサインオンに参加する Domino® サーバーの名前 (server1/renovations、server2/renovations など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。
このフィールドに、グループ、ワイルドカード、WebSphere® サーバーの名前を入力することはできません。[サーバー名] フィールドで参加するサーバーとして指定できるのは、Domino® サーバーだけです。
注: このフィールドには、64 K というサイズ制限があります。この限度値に達すると (数百のサーバーの名前を入力した場合など)、エラーメッセージが表示されます。この限度値を超えてしまう場合は、Web SSO 文書を複数作成してください。Windows™ シングルサインオンの統合
このオプションを有効にすると、Web クライアント用の Windows™ シングルサインオンを Domino® サーバーで使用することができます。
LTPA Token のカスタム Cookie 名
ブラウザの Cookie 名としてデフォルト名
LtpaToken
を使用していない場合は、ブラウザの Cookie で使用する Domino のカスタム名を入力します。注:LtpaToken
が含まれないトークン形式を選択した場合、このオプションは表示されません。ヒント: このカスタム名は、HCL Digital Experience との互換性を保つのに有効です。Cookie 名では、先頭にドル記号文字を使用することはできません。また、下線、カンマ、セミコロン、空白文字は使用できません。ブラウザによっては、非 ASCII 文字を処理できないものがあり、その場合は使用できない特殊文字が指定されていることもあります。Domino では、Cookie 名は 128 文字に制限されます。
LTPA Token2 のカスタム Cookie 名
ブラウザの Cookie 名としてデフォルト名
LtpaToken2
を使用していない場合は、ブラウザの Cookie で使用する Domino のカスタム名を入力します。注:LtpaToken2
が含まれないトークン形式を選択した場合、このオプションは表示されません。ヒント: このカスタム名は、HCL Digital Experience との互換性を保つのに有効です。Cookie 名では、先頭にドル記号文字を使用することはできません。また、下線、カンマ、セミコロン、空白文字は使用できません。ブラウザによっては、非 ASCII 文字を処理できないものがあり、その場合は使用できない特殊文字が指定されていることもあります。Domino では、Cookie 名は 128 文字に制限されます。
LDAP 領域
このフィールドの値は WebSphere キーファイルから読み込まれます。このフィールドの編集は、サポートから指示された場合のみ行ってください。 期限 (分)
トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは指定されたこの時間の間だけ有効です。デフォルト値は 30 分です。
注: [アイドル状態のセッションのタイムアウト] が設定されている場合、セッションは期限で指定されている時刻よりも前にタイムアウトになることがあります (アクティブでない時間をもとにして)。アイドル状態のセッションのタイムアウト
(Domino のみの SSO 設定) 指定された期間アクティブでない場合にユーザーの SSO セッションを終了するには、このオプションを有効にし、最小時間の値を指定します。
注: [WebSphere LTPA キーの取り込み] を選択すると、このオプションは Web SSO 設定文書に表示されません。最小時間 (分)
[アイドル状態のセッションのタイムアウト] を有効にすると、このオプションが表示されます。実効タイムアウトは、指定された時間 (分) の 2 倍です。
Websphere LTPA キーを取り込んだ場合は、次のフィールドに必要な情報を設定します。
表 2. Websphere LTPA キーフィールド フィールド
アクション
トークンの形式
次のいずれかを選択します。
- LtpaToken (Domino® 7 以前のリリースと互換)
- LtpaToken2 (Domino® 7 以前のリリースとは非互換だが、SSO セキュリティの改善機能を提供)
- LtpaToken と LtpaToken2 (Domino® のすべてのリリースと互換)
注: LtpaToken2 形式は IBM® WebSphere® Server リリース 5.1.1 に導入されました。このトークンのサポートにより、SSO 導入のセキュリティが向上します。LDAP 領域
次の形式で LDAP 領域を指定します。
fully-qualified-host-name:port
LTPA トークンメカニズムが機能するには、この領域が参加するすべてのサーバーで同じでなければなりません。
LTPA バージョン
このフィールドの値は WebSphere® キーファイルから読み込まれます。
- Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [インターネットサイト] ビューに表示されます。
[Web サーバーの設定] ビューを使用している場合に Web SSO 設定文書を作成するには
このタスクについて
サーバーが R5.0x Server である場合や、Domino® 6 以降を使用するものの Web サイト文書を使用せずに Web サイトを管理する場合は、次の手順で Web SSO 設定文書を作成します。
手順
- Domino® Administrator で [ファイル] をクリックし、サーバーの Domino® ディレクトリ (通常は NAMES.NSF) を開きます。
- [サーバー] ビューを選択します。
- [Web SSO 設定の作成] をクリックします。
- Web SSO 設定文書で、[キー] をクリックします。
- 共有シークレットキーを使用し、次のいずれかの方法で Web SSO 設定を初期化します。
- [Domino のみ] (シングルサインオンに WebSphere® サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。このオプションを選択した場合は、手順 6 を実行せず、代わりに手順 7 に進んでください。
- [Domino と WebSphere] (WebSphere® でシングルサインオンする) を選択し、手順 6 に進みます。
- 次の設定を行います。
表 3. Domino® と WebSphere® SSO 設定フィールド フィールド
アクション
設定名
SSO 設定の名前を入力します。その際、以下の点に留意してください。
- 複数の Web SSO 設定文書を作成するには、各文書に一意の名前を付けます。Web SSO 文書は名前ごとに保存されますが、複数の文書が同じ名前を持つと、SSO 設定が正常に機能しません。ただし、複数の SSO 文書の作成は、限られた条件の下でのみ有効です。複数の SSO 文書はすべてのプロトコルで認識されるとは限りません。特に、Java™ エージェント、とその他のローカル Java™ バックエンドクラスを使用するコンポーネントを含む SSO は、デフォルトの LtpaToken 以外の名前が使用されている場合は機能しません。
- シングルサインオンの設定が R5.0x サーバーを含むリリース混在設定である場合、[設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。
組織名
このフィールドは、ブランクのままにしておきます。すると、この文書が [Web 設定] ビューに表示されます。
DNS ドメイン
(必須) トークンが生成される DNS ドメイン (.renovations.com など) を入力します。シングルサインオンが有効なサーバーはすべて、同一の DNS ドメインに所属している必要があります。
DNS ドメインを入力するとき、必ず先頭にピリオド (.) を入力してください。例えば、
renovations.com
ではなく.renovations.com
と入力します。SSO ドメインに WebSphere® サーバーが含まれる場合、WebSphere® は DNS ドメインの大文字と小文字を区別するため、DNS ドメインの値を適切に (大文字と小文字を区別して) 指定します。
LTPA トークンのマップ名
このオプションを有効にすることによって、Domino で作成された LTPA トークンに表示されるユーザー名を WebSphere® SSO サーバーが処理できるユーザー名にマップします。Domino® と Websphere が混在する環境で作業していて、Domino® と WebSphere® が同じディレクトリを共有していない場合、この設定を有効にする必要があります。
Domino で作成された LTPA トークンが引き続きユーザーの Domino® 識別名を含むようにする場合は、このオプションを有効にしないでください。
Domino® サーバー名
シングルサインオンに参加する Domino® サーバーの名前 (server1/renovations、server2/renovations など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino® サーバー名] フィールドで指定されているサーバーに対して暗号化されます。
注: このフィールドに、グループ、ワイルドカード、WebSphere® サーバーの名前を入力することはできません。[サーバー名] フィールドで参加するサーバーとして指定できるのは、Domino® サーバーだけです。Windows™ シングルサインオンの統合
このオプションを有効にすると、Web クライアント用の Windows™ シングルサインオンを Domino® サーバーで使用することができます。
LTPA Token のカスタム Cookie 名
ブラウザの Cookie 名としてデフォルト名
LtpaToken
を使用していない場合は、ブラウザの Cookie で使用する Domino のカスタム名を入力します。注:LtpaToken
が含まれないトークン形式を選択した場合、このオプションは表示されません。ヒント: このカスタム名は、HCL Digital Experience との互換性を保つのに有効です。Cookie 名では、先頭にドル記号文字を使用することはできません。また、下線、カンマ、セミコロン、空白文字は使用できません。ブラウザによっては、非 ASCII 文字を処理できないものがあり、その場合は使用できない特殊文字が指定されていることもあります。Domino では、Cookie 名は 128 文字に制限されます。
LTPA Token2 のカスタム Cookie 名
ブラウザの Cookie 名としてデフォルト名
LtpaToken2
を使用していない場合は、ブラウザの Cookie で使用する Domino のカスタム名を入力します。注:LtpaToken2
が含まれないトークン形式を選択した場合、このオプションは表示されません。ヒント: このカスタム名は、HCL Digital Experience との互換性を保つのに有効です。Cookie 名では、先頭にドル記号文字を使用することはできません。また、下線、カンマ、セミコロン、空白文字は使用できません。ブラウザによっては、非 ASCII 文字を処理できないものがあり、その場合は使用できない特殊文字が指定されていることもあります。Domino では、Cookie 名は 128 文字に制限されます。
期限 (分)
トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは指定されたこの時間の間だけ有効です。デフォルト値は 30 分です。
注: [アイドル状態のセッションのタイムアウト] が設定されている場合、セッションは期限で指定されている時刻よりも前にタイムアウトになることがあります (アクティブでない時間をもとにして)。アイドル状態のセッションのタイムアウト
指定された期間アクティブでない場合にユーザーの SSO セッションを終了するには、このオプションを有効にし、最小時間の値を指定します。
注: [WebSphere LTPA キーの取り込み] を選択すると、このオプションは Web SSO 設定文書に表示されません。最小時間 (分)
[アイドル状態のセッションのタイムアウト] を有効にすると、このオプションが表示されます。タイムアウトまでに必要とされる、アクティブでないユーザーのセッションの時間 (分単位) を指定します。
Websphere LTPA キーを取り込んだ場合は、次のフィールドに必要な情報を設定します。
表 4. Websphere LTPA キーフィールド フィールド
アクション
トークンの形式
次のいずれかを選択します。
- LtpaToken (Domino® 7 以前のリリースと互換)
- LtpaToken2 (Domino® 7 以前のリリースとは非互換だが、SSO セキュリティの改善機能を提供)
- LtpaToken と LtpaToken2 (Domino® のすべてのリリースと互換)
注: LtpaToken2 形式は IBM® WebSphere® Server リリース 5.1.1 に導入されました。このトークンのサポートにより、SSO 導入のセキュリティが向上します。LDAP 領域
次の形式で LDAP 領域を指定します。
<fully-qualified-host-name>:<port>
LTPA トークンメカニズムが機能するには、この領域が参加するすべてのサーバーで同じでなければなりません。
LTPA バージョン
このフィールドの値は WebSphere® キーファイルから読み込まれます。
- Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [Web サーバー設定] ビューに表示されます。 注: 文書を暗号化するための特定のキーが見つからないという旨のメッセージをクライアントで受信した場合は、クライアントのロケーション文書を変更し、サーバー文書とユーザー文書に含まれているすべてのパブリックキーが存在する別のメールサーバーまたはディレクトリサーバーを指すようにしなければならない場合もあります。