サーバーによって生成される認証トークンが Cookie としてサーバーに送信されるため、ユーザーの Web ブラウザでは、Cookie が有効になっている必要があります。

この設定は、次の手順を実行することにより行います。

• ドメイン全体の設定文書 (Web SSO 設定文書) を Domino ディレクトリ内に作成します。1 つの Domino ドメインまたは Domino ディレクトリ内に、複数の Web SSO 設定文書を格納することもできます。
• Web サイトまたはサーバー文書内のセッションベース認証で [複数サーバー] オプションを有効にします。

シングルサインオンを有効にする際のチェックリスト
SSO 機能を使用すると、ユーザーは混在環境でログインおよび複数サーバーの使用を簡単に行えるようになります。SSO の設定をうまく行うには、次の注意事項に留意して Domino 環境を設定してください。

一般的な注意事項

• シングルサインオンが有効なサーバーに発行する URL では、ホスト名や IP アドレスではなく、完全な DNS サーバー名を指定する必要があります。ブラウザからサーバーのグループに Cookie を送信できるようにするには、Cookie に DNS ドメインを含め、Cookie 内の DNS ドメインがサーバーの URL に一致している必要があります。TCP/IP ドメイン上で Cookie を使用できないのは、このためです。
• クラスタ化されたサーバーの場合は、Web サイト文書またはサーバー文書内の [ホスト名] フィールドに完全な DNS サーバー名を指定する必要があります。そうすれば、インターネットクラスタマネージャ (ICM) が SSO を使用してクラスタメンバーにリダイレクトできます。DNS サーバーのホスト名がそこで指定されていないと、ICM は TCP/IP ホスト名のみを持つクラスタ化された Web サーバーに URL をリダイレクトします (デフォルト時)。この場合、DNS ドメインが URL 内で指定されていないため、ICM は Cookie を送信できません。

• WebSphere と Domino は、同一の LDAP ディレクトリに対して設定する必要があります。SSO で使用する認証トークンには、ユーザーの完全な識別名 (DN)、たとえば cn=john smith,ou=sales,o=ibm,c=us が格納されます。SSO 用に LDAP を設定するには、Domino でディレクトリアシスタントを設定し、WebSphere サーバーで使用する LDAP サーバーを指すようにします。または、Domino ディレクトリに LDAP をロードし、Domino LDAP サーバーを使用するよう WebSphere を設定します。
• シングルサインオンに参加するユーザーのグループに、Domino LDAP ディレクトリを使用する WebSphere サーバーが含まれていると、該当するディレクトリで階層なしの名前を持つユーザーは SSO を使用できません (関連するサーバーがすべて Domino の場合は、階層なしのユーザー名であっても SSO は正常に機能します)。

Web クライアントのセッションベースの名前とパスワードによる認証
他の Web サーバーと併用できるように Domino を設定する