Sametime® サーバーのインストール後に Domino® Web SSO 設定を変更する

HCL® Sametime® のインストール時に、Domino® サーバー上で Domino® SSO 機能が自動的に有効になり、設定されます。場合によっては、Sametime® サーバーのインストール後に、このデフォルトの Domino® SSO 機能を変更しなければならないこともあります。

ここでは、Sametime® のインストールと Domino® SSO 機能に関する次の内容について説明します。

  • Sametime® サーバーで行われる SSO の設定 - このセクションでは、Sametime® のインストールによって Domino® Web SSO 機能がどのように設定されるかを説明します。この情報を使用すると、Sametime® サーバーのインストール後に、デフォルトの SSO 設定を変更する必要があるかどうかを判断できます。
  • SSO 設定を変更する - このセクションでは、Sametime® サーバーのインストール後に SSO 設定を変更する必要が生じる最も一般的な理由を説明します。複数の Sametime® サーバーで構成される環境では、Sametime® サーバーの Domino® サーバー名を Domino® Web SSO 設定文書に追加しなければならない場合がよくあります。
  • Domino® Web SSO 設定文書を表示および編集する - このセクションでは、Domino® ディレクトリ内の Domino® Web SSO 設定文書を編集する方法について説明します。この文書には、必要に応じて変更する Web SSO 設定に関するパラメータが含まれています。
注: 何らかの理由で、Domino® SSO 機能を手動で有効にする必要がある場合は、「Domino® SSO 機能を手動で有効にする」にある手順を使用できます。これらの手順を検討すると、Sametime® サーバーで SSO をサポートするために必要なすべての設定を理解できます。

Sametime® のインストール時に行われる SSO の設定

Sametime® のインストールにより、Domino® SSO 機能が有効になり、このトピックの後の方で説明する SSO 設定が実行されます。Sametime® インストールでは以下が実行されます。

  • LtpaToken という名前で Web SSO 設定文書を作成します。この文書には、LTPA トークンの生成と検証に必要な SSO 設定が定義されます。この文書には、以下のフィールドが取り込まれます。
    • [DNS ドメイン] - インストールプログラムは、[DNS ドメイン] フィールドに値を入力するために、Sametime® サーバーコンピュータの完全修飾ドメイン名を判別し、その完全修飾ドメイン名からホスト名に相当する値を取り除きます。

      例えば、インストールプログラムが判別した Sametime® サーバーの完全修飾名が「Sametimeserver.east.acme.com」であれば、[DNS ドメイン] フィールドには、「.east.acme.com」と書き込まれます。

      これで、[DNS ドメイン] フィールドで指定されている DNS ドメインに属するサーバーに対して LTPA トークンが有効になります。

    • [期限(分)] - このフィールドでは、LTPA トークンが有効期限切れになるまでの時間を指定します。この値は、デフォルトでは 30 分間です。トークンの有効期限は、必要に応じて増加させることができます。最良の方法は、設定値を 120 分とすることです。
    • Domino® サーバー名:[Domino サーバー名] フィールドでは、SSO トークンを受け入れ可能な Domino®/Sametime® サーバーをそれぞれ指定する必要があります。デフォルトでは、Sametime® がインストールされている Domino® サーバーの名前だけが、このフィールドに書き込まれます。必要があれば、コミュニティー内の他のすべての Domino®/Sametime® サーバーの名前を、このフィールドに追加します。詳細は、「SSO 設定を変更する」セクションを参照してください。
  • Sametime®/Domino® Server のサーバー文書を変更します。インストールプログラムは、サーバー文書内の [インターネット] - [Domino Web Engine]- [セッション認証] フィールドの値を[複数サーバー (SSO)]に変更します。Sametime® コミュニティーで Sametime® サーバーを 1 台しか使用していない場合でも、[サーバー認証] フィールドの値は [複数サーバー (SSO)] にする必要があります。「複数サーバー (SSO)」を選択しないと、Sametime® で SSO 機能が正しく動作しません。

SSO 設定を変更する

デフォルト設定は、Sametime® サーバーで SSO をサポートする際に必要な基本的な要件には適合しています。ただし、場合によっては、Sametime® サーバーのインストール後に、Domino® Web SSO 設定文書の [DNS ドメイン] フィールドまたは [Domino サーバー名] フィールドを管理者が変更しなければならないこともあります。

  • [DNS ドメイン] フィールドを変更する場合 - Sametime® のインストール時に、Sametime® サーバーコンピュータの完全修飾ドメイン名が正確に検出されない場合があります。この問題が発生した場合は、[DNS ドメイン] フィールドで適切な DNS ドメイン名が指定されていない可能性があります。場合によっては、管理者が Domino® Web SSO 設定文書を手動で編集し、Domino® Web SSO 設定文書の [DNS ドメイン] フィールドに適切なエントリを追加する必要があります。設定文書を手動で編集する場合は、「Domino® Web SSO 設定文書の表示および編集する」セクションにある指示に従ってください。
  • [ Domino サーバー名] フィールドを変更する場合 - 複数の Sametime®/Domino® サーバーで構成されている Sametime® コミュニティーの場合は、Domino® Web SSO 設定文書の [Domino サーバー名] フィールドに、Sametime® コミュニティー内のすべての Sametime®/Domino® サーバーの Domino® サーバー名が指定されていなければなりません。デフォルトでは、Sametime® がインストールされている Domino® サーバーの名前だけが、このフィールドに書き込まれます。複数の Sametime® サーバーがある場合は、Domino® Web SSO 設定文書を手動で開き、[Domino サーバー名] フィールドに Domino®/Sametime® サーバーの名前を入力しなければならないことがあります。

    例えば、Sametime® コミュニティー内に「Sametimeserver1/East/Example」と「Sametimeserver2/East/Example」というサーバーが存在する場合に、「Sametimeserver3/East/Example」のインストールを実行すると、Sametime® のインストール時に Sametimeserver3/East/Example のみが [Domino サーバー名] フィールドに書き込まれます。そのような場合は、Domino® Web SSO 設定文書を開き、「Sametimeserver3/East/Example」上にある Domino® Web SSO 設定文書の [Domino サーバー名] フィールドに「Sametimeserver1/East/Example」と「Sametimeserver2/East/Example」という名前を手動で入力し、コミュニティー内のすべてのサーバーを、このフィールドに指定する必要が生じます。Domino® Web SSO 設定文書を手動で開く方法は、「Domino® Web SSO 設定文書の表示および編集する」を参照してください。

    複数のサーバーがある環境では、Sametime® サーバーをインストールする時点で、Domino® ディレクトリが既に Domino® サーバー上に複製されている可能性があることに注意してください。Domino® ディレクトリが既にサーバー上に存在し、そのディレクトリに Domino® Web SSO 設定文書が含まれている場合は、Sametime® のインストール時に、既存の設定は一切変更されません。この場合、コミュニティー内の既存のサーバーの名前は、既に Domino® Web SSO 設定文書に書き込まれていると考えられるため、新たにインストールした Sametime® サーバーの名前だけを既存の Domino® Web SSO 設定文書に追加します。

    例えば、「Sametimeserver3/East/Example」のインストールのために確保されたサーバー上の Domino® ディレクトリ内の Domino® Web SSO 設定文書に「Sametimeserver1/East/Example」と「Sametimeserver2/East/Example」という名前が既に存在する、といった場合が考えられます。「Sametimeserver3/East/Example」のインストールでは既存の SSO 設定は変更されないので、Sametime® サーバーをインストールした後でも、「Sametimeserver3/East/Example」というサーバー名は、Domino® Web SSO 設定文書内に存在しないことになります。この場合は、「Sametimeserver3/East/Example」上の Domino® ディレクトリにある Domino® Web SSO 設定文書を開き、[Domino サーバー名] フィールドに「Sametimeserver3/East/Example」を手動で入力する必要があります。既存の Web SSO 設定文書内のその他のパラメータは、新たに追加したサーバーでもすべて有効なはずです。

SSO キーを変更する

デフォルトで、Sametime® のインストール時に Domino® SSO キーが作成されます。

Domino® Web SSO 設定文書を表示および編集する

Sametime® のインストール時に作成された Web SSO 設定文書を表示または編集するには、次の操作を実行します。

  1. Notes® クライアントから、Sametime® サーバー上の Domino® ディレクトリーを開きます。
  2. [設定] > [Web] > [Web 設定] ビューを選択します。
  3. ナビゲーションリストで、[Web SSO 設定] を展開します。
  4. Web SSO 設定先 LtpaToken」という文書をダブルクリックし、Domino® Web SSO 設定文書を開きます。
  5. [編集] をクリックし、文書を編集モードにします。
  6. 該当するフィールド (例えば、[DNS ドメイン] フィールドや [Domino サーバー名] フィールドなど) を編集します。
  7. 文書の編集を終了したら、[保存して閉じる] をクリックします。
Web SSO 設定文書の名前が LtpaToken とは異なっていて、文書の [組織] フィールドが空になっていない場合があります。これは主に、インターネットサイトの構成に関係があります。この場合は、sametime.ini ファイルの [AuthToken] セクションで以下の設定を構成する必要があります。
  • ST_TOKEN_TYPE には、Sametime® コミュニティー・サーバーで使用される Web SSO 文書の名前を指定する必要があります。デフォルト値は LtpaToken です。
  • ST_ORG_NAME には、Sametime® コミュニティー・サーバーで使用される Web SSO 文書に設定された組織名を指定する必要があります。デフォルト値は、空の組織名です。

TOKEN_TYPE_TO_RETURN

これは、Sametime クライアントが単一のトークンを生成する要求を送信し、Domino サーバーが LTPA v1 トークンと LTPA v2 トークンの両方を生成する場合に、どちらのトークン・タイプが Sametime クライアントに返されるのかを定義します。指定可能な値は以下のとおりです。
LTPA – LTPA v1 token 
LTPA2 – LTPA v2 token
注: LTPA – LTPA v1 トークン (sametime.ini に設定が存在しない場合に使用されるデフォルト値)