2018年11月14日(木)にノーツコンソーシアム「クラウド研究会」を開催いたしましたので、簡単にご報告いたします。
テーマはDomino V10 で拡張された SAML による Azure AD を使ったシングルサインオン(以下 "SSO")のリベンジです。
これまでの経緯ですが...
前回の検証では、次の2点の検証を行いました。
(1) Microsoft の Azure AD へログインした状態から(Azure にエンタープライズアプリケーションとして登録した)iNotes をクリックする。この時 Domino の認証画面を表示せずに iNotes の画面を表示する
(2) Webブラウザを起動して iNotes の URL へアクセスする。この時(Domino の認証画面ではなく)Azure の認証情報の入力画面を表示してログインし、iNotes の画面を表示する
このうち(2)がうまく動かず、課題として残っていたのです。
Domino 9.0.1 の SAML サポートは Microsoft Active Directory Federation Services(ADFS) 2.0/3.0 と Tivoli Federated Identity Manager(FTIM) のみに限定されていました。
そんな中、2018年10月10日に Domino V10 がリリースされ、SAML 2.0 準拠の IdP に対して構成が可能になりました。
そこで、前回の課題を解決するべく再検証を行った、という訳です。
※本ブログは今回試験的に行った活動をご報告するものであり、Azure AD での動作を保証するものではありません
Domino で SAML を有効にする際「IdP カタログ」を作成しますが、そこに作成する「IdP 構成」文書に「統合製品」という項目があります。検証環境の Domino V10 は英語版のため「統合製品」でなく「Federation product」と表示されています(下図)。V10 ではここに新たな選択肢として "AuthnRequest SAML 2.0 compatible" が追加されました。今回はこれを選択しました。
設定の詳細は割愛しますが、(1)と(2)のどちらも成功いたしました!
SharePoint のサイトに作成したページに iNotes を埋め込んだところ、SharePoint のログインが済んでいる状態ですので Domino の認証画面は表示されずにメールが使用できました。同様にディスカッションDBも使用できました(下図)。
今回は Azure AD との SAML 認証連携でしたが、Domino と他のクラウド認証基盤でも同様に機能するかが気になるところですね。
以上。