Lotus Domino Administrator 8 ヘルプ - Web SSO 設定文書を作成する

セキュリティ

Web SSO 設定文書を作成する
Web SSO 設定文書は、ドメイン全体で使用する設定文書で、IBM(R) Lotus Domino(R) ディレクトリに格納されます。この文書は、シングルサインオンドメインに参加するすべての Lotus Domino Server に複製する必要がありますが、関連するサーバーや管理者に対して暗号化されます。そして、ユーザークレデンシャルの確認時にサーバーが使用する共有シークレットキーが含まれています。

インターネットサイトを使用する場合に Web SSO 設定文書を作成するにはWeb サイト文書が作成済みであり、サーバー文書内でインターネットサイト文書の使用を有効化してあることを確認してください。
クライアントのロケーション文書で、ホームサーバーやメールサーバーが SSO に参加する一連のサーバーと同じドメイン内のサーバーに設定されていることも確認してください。そうなっていれば、SSO 文書が暗号化されている場合に、参加するサーバーで使用するすべてのパブリックキーが見つかります。

1 Lotus Domino Administrator で、[ファイル] をクリックし、サーバーの Domino ディレクトリ (NAMES.NSF) を開きます。

2 [インターネットサイト] ビューを選択します。

3 [Web SSO 設定の作成] をクリックします。

4 文書で、[キー] をクリックします。

5 共有シークレットキーを使い、次のいずれかの方法で Web SSO 設定を初期化します。

[Domino のみ] (シングルサインオンに IBM(R) WebSphere(R) サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。
[Domino と WebSphere] (WebSphere でシングルサインオンする) を選択し、次の手順を実行します。

[WebSphere LTPA キーの取り込み] を選択します。
WebSphere LTPA エクスポートファイルを選択します。(ltpatoken キーの生成について詳しくは、WebSphere のドキュメントを参照してください。)
パスワード (WebSphere からキーをエクスポートした時に指定されたもの) を入力します。文書が更新され、その情報がエクスポートファ

イルに反映されます。

6 次の設定を行います。

フィールド アクション

設定名 SSO 設定の名前を入力します。
メモ

複数の Web SSO 設定文書を作成するには、各文書に一意の名前を付けます。Web SSO 文書は名前ごとに保存されますが、複数の文書が同じ名前を持つと、SSO 設定が正常に機能しません。ただし、複数の SSO 文書の作成は、限られた条件の下でのみ有効です。複数の SSO 文書はすべてのプロトコルで認識されるとは限りません。特に、Java エージェント、およびその他のローカル Java バックエンドクラスを使用するコンポーネントを含む SSO は、デフォルトの LtpaToken 以外の名前が使用されている場合は機能しません。
シングルサインオンの設定が R5.0x サーバーを含むリリース混在設定である場合、[設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。

組織 (必須) 組織名を入力します。この名前は、対応する Web サイトの組織名に一致していなければなりません。SSO 文書は、Web サイト文書とともに [インターネットサイト] ビューに表示されます。

DNS ドメイン (必須) トークンが生成される DNS ドメイン (.acme.com など) を入力します。シングルサインオンが有効なサーバーはすべて、指定した DNS ドメインに所属している必要があります。
DNS ドメインを入力するとき、必ず先頭にピリオド (.) を入力してください。たとえば、"acme.com" ではなく ".acme.com" と入力します。
SSO ドメインに WebSphere サーバーが含まれる場合、WebSphere は DNS ドメインの大文字と小文字を区別しますので、DNS ドメインの値を適切に (大文字と小文字を区別して) 指定します。

LTPA トークンのマップ名このオプションを有効にすることによって、Lotus Domino で作成された LTPA トークンに表示されるユーザー名を WebSphere SSO サーバーが処理できるユーザー名にマップします。Lotus Domino と WebSphere が混在する環境で作業していて、Lotus Domino と WebSphere が同じディレクトリを共有していない場合、この設定を有効にする必要があります。
Lotus Domino で作成された LTPA トークンが引き続きユーザーの Lotus Domino 識別名を含むようにする場合は、このオプションを有効にしないでください。
詳しくは、「SSO LTPA トークン内のユーザー名マッピングを設定する」を参照してください。

Domino Server 名シングルサインオンに参加する Lotus Domino Server の名前 (server1/acme、server2/acme など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。
このフィールドに、グループ、ワイルドカード、WebSphere サーバーの名前を入力することはできません。[Domino サーバー名] フィールドで参加するサーバーとして指定できるのは、Lotus Domino Server だけです。
メモこのフィールドには、64 K というサイズ制限があります。この限度値に達すると (数百のサーバーの名前を入力した場合など)、エラーメッセージが表示されます。この限度値を超えてしまう場合は、Web SSO 文書を複数作成してください。

期限 (分) トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは指定されたこの時間の間だけ有効です。デフォルト値は 30 分です。
メモ [アイドル状態のセッションのタイムアウト] が設定されている場合、セッションは期限で指定されている時刻よりも前にタイムアウトになることがあります (アクティブでない時間をもとにして)。

アイドル状態のセッションのタイムアウト (Lotus Domino のみの SSO 設定) 指定された期間アクティブでない場合にユーザーの SSO セッションを終了するには、このオプションを有効にします。次の項目を参照してください。
メモ [WebSphere LTPA キーの取り込み] を選択すると、このオプションは Web SSO 設定文書に表示されません。

最小時間 (分) [アイドル状態のセッションのタイムアウト] を有効にすると、このオプションが表示されます。タイムアウトまでに必要とされる、アクティブでないユーザーのセッションの時間 (分単位) を指定します。

Websphere LTPA キーを取り込んだ場合は、次のフィールドに必要な情報を設定します。

フィールド	アクション
トークンの形式	次のいずれかを選択します。 LtpaToken (Lotus Domino 7 以前のリリースと互換) LtpaToken2 (Lotus Domino 7 以前のリリースとは非互換だが、SSO セキュリティの改善機能を提供) LtpaToken および LtpaToken2 (Lotus Domino のすべてのリリースと互換) メモ LtpaToken2 形式は IBM WebSphere Server リリース 5.1.1 に導入されました。このトークンのサポートにより、SSO 導入のセキュリティが向上します。
LDAP 領域	次の形式で LDAP 領域を指定します。 <完全なインターネットホスト名>:<ポート> LTPA トークンメカニズムが機能するには、この領域が参加するすべてのサーバーで同じでなければなりません。
LTPA バージョン	このフィールドの値は WebSphere キーファイルから読み込まれます。

7 Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [インターネットサイト] ビューに表示されます。

[Web サーバーの設定] ビューを使用している場合に Web SSO 設定文書を作成するにはサーバーが R5.0x Server である場合や、Lotus Domino 6 以降を使用するものの Web サイト文書を使わずに Web サイトを管理する場合は、次の手順で Web SSO 設定文書を作成します。
1 Lotus Domino Administrator で、[ファイル] をクリックし、サーバーの Domino ディレクトリ (NAMES.NSF) を開きます。

2 [サーバー] ビューを選択します。

3 [Web SSO 設定の作成] をクリックします。

4 Web SSO 設定文書で、[キー] をクリックします。

5 共有シークレットキーを使い、次のいずれかの方法で Web SSO 設定を初期化します。

[Domino のみ] (シングルサインオンに WebSphere サーバーは参加しない) を選択し、[Domino SSO キーの作成] を選択します。
[Domino と WebSphere] (WebSphere でシングルサインオンする) を選択し、次の手順を実行します。

[WebSphere LTPA キーの取り込み] を選択します。
WebSphere LTPA エクスポートファイルを選択します。(ltpatoken キーの生成について詳しくは、WebSphere のドキュメントを参照してください。)
パスワード (WebSphere からキーをエクスポートした時に指定されたもの) を入力します。文書が更新され、その情報がエクスポートファ

イルに反映されます。

6 次の設定を行います。

フィールド アクション

設定名 SSO 設定の名前を入力します。
Notes

複数の Web SSO 設定文書を作成するには、各文書に一意の名前を付けます。Web SSO 文書は名前ごとに保存されますが、複数の文書が同じ名前を持つと、SSO 設定が正常に機能しません。ただし、複数の SSO 文書の作成は、限られた条件の下でのみ有効です。複数の SSO 文書はすべてのプロトコルで認識されるとは限りません。特に、Java エージェント、およびその他のローカル Java バックエンドクラスを使用するコンポーネントを含む SSO は、デフォルトの LtpaToken 以外の名前が使用されている場合は機能しません。
シングルサインオンの設定が R5.0x サーバーを含むリリース混在設定である場合、[設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。

組織このフィールドは、ブランクのままにしておきます。すると、この文書が [Web 設定] ビューに表示されます。

DNS ドメイン (必須) トークンが生成される DNS ドメイン (.acme.com など) を入力します。シングルサインオンが有効なサーバーはすべて、同一の DNS ドメインに所属している必要があります。
DNS ドメインを入力するとき、必ず先頭にピリオド (.) を入力してください。たとえば、"acme.com" ではなく ".acme.com" と入力します。
SSO ドメインに WebSphere サーバーが含まれる場合、WebSphere は DNS ドメインの大文字と小文字を区別しますので、DNS ドメインの値を適切に (大文字と小文字を区別して) 指定します。

LTPA トークンのマップ名このオプションを有効にすることによって、Lotus Domino で作成された LTPA トークンに表示されるユーザー名を WebSphere SSO サーバーが処理できるユーザー名にマップします。Lotus Domino と WebSphere が混在する環境で作業していて、Lotus Domino と WebSphere が同じディレクトリを共有していない場合、この設定を有効にする必要があります。
Lotus Domino で作成された LTPA トークンが引き続きユーザーの Lotus Domino 識別名を含むようにする場合は、このオプションを有効にしないでください。
詳しくは、「SSO LTPA トークン内のユーザー名マッピングを設定する」を参照してください。

Domino Server 名シングルサインオンに参加する Lotus Domino Server の名前 (server1/acme、server2/acme など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。
メモこのフィールドに、グループ、ワイルドカード、WebSphere サーバーの名前を入力することはできません。[Domino サーバー名] フィールドで参加するサーバーとして指定できるのは、Lotus Domino Server だけです。

期限 (分) トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは指定されたこの時間の間だけ有効です。デフォルト値は 30 分です。
メモ [アイドル状態のセッションのタイムアウト] が設定されている場合、セッションは期限で指定されている時刻よりも前にタイムアウトになることがあります (アクティブでない時間をもとにして)。

アイドル状態のセッションのタイムアウト指定された期間アクティブでない場合にユーザーの SSO セッションを終了するには、このオプションを有効にします。次の項目を参照してください。
メモ [WebSphere LTPA キーの取り込み] を選択すると、このオプションは Web SSO 設定文書に表示されません。

最小時間 (分) [アイドル状態のセッションのタイムアウト] を有効にすると、このオプションが表示されます。タイムアウトまでに必要とされる、アクティブでないユーザーのセッションの時間 (分単位) を指定します。

Websphere LTPA キーを取り込んだ場合は、次のフィールドに必要な情報を設定します。

フィールド	アクション
トークンの形式	次のいずれかを選択します。 LtpaToken (Lotus Domino 7 以前のリリースと互換) LtpaToken2 (Lotus Domino 7 以前のリリースとは非互換だが、SSO セキュリティの改善機能を提供) LtpaToken および LtpaToken2 (Lotus Domino のすべてのリリースと互換) メモ LtpaToken2 形式は IBM WebSphere Server リリース 5.1.1 に導入されました。このトークンのサポートにより、SSO 導入のセキュリティが向上します。
LDAP 領域	次の形式で LDAP 領域を指定します。 <完全なインターネットホスト名>:<ポート> LTPA トークンメカニズムが機能するには、この領域が参加するすべてのサーバーで同じでなければなりません。
LTPA バージョン	このフィールドの値は WebSphere キーファイルから読み込まれます。

7 Web SSO 設定文書を保存します。ステータスバーにメッセージが表示され、該当文書の暗号化対象となったサーバーやユーザーの数が示されます。文書が [Web サーバー設定] ビューに表示されます。

メモ

文書を暗号化するための特定のキーが見つからないという旨のメッセージをクライアントで受信した場合は、クライアントのロケーション文書を変更し、サーバー文書とユーザー文書に含まれているすべてのパブリックキーが存在する別のメールサーバーまたはディレクトリサーバーを指すようにしなければならない場合もあります。

用語集

フィードバック ヘルプ または プロダクトユーザビリティ?

ヘルプの使い方

すべてのヘルプ項目

用語集

フィールド	アクション
設定名	SSO 設定の名前を入力します。メモ複数の Web SSO 設定文書を作成するには、各文書に一意の名前を付けます。Web SSO 文書は名前ごとに保存されますが、複数の文書が同じ名前を持つと、SSO 設定が正常に機能しません。ただし、複数の SSO 文書の作成は、限られた条件の下でのみ有効です。複数の SSO 文書はすべてのプロトコルで認識されるとは限りません。特に、Java エージェント、およびその他のローカル Java バックエンドクラスを使用するコンポーネントを含む SSO は、デフォルトの LtpaToken 以外の名前が使用されている場合は機能しません。シングルサインオンの設定が R5.0x サーバーを含むリリース混在設定である場合、[設定名] は LtpaToken でなければなりません。R5.0x サーバーは、この設定名でしか正常に機能しません。
組織	(必須) 組織名を入力します。この名前は、対応する Web サイトの組織名に一致していなければなりません。SSO 文書は、Web サイト文書とともに [インターネットサイト] ビューに表示されます。
DNS ドメイン	(必須) トークンが生成される DNS ドメイン (.acme.com など) を入力します。シングルサインオンが有効なサーバーはすべて、指定した DNS ドメインに所属している必要があります。 DNS ドメインを入力するとき、必ず先頭にピリオド (.) を入力してください。たとえば、"acme.com" ではなく ".acme.com" と入力します。 SSO ドメインに WebSphere サーバーが含まれる場合、WebSphere は DNS ドメインの大文字と小文字を区別しますので、DNS ドメインの値を適切に (大文字と小文字を区別して) 指定します。
LTPA トークンのマップ名	このオプションを有効にすることによって、Lotus Domino で作成された LTPA トークンに表示されるユーザー名を WebSphere SSO サーバーが処理できるユーザー名にマップします。Lotus Domino と WebSphere が混在する環境で作業していて、Lotus Domino と WebSphere が同じディレクトリを共有していない場合、この設定を有効にする必要があります。 Lotus Domino で作成された LTPA トークンが引き続きユーザーの Lotus Domino 識別名を含むようにする場合は、このオプションを有効にしないでください。詳しくは、「SSO LTPA トークン内のユーザー名マッピングを設定する」を参照してください。
Domino Server 名	シングルサインオンに参加する Lotus Domino Server の名前 (server1/acme、server2/acme など) を入力します。この文書は、文書の作成者、[所有者] フィールドと [管理者] フィールドのメンバー、[Domino サーバー名] フィールドで指定されているサーバーに対して暗号化されます。このフィールドに、グループ、ワイルドカード、WebSphere サーバーの名前を入力することはできません。[Domino サーバー名] フィールドで参加するサーバーとして指定できるのは、Lotus Domino Server だけです。メモこのフィールドには、64 K というサイズ制限があります。この限度値に達すると (数百のサーバーの名前を入力した場合など)、エラーメッセージが表示されます。この限度値を超えてしまう場合は、Web SSO 文書を複数作成してください。
期限 (分)	トークンの有効期間を分単位で指定します。有効期間は、トークン発行時に開始されるものとします。トークンは指定されたこの時間の間だけ有効です。デフォルト値は 30 分です。メモ [アイドル状態のセッションのタイムアウト] が設定されている場合、セッションは期限で指定されている時刻よりも前にタイムアウトになることがあります (アクティブでない時間をもとにして)。
アイドル状態のセッションのタイムアウト	(Lotus Domino のみの SSO 設定) 指定された期間アクティブでない場合にユーザーの SSO セッションを終了するには、このオプションを有効にします。次の項目を参照してください。メモ [WebSphere LTPA キーの取り込み] を選択すると、このオプションは Web SSO 設定文書に表示されません。
最小時間 (分)	[アイドル状態のセッションのタイムアウト] を有効にすると、このオプションが表示されます。タイムアウトまでに必要とされる、アクティブでないユーザーのセッションの時間 (分単位) を指定します。