Lotus Domino Administrator 8 ヘルプ - Web ユーザーに対する複数サーバーのセッションベースの名前とパスワードによる認証 (シングルサインオン)

セキュリティ

Web ユーザーに対する複数サーバーのセッションベースの名前とパスワードによる認証 (シングルサインオン)
シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、IBM(R) Lotus Domino(R) Server または WebSphere サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Lotus Domino Server や WebSphere サーバーに、再度ログインすることなくアクセス可能になります。

サーバーによって生成される認証トークンが Cookie としてサーバーに送信されるため、ユーザーの Web ブラウザでは、Cookie が有効になっている必要があります。

この設定は、次の手順を実行することにより行います。

ドメイン全体の設定文書 (Web SSO 設定文書) を Domino ディレクトリ内に作成します。1 つの Lotus Domino ドメインまたは Domino ディレクトリ内に、複数の Web SSO 設定文書を格納することもできます。インターネットサイトを使用している場合、各インターネットサイトに対して SSO 設定文書を作成することもできます（ただし、すべてのプロトコルがインターネットサイト設定に従うとは限りません)。
Web サイト文書またはサーバー文書内のセッションベース認証で [複数サーバー (SSO)] オプションを有効にします。

シングルサインオンは、複数の Lotus Domino ドメインに渡って有効にできます。「複数の Lotus Domino ドメインで Web SSO 設定文書を設定する」の項目を参照してください。

シングルサインオンを有効にする際のチェックリストSSO 機能を使用すると、ユーザーは混在環境でログインおよび複数サーバーの使用を簡単に行えるようになります。SSO の設定をうまく行うには、次の注意事項に留意して Lotus Domino 環境を設定してください。
一般的な注意事項SSO グループに参加しているすべてのサーバーは、インターネットアクセスの設定に同じメカニズムを使用する必要があります。すべてのサーバーがインターネットサイト文書を使用するか、すべてのサーバーがサーバー文書で設定したインターネットアクセスを行う必要があります。
インターネットサイトを通してのインターネットアクセスの設定について詳しくは、「インターネットサイト文書」の項目を参照してください。

参加している SSO サーバーに適用される DNS ドメインは、SSO 設定文書の中で指定されます。シングルサインオンが有効なサーバーに発行する URL では、ホスト名や IP アドレスではなく、完全な DNS サーバー名を指定する必要があります。ブラウザからサーバーのグループに Cookie を送信できるようにするには、Cookie に DNS ドメインを含め (設定によってそのように指定されています)、Cookie 内の DNS ドメインがサーバーの URL に一致している必要があります。TCP/IP ドメイン上で Cookie を使用できないのは、このためです。
クラスタ化されたサーバーの場合は、Web サイト文書またはサーバー文書内の [ホスト名] フィールドに完全な DNS サーバー名を指定する必要があります。そうすれば、インターネットクラスタマネージャ (ICM) が SSO を使用してクラスタメンバーにリダイレクトできます。DNS サーバーのホスト名がそこで指定されていないと、ICM は TCP/IP ホスト名のみを持つクラスタ化された Web サーバーに URL をリダイレクトします (デフォルト時)。この場合、DNS ドメインが URL 内で指定されていないため、ICM は Cookie を送信できません。
サーバー文書でインターネットサイトを有効にすると、既存の SSO 設定はすべて自動的に無効になります。

WebSphere に関する注意事項WebSphere と Lotus Domino を同じ LDAP ディレクトリに設定する必要はありませんが、WebSphere と Lotus Domino が同じディレクトリを共有しない場合、複数 ID の問題への対処が必要になることがあります。

複数 ID に関連するセクションを参照してください。

WebSphere 設定は 2 つの異なる形式の SSO LTPA Cookie をサポートします。"LtpaToken" という名前の Cookie と "LtpaToken2" という名前の Cookie です。Lotus Domino SSO は "LtpaToken" Cookie だけをサポートしますので、SSO が WebSphere と Lotus Domino の間で機能するためには、WebSphere が正しい形式の Cookie を発行するように設定されていなければなりません。
WebSphere は、Lotus Domino LTPA トークンを使用できません。Lotus Domino と WebSphere を同じ LTPA グループに含めるには、LTPA トークンを WebSphere からエクスポートして Lotus Domino にインポートする必要があります。
WebSphere との相互運用性のために WebSphere キーを Lotus Domino SSO の設定にインポートした場合、SSO のアイドルタイムアウト値を設定できません。WebSphere サーバーはアイドルタイムアウト値に従いません。
シングルサインオンに参加するユーザーのグループに、Domino LDAP ディレクトリを使用する WebSphere サーバーが含まれていると、該当するディレクトリで階層なしの名前を持つユーザーは SSO を使用できません (関連するサーバーがすべて Lotus Domino の場合は、階層なしのユーザー名であっても SSO は正常に機能します)。

関連項目

SSO LTPA トークン内のユーザー名マッピングを設定する

リモート LDAP ディレクトリで Lotus Notes 識別名を使用する

複数ディレクトリ環境での識別名の書式

Web クライアントのセッションベースの名前とパスワードによる認証

他の Web サーバーと併用できるように Lotus Domino を設定する

用語集

フィードバック ヘルプ または プロダクトユーザビリティ?

ヘルプの使い方

すべてのヘルプ項目

用語集