パスキー認証

セキュリティを向上させるために Domino サーバーまたはインターネットサイトでパスキー認証を有効にする方法を説明します。

はじめに

必要に応じて、新しいインターネットサイトを作成します: テスト目的などで新しい DNS ホスト名に対してパスキー認証を有効にする場合は、その新しいホスト名に対して新しいインターネットサイトを作成します。詳細については、「Domino サーバー上のインターネットサイト文書について」を参照してください。
セッション認証を有効にする: 問題の Web サイトのサーバー文書またはインターネットサイト文書でセッション認証を有効にします。
[Domino Web エンジン]タブで、[セッション認証] ドロップダウンを単一サーバー(DomAuthSessId) または複数サーバー (SSO) (LTPAToken) に設定します。「SAML」はセッション認証ドロップダウンメニューにありますが、実際にはセッション認証の形式ではないことに注意してください。

マルチサーバーセッション認証の詳細については、「マルチサーバーセッションベースの認証 (シングルサインオン)」を参照してください。

このタスクについて

パスキー認証は、64 ビット Linux または 64 ビット Windows 上の Domino サーバーでのみサポートされます。
Web ブラウザのパスキー機能は急速に進化および改善されているため、最適なユーザーエクスペリエンスを実現するには、現在の Web ブラウザを使用することをお勧めします。
MacOS 10 以前はパスキーをサポートしていません。MacOS 11 (および Safari 16.1) が最小バージョンです。

手順

パスキーデータベースを作成します。
passkey.ntf 詳細テンプレートから passkey.nsf を作成します。

デフォルトでは、このデータベースはデータディレクトリのrootに存在し、ファイル名はすべて小文字の「passkey.nsf」である必要があります。passkey.nsf の名前と場所は、 PASSKEY_DATABASE Notes.ini を使用して変更できます。これは、Domino サーバーのデータディレクトリを基準とした相対パスに設定する必要があります。たとえば、 PASSKEY_DATABASE=test\mypasskeys.nsf と指定すると、Domino はデータディレクトリの下の test サブディレクトリにある mypasskeys.nsf を開きます。

クラスター対称機能が使用されている場合を除き、このデータベースへのアクセス、特に書き込みアクセスを制限し、このデータベースを暗号化することをお勧めします。

複数の Domino 14 サーバーでパスキー認証が必要な場合は、ある Domino サーバーに対して作成されたパスキーを別のサーバーで使用できるように、それらのサーバー間で passkey.nsf を定期的に複製する必要があります。
オプション: Domino サーバーの証明書利用者名をカスタマイズします。
作成中、各パスキーの範囲は単一の証明書利用者 (RP) に限定され、その RP に属する Web オリジンによってのみ利用できます。RP は、異なる RP にスコープされたパスキーのプロパティやその存在さえも検出できません。このスコープ設定は、ホストのドメイン名 (基本的にはスキームとポートのない HTTP オリジン) に基づいて、証明書利用者識別子 (RP ID) を介して実行されます。たとえば、 https://www.domino.example.com:8443 の有効ドメインはwww.domino.example.comになります。WebAuthn では、RP が有効なドメインの登録可能なサブドメインを RP ID として使用することもできます。たとえば、 https://www.domino.example.com:8443には、 www.domino.example.com 、 domino.example.com 、またはexample.comの RP ID を含めることができますが、 .com や login.example は含めることはできません。コム。
デフォルトでは、Domino は Web サイトの実効ドメインを RP ID として使用し、インターネットサイトドキュメントの「基本」タブにある「このサイトの説明名」フィールドを RP の「フレンドリー」名として使用します。フレンドリ名は、状況によっては Web ブラウザに表示され、サイトごとにパスキーを並べ替えるときに passkey.nsf で使用されます。インターネットサイトのドキュメントが使用されていない場合、以下で説明するようにPASSKEY_SERVER_FRIENDLY_NAME のnotes.ini が使用されない限り、フレンドリ名は空白になります。
次のnotes.ini変数を使用して、RP IDに登録可能なサブドメインを使用するようにDominoを設定できます。これにより、あるDominoサーバーに登録されたパスキーを別の関連サーバーでも使用できるようになります。
注: PASSKEY_SKIP_LEVEL=NとPASSKEY_DOMAIN_LEVELS=N は相互に排他的です。
- PASSKEY_SKIP_LEVEL=N
  RP ID を構築するときに、有効なドメインの最初の N 部分をスキップするために使用します。たとえば、 PASSKEY_SKIP_LEVEL=1 を使用すると、 server01.domino.example.com 、 server02.domino.example.com 、 server03.domino.example.comのすべてが domino.example.com の RP ID を使用し、パスキーを共有できるようになります。。これらのサイトが異なる Domino サーバーでホストされている場合は、それらの間で passkey.nsf を複製する必要があります。
- PASSKEY_DOMAIN_LEVELS=N
  RP ID を構築するときに、有効なドメインの最後の N 部分のみを使用するために使用できます。
  たとえば、 PASSKEY_DOMAIN_LEVELS=3 を使用すると、 server01.domino.example.com 、 www.mytest.domino.example.com 、およびdomino.example.comのすべてが domino.example.com の RP ID を使用し、パスキーを共有できるようになります。。これらのサイトが異なる Domino サーバーでホストされている場合は、それらの間で passkey.nsf を複製する必要があります。
- PASSKEY_SERVER_FRIENDLY_NAME=my_friend_site_name
  RP のフレンドリ名を変更するために使用します。これは、管理者が複数のインターネットサイトのドキュメントでパスキーを共有し、それらすべてを 1 つのサイトまたはサービスとして認識させたい場合に便利です。
パスキー認証を有効にします。
サーバードキュメントまたはインターネットサイトドキュメントでパスキー認証を有効にします。
[セキュリティ] タブの [TLS 認証] カテゴリで、 [パスキー (WebAuthn)]を[はい]に設定します。
オプション: domcfg.nsf を使用して、パスキーログインフォームを構成します。
Domino のデフォルトのセッションログインフォームには、ユーザー名またはパスワードフィールドを操作することによるパスキーの自動入力と、 [パスキーでログイン]ボタンを介したパスキーモーダルログインが含まれています。
domcfg.nsf に保存されているカスタムログインフォーム、または domcfg.nsf に基づくカスタムログインフォーム (またはそのデータベースのデフォルトのログインフォーム) を使用している場合、domcfg5.ntf テンプレートにはフォーム$$LoginUserFormPasskeyが含まれており、これにはパスキーの自動入力とパスキーモーダル機能が含まれています。このフォームはそのまま使用することも、このフォームのロジックをカスタムログインフォームに組み込むこともできます。
パスキーログインフォームを使用するには、domcfg.nsf を開き、 [マッピングの追加]ボタンをクリックします。

次に、ターゲットフォームを「$$LoginUserFormPasskey」に設定して、新しい「サインイン」フォームマッピングを作成します。

HTML ログインフォームのカスタマイズについては、「HTML ログインフォームのカスタマイズ」を参照してください。

次に行うこと

オプションで、最終ログイン時刻の更新、構成証明、パスキー登録制限、ユーザー検証など、他のパスキー認証設定を構成できます。詳細については、「オプションのパスキー構成」を参照してください。