Lotus Domino Administrator 6.5.1 ヘルプ - Web SSO 設定文書を作成する

セキュリティ

Web SSO 設定文書を作成する
Web SSO 設定文書は、ドメイン全体で使用する設定文書で、Domino ディレクトリに格納されます。この文書は、シングルサインオンドメインに参加するすべてのサーバーに複製する必要がありますが、関連するサーバーや管理者に対して暗号化されます。そして、ユーザークレデンシャルの認証時にサーバーが使用する共有シークレットキーが含まれています。

インターネットサイトを使用する場合に Web SSO 設定文書を作成するには
Web サイト文書が作成済みであり、サーバー文書内でインターネットサイト文書の使用を有効化してあることを確認してください。

また、クライアントのロケーション文書で、ホームサーバーやメールサーバーが SSO に参加する一連のサーバーと同じドメイン内のサーバーに設定されていることも確認してください。そうなっていれば、SSO 文書が暗号化されている場合に、参加するサーバーで使用するすべてのパブリックキーが見つかります。

1 Domino Administrator で、[ファイル] をクリックし、サーバーの Domino ディレクトリ (NAMES.NSF) を開きます。

2 [インターネットサイト] ビューを選択します。

3 [Web SSO 設定の作成] をクリックします。

4 文書で、[キー] をクリックします。

5 共有シークレットキーを使い、次のいずれかの方法で Web SSO 設定を初期化します。

[Domino のみ] (シングルサインオンに WebSphere サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。
[Domino と WebSphere] (WebSphere でシングルサインオンする) を選択し、次の手順を実行します。

[WebSphere LTPA キーの取り込み] を選択します。
WebSphere LTPA エクスポートファイルを選択します。(ltpatoken キーの生成について詳しくは、WebSphere のドキュメントを参照してください。)
パスワード (WebSphere でキーの生成時に指定されたもの) を入力します。文書が更新され、その情報がエクスポートファイルに反映されます。

6 次の設定を行います。

フィールド	アクション
設定名	SSO 設定の名前を入力します。メモシングルサインオンの設定に Domino 6 Server と R5.0x の Domino Server が両方とも含まれる場合、この [設定名] は LtpaToken でなければなりません。R5.0x Server は、この設定名でしか正常に機能しません。
組織名	(必須) 組織名を入力します。この名前は、対応する Web サイトの組織名に一致していなければなりません。SSO 文書は、Web サイト文書とともに [インターネットサイト] ビューに表示されます。
DNS ドメイン	(必須) トークンが生成される DNS ドメイン (lotus.com など) を入力します。シングルサインオンが有効なサーバーはすべて、同一の DNS ドメインに所属している必要があります。
Domino Server 名	シングルサインオンに参加するサーバーの名前 (server1/acme、server2/acme など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。このフィールドに、グループ、ワイルドカード、WebSphere サーバーの名前を入力することはできません。[Domino サーバー名] フィールドで参加するサーバーとして指定できるのは、Domino Server だけです。メモこのフィールドには、64 K というサイズ制限があります。この限度値に達すると (数百ものサーバーの名前を入力した場合など)、エラーメッセージが表示されます。この限度値を超えてしまう場合は、Web SSO 文書を複数作成してください。
期限 (分)	トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは、ここで指定した時間 (分単位) の間だけ有効です。アクティブでないことが原因では期限切れになるわけではありません。デフォルトは 30 分です。

7 Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [インターネットサイト] ビューに表示されます。

[Web サーバーの設定] ビューを使用している場合に Web SSO 設定文書を作成するには
サーバーが R5.0x server である場合や、Domino 6 を使用するものの Web サイト文書を使わないで Web サイトを管理する場合は、次の手順で Web SSO 設定文書を作成します。

1 Domino Administrator で、[ファイル] をクリックし、サーバーの Domino ディレクトリ (NAMES.NSF) を開きます。

2 [サーバー] ビューを選択します。

3 [Web SSO 設定の作成] をクリックします。

4 Web SSO 設定文書で、[キー] をクリックします。

5 共有シークレットキーを使い、次のいずれかの方法で Web SSO 設定を初期化します。

[Domino のみ] (シングルサインオンに WebSphere サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。
[Domino と WebSphere] (WebSphere でシングルサインオンする) を選択し、次の手順を実行します。

[WebSphere LTPA キーの取り込み] を選択します。
WebSphere LTPA エクスポートファイルを選択します。(ltpatoken キーの生成について詳しくは、WebSphere のドキュメントを参照してください。)
パスワード (WebSphere でキーの生成時に指定されたもの) を入力します。文書が更新され、その情報がエクスポートファイルに反映されます。

6 次の設定を行います。

フィールド	アクション
設定名	SSO 設定の名前を入力します。メモシングルサインオンの設定に Domino 6 Server と R5.0x の Domino Server が両方とも含まれる場合、この [設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。
組織名	このフィールドは、ブランクのままにしておきます。すると、この文書が [Web 設定] ビューに表示されます。
DNS ドメイン	(必須) トークンが生成される DNS ドメイン (lotus.com など) を入力します。シングルサインオンが有効なサーバーはすべて、同一の DNS ドメインに所属している必要があります。
Domino Server 名	シングルサインオンに参加するサーバーの名前 (server1/acme、server2/acme など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。メモこのフィールドに、グループ、ワイルドカード、WebSphere サーバーの名前を入力することはできません。[Domino サーバー名] フィールドで参加するサーバーとして指定できるのは、Domino Server だけです。
期限 (分)	トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは、ここで指定した時間 (分単位) の間だけ有効です。アクティブでないことが原因では期限切れになるわけではありません。デフォルトは 30 分です。

7 Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [Web サーバーの設定] ビューに表示されます。

メモ

文書を暗号化するための特定のキーが見つからないという旨のメッセージをクライアントで受信した場合は、クライアントのロケーション文書を変更し、サーバー文書とユーザー文書に含まれているすべてのパブリックキーが存在する別のメールサーバーまたはディレクトリサーバーを指すようにしなければならない場合もあります。

用語集

用語集