Novell Doc: Identity Manager 3.5.1ユーザアプリケーション:管理ガイド

5.3 パスワード管理の環境設定

この節では、パスワードセルフサービスおよびユーザ認証機能をIdentity Managerユーザアプリケーションに設定する方法について説明します。主なトピックは次のとおりです。

5.3.1 パスワード管理機能について

Identity Managerユーザアプリケーションがサポートするパスワード管理機能には、ユーザ認証とパスワードセルフサービスがあります。これの機\'94\'5cを使用できるようにすると、アプリケーションで次のことが行われます。

Novell eDirectory™の認証のためのログイン情報(ユーザ名およびパスワード）の入力を要求するプロンプトが表示される。
パスワード変更のセルフサービスをユーザに提供する
パスワードを忘れた場合のセルフサービス(本人確認の回答の入力を促すメッセージの表示、パスワードヒントの表示、パスワード変更の許可など)をユーザが利用できるようにする。パスワードを忘れた場合のセルフサービスをファイアウォール内で実行するように設定することも、ファイアウォール外で実行するように設定することもできます。
チャレンジ質問のセルフサービスをユーザに提供する
パスワードヒントのセルフサービスをユーザに提供する

eDirectoryに必要な設定

パスワードセルフサービスおよびユーザ認証の機\'94\'5cのほとんどでは、使用する前にeDirectoryで次の手順を実行する必要があります。

ユニバーサルパスワードを有効にする
1つまたは複数のPassword Policy(パスワードポリシー)を作成する
ユーザに適切なPassword Policy(パスワードポリシー)を割り当てる

パスワードポリシーは管理者が定義するルールのコレクションで、ユーザパスワードの作成および変更時に基準を指定する目的で使用されます。Novell Identity Managerでは、NMAS™ (Novell Modular Authentication Service)を利用して、管理者がeDirectoryのユーザに割り当てるパスワードポリシーを強制します。

必要な設定手順を実行するには、Novell iManagerを使用します。たとえば、［DocumentationPassword Policy］では次のように定義します。

図 5-2 サンプルのパスワードポリシー

このPassword Policy(パスワードポリシー)は次のものを指定しています。

［Universal Password］設定

図 5-3 サンプルのユニバーサルパスワード設定
パスワードを忘れた場合の処理方法の設定

図 5-4 サンプルのパスワードポリシー
ポリシーを特定のユーザに適用する割り当て

図 5-5 サンプルのポリシー割り当て

eDirectoryにおけるユニバーサルパスワードおよびPassword Policy (パスワードポリシー)の設定の詳細については、『Novell Identity Manager Administration Guide』を参照してください。

大文字と小文字を区別するパスワード

デフォルトでは、パスワードで大文字と小文字は区別されません。大文字と小文字を区別するパスワードを導入するためのパスワードポリシーを作成できます。［パスワードポリシー］>［ユニバーサルパスワード］>［高度なパスワードルール］を選択して、［パスワードで大文字と小文字を区別することを許可する］を指定できます。大文字と小文字を区別するパスワードを許可した場合、［ユーザにパスワードの取得を許可する］の設定も有効にする必要があります。デフォルトでは、このオプションは有効になっています。有効になっているかどうかを確認するには、iManagerで［パスワードポリシー］>［ユニバーサルパスワード］>［環境設定オプション］を選択してください。

パスワードポリシーコンプライアンス

ユニバーサルパスワードを有効にした場合、既存のパスワードがパスワードポリシーに準拠しているかどうかを確認するようにシステムを設定することをお勧めいたします。設定するには、iManagerを使用します。iManagerで、［パスワード］>［パスワードポリシー］>［ユニバーサルパスワード］>［環境設定オプション］を選択します。［既存のパスワードがパスワードポリシーに従っているかどうかを検証する(検証はログイン時に実行)］オプションが選択されていることを確認します。これにより、ユーザアプリケーションで作成されたユーザには［パスワードの変更］ページが表示されます。ここでは、Identity Managerパスワードポリシーに準拠したパスワードを入力します。

5.3.2 本人確認の回答の設定

本人確認の回答の設定セルフサービスページでは、次の作業を行えます。

管理者定義のチャレンジ質問に対する有効な回答の設定、およびユーザ定義のチャレンジ質問および回答の設定
管理者定義のチャレンジ質問に対する有効な回答の変更、およびユーザ定義のチャレンジ質問および回答の変更

ヒント:iManagerで本人確認の回答をローカライズした場合、［ログイン環境設定］ロケールチェックを有効にするにTrueを設定します。

図 5-6 本人確認の回答の例

要件

本人確認の回答の要件については、表 5-6を参照してください。

表 5-6 本人確認の回答の要件

トピック	要件
パスワードポリシー	パスワードを忘れた場合のセルフサービスが有効で、本人確認の質問と回答を設定する必要があります。
ユニバーサルパスワード	ユニバーサルパスワードを有効にする必要はありません。
eDirectoryの設定	ログインユーザが属すコンテナのLDAP管理者にスーパバイザ権が付与されている必要があります。これらの特権を付与されると、ユーザは、チャレンジ回答をシークレットストアに書き込むことができます。たとえば、LDAPレルム管理者がcn=admin, ou=sample、n=novellと設定されており、ユーザがcn=user1、ou=testou、o=novellとしてログインする場合を考えてみましょう。この場合、cn=admin、ou=sample、n=novellを testouのトラスティとして割り当て、［All attribute rights］でスーパバイザ権を付与する必要があります。

トピック

要件

パスワードポリシー

パスワードを忘れた場合のセルフサービスが有効で、本人確認の質問と回答を設定する必要があります。

ユニバーサルパスワード

ユニバーサルパスワードを有効にする必要はありません。

eDirectoryの設定

ログインユーザが属すコンテナのLDAP管理者にスーパバイザ権が付与されている必要があります。これらの特権を付与されると、ユーザは、チャレンジ回答をシークレットストアに書き込むことができます。

たとえば、LDAPレルム管理者がcn=admin, ou=sample、n=novellと設定されており、ユーザがcn=user1、ou=testou、o=novellとしてログインする場合を考えてみましょう。この場合、cn=admin、ou=sample、n=novellを testouのトラスティとして割り当て、［All attribute rights］でスーパバイザ権を付与する必要があります。

「本人確認の回答」機能の使用

本人確認の回答機能を使用するには、次のことを理解しておく必要があります。

ログイン時の「本人確認の回答」機能の動作

ログイン中、ユーザが本人確認の質問および回答を設定する必要がある場合には必ず、［ログイン］ページから自動的に「本人確認の回答」にリダイレクトされます。たとえば、管理者がiManagerでユーザにパスワードポリシーを割り当てた後に初めてそのユーザがアプリケーションにログインしようとする場合がこれに当たります。Password Policy(パスワードポリシー)は忘れたパスワードを有効にし、チャレンジセットを含める必要があります)。

ユーザアプリケーション上での「本人確認の回答」機能の動作

デフォルトでは、本人確認の質問および回答を変更するためのセルフサービスをユーザアプリケーションで使用できます。

本人確認の回答の設定

本人確認の回答の環境設定に(［管理］タブ)ついては、次の表を参照してください。

表 5-7 「本人確認の回答」の環境設定

設定	説明
応答テキストのマスク	［はい］を選択すると、ユーザが入力した応答テキストはアスタリスク(*)で表示されます。

5.3.3 「パスワードを忘れた場合」の環境設定

この機能は、ユーザに各自のパスワードに関する情報を提供するために、「本人確認の回答」認証を使用します。結果は割り当てられたパスワードポリシーにより異なりますが、次にその例を示します。

ユーザのパスワードヒントの画面への\'95\'5c示
ユーザへのヒントを電子メールで送信する
ユーザのパスワードを電子メールで送信する
パスワードのリセット(変更)を要求するプロンプト\'95\'5c示

一般的に「パスワードを忘れた場合」セルフサービスは、配布されたユーザアプリケーションWARを通じてファイアウォール内で利用できます。ただし、「パスワードを忘れた場合」管理機能を個別のパスワード管理WARに保管するようにシステムを設定することもできます。その後、ファイアウォール内外にある個別のシステムにパスワード管理WARを配布します。コアユーザアプリケーションWAR外での「パスワードを忘れた場合」機能の設定方法については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。

要件

「パスワードを忘れた場合」機能の要件については、表 5-8を参照してください。

表 5-8 「パスワードを忘れた場合」機能の要件

トピック	要件
パスワードポリシー	「パスワードを忘れた場合」セルフサービスが有効で、本人確認の質問と回答を設定する必要があります。パスワードポリシーを使用する場合、ユーザが初めてログインする時にパスワードの変更を要求するメッセージを表示するために、iManagerの［パスワードポリシー］ページで次の設定を行う必要があります。［ユーザが認証時に本人確認の質問およびヒントのいずれかまたは両方を構成することを強制する］を有効にする必要があります。この設定は、［認証］の［パスワードを忘れた場合］パネルにあります。［既存のパスワードがパスワードポリシーに従っているかどうかを検証する(検証はログイン時に実行］を有効にする必要があります。この設定は、［環境設定オプション］>［認証］の［ユニバーサルパスワード］パネルにあります。［許される猶予ログインの回数を制限する］(0～254)を有効にする必要があります。デフォルト値の6をそのまま使用することもできます。この設定は、［高度なパスワードルール］>［パスワード有効期間］の［ユニバーサルパスワード］パネルにあります。この設定は、ユーザの作成アクションをサポートするために必要です。ユーザの作成アクションは、ユーザのパスワードを失効させ、猶予ログインの値を1に設定します。そのため、初回ログイン時に、ユーザにパスワードの変更を強制することができます。
ユニバーサルパスワード	パスワードのリセットやパスワードのユーザへの電子メール送信をサポートするのではない限り、ユニバーサルパスワードを有効にする必要はありません。

トピック

要件

パスワードポリシー

「パスワードを忘れた場合」セルフサービスが有効で、本人確認の質問と回答を設定する必要があります。

パスワードポリシーを使用する場合、ユーザが初めてログインする時にパスワードの変更を要求するメッセージを表示するために、iManagerの［パスワードポリシー］ページで次の設定を行う必要があります。

［ユーザが認証時に本人確認の質問およびヒントのいずれかまたは両方を構成することを強制する］を有効にする必要があります。この設定は、［認証］の［パスワードを忘れた場合］パネルにあります。
［既存のパスワードがパスワードポリシーに従っているかどうかを検証する(検証はログイン時に実行］を有効にする必要があります。この設定は、［環境設定オプション］>［認証］の［ユニバーサルパスワード］パネルにあります。
［許される猶予ログインの回数を制限する］(0～254)を有効にする必要があります。デフォルト値の6をそのまま使用することもできます。この設定は、［高度なパスワードルール］>［パスワード有効期間］の［ユニバーサルパスワード］パネルにあります。この設定は、ユーザの作成アクションをサポートするために必要です。ユーザの作成アクションは、ユーザのパスワードを失効させ、猶予ログインの値を1に設定します。そのため、初回ログイン時に、ユーザにパスワードの変更を強制することができます。

ユニバーサルパスワード

パスワードのリセットやパスワードのユーザへの電子メール送信をサポートするのではない限り、ユニバーサルパスワードを有効にする必要はありません。

「パスワードを忘れた場合」機能の使用

「パスワードを忘れた場合」機能を使用するには、次のことを理解しておく必要があります。

ログイン時の「パスワードを忘れた場合」機能の使用方法

ログイン処理中に、ユーザが［パスワードを忘れた場合］リンクをクリックすると、［ログイン］ページから［パスワードを忘れた場合］ページにリダイレクトされます。 Forgot Password］が\'95\'5c示されるとき、次のことが行われます。

［username］の入力を要求するプロンプトが\'95\'5c示されます。
ユーザの本人確認の回答認証を行うために、［本人確認の回答］ページにリダイレクトされます。
認証されたユーザに割り当てられているパスワードポリシーで指定された、パスワードを忘れた場合アクションを実行します。次のいずれか1つを実行します。
- ユーザがパスワードをリセットするために、［パスワードの変更］ページにリダイレクトする
- パスワードまたはヒントを、ユーザに電子メールで送信する
- ヒントを\'95\'5c示する

電子メールアクション用環境の設定

パスワードを忘れた場合の電子メールによるアクションをサポートする場合、電子メール通知サーバを適切に設定する必要があります。

Webブラウザを使用してeDirectoryサーバのiManagerにアクセスし、管理者としてログインします。
［Roles and Tasks (役割とタスク)］>［パスワード］の順にクリックし、［電子メールサーバオプション］を選択します。
適切な設定を指定し、［OK］をクリックします。

「パスワードを忘れた場合」機能は、2種類の電子メールテンプレートを使用します。iManagerの、［Roles and Tasks（役割とタスク）］>［パスワード］>［Edit Email Templates(電子メールテンプレートの編集)］にあります。次のような名前が付けられています。

Password hint request
Your password request

これらのテンプレートは、必要に応じて編集できます。ただし、構造は変更しないでください。［パスワードを忘れた場合］ページでは、ユーザの言語に基づいてローカライズ版の電子メールテンプレートを表示するかどうかが判断されます。

「パスワードを忘れた場合」の環境設定

［パスワードを忘れた場合］ページの環境設定は、［管理］タブで行います。を参照してください。表 5-9

表 5-9 「パスワードを忘れた場合」の環境設定

環境設定	説明
ログインシーケンス	使用するNMASログインシーケンスです。このバージョンでは、本人確認の回答のみをサポートしています。
LDAPセキュアポート	使用するセキュアLDAPポートです。デフォルトは636です。
ログインでワイルドカードを許可する	ユーザ名の指定時にワイルドカードの使用を許可する場合、Trueを選択します。(デフォルト値はFalseです)Trueを設定した場合、DN情報の表示もTrueにする必要があります。 Trueを設定した場合、ユーザ名の先頭数文字を入力した後にワイルドカード文字を入力すれば、入力した文字列に一致するDNの一覧が［パスワードを忘れた場合］ページに表示されます。
DN情報の表示	［パスワードを忘れた場合］ページにDN値を表示する場合、Trueを選択します。このオプションは、ログインでワイルドカードを許可すると一緒に使用できます。Falseを設定した場合、DNコンテキスト情報は表示されません。
汎用パスワードポリシーユーザDN	不正ユーザが有効なユーザ名を推測してシステムに不正アクセスすることを防止するために作成された、既存のアイデンティティボールトのDNを指定します。デフォルトでは、ユーザが不正な名前を入力すると、「ユーザが見つかりません」というメッセージが表示されます。状況によっては不正ユーザが有効なユーザ名を推測できて、本人確認にも正しく回答できる可能性があります。これを防止する方法の1つとして、この値を指定できます。必要な環境設定作業については、汎用パスワードポリシーユーザDNの設定を参照してください。
エンコーディング	使用する文字のエンコードです。デフォルトは［utf-8］です。
パスワードリセットのヒントを表示	［パスワードのリセット］画面にユーザのパスワードのヒントを表示する場合は、Trueを選択します。［パスワードのリセット］画面にユーザのパスワードのヒントを表示しない場合は、Falseを選択します。

汎用パスワードポリシーユーザDNの設定

汎用パスワードポリシーユーザDNをサポートするには、ユーザコンテナにユーザを設定する必要があります。ユーザは次の条件を満たしていなければなりません。

推測しにくいパスワードを持っている。
電子メールアドレスをユーザアプリケーション管理者に割り当てている。

次の項目を設定する必要があります。

管理者が定義する、このユーザ用の本人確認の質問。
本人確認の質問に使用するパスワードポリシー。パスワードポリシーでは、ForgotPasswordを有効にする必要があります。

このユーザとしてユーザアプリケーションにログインし、管理者が定義した質問に対する回答を最低1回は入力する必要があります。

最後に、ユーザアプリケーション管理者としてユーザアプリケーションにログインし、［管理］タブの［パスワードを忘れた場合］ページに移動します。ログインでワイルドカードを許可するとDN情報の表示にFalseを指定します。新しく作成したユーザを、汎用パスワードポリシーユーザDNとして指定します。

5.3.4 ログインの環境設定

［ログイン］ページは、ユニバーサルパスワード、パスワードポリシー、およびNMASを通して、Identity Managerがサポートする堅牢なユーザ認証を実行します。［ログイン］ページでは、ログインプロセス中に必要な他のパスワードページにリダイレクトされます。

要件

［ログイン］ページの要件については、表 5-10を参照してください。

表 5-10 ログインの要件

トピック	要件
パスワードポリシー	高度なパスワードルールを使用したり、ユーザに［パスワードを忘れた場合］リンクを使用させる場合を除き、このページにパスワードポリシーは不要です。
ユニバーサルパスワード	高度なパスワードルールと共にパスワードポリシーを使用するのでない限り、このページでユニバーサルパスワードを有効にする必要ありません。
SSL	このページではSSLを使用するため、LDAPレルムへのSSL接続をサポートするようにアプリケーションサーバが適切に設定されていることを確認します。

［パスワードモジュールのセットアップ］ログインアクションを使って、次の設定を行います。

表 5-11 ログインの環境設定

環境設定	説明
IDのワイルドカードを許可する	Trueにした場合、ユーザ名の先頭数文字を入力すれば、その文字を含むユーザ名のリストが表示されます。ユーザは、そこからユーザ名を選択できます。
パスワードを忘れた場合のリンクを有効にする	Trueにした場合、［ログイン］ページに［パスワードを忘れた場合］リンクが表示されます。
パスワードを忘れた場合のリンク	この値は、［パスワードを忘れた場合］ページの名前とパスを定義します。この初期値は、インストール時に作成されます。外部パスワード管理WARを使用しない場合は、デフォルト値のままで構いません。詳細については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。
パスワードを忘れた場合の返信リンク	［パスワードを忘れた場合］リンクのように、この値はインストール時に設定されます。外部パスワード管理WARを使用しない場合は、変更する必要はありません。外部パスワード管理WARを使用する場合、ユーザが［送信］をクリックした時に、［パスワードを忘れた場合］ページがユーザアプリケーションに戻るために使用するURLを指定します。戻るためのリンクは次の形式で指定します。 protocol://servername:port/userappcontext 例:https://idmhost:8080/IDMProv 詳細については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。
SSOを有効にする	Trueにした場合、ユーザ名とパスワードはセッションに保管され、他の適切に設定されたポートレットからアクセスすることができます。ユーザ名はSSOユーザIDキーに保管され、パスワードはSSOパスワードキーに保管されます。
SSOユーザIDキー	SSOを有効にするをTrueにした場合、このキーを使ってユーザ名がセッションに保存されます。
SSOパスワードキー	SSOを有効にするをTrueにした場合、このキーを使ってパスワードがセッションに保存されます。
ヒントの移行を有効にする	Trueにした場合、既存のヒントがnsimHintからnsimPasswordReminderに移動されます。
ロケールチェックを有効にする	ユーザが各自のロケールを設定していない場合、Trueにすると優先ロケールを設定できるページが表示されます。
パスワードオートコンプリートの有効化	ブラウザがサポートしている場合、Trueにすると、ユーザのブラウザにログイン資格情報を記憶しておくかどうかを尋ねるメッセージが表示されます。 Falseにした場合、ログイン資格情報を記憶しておくかどうかを尋ねるメッセージは表示されません。

［ログイン］ページの使用

［ログイン］ページを使用するには、次のことを理解しておく必要があります。

［ログイン］ページから他のページへのリダイレクト方法

ランタイム時、［ログイン］ページでは、ログインプロセス中に必要となるものに応じて他のパスワードページにリダイレクトされます。詳細は、表 5-12を参照してください。

表 5-12 他のページへのリダイレクト

ユーザの状況	ログインのリダイレクト先
［パスワードを忘れた場合］リンクをクリックする	［パスワードを忘れた場合］ページ
チャレンジ質問および回答を設定する必要がある	［本人確認の回答］ページ
パスワードヒントを設定する必要がある	［ヒントの設定］ページ
無効なパスワードをリセットする必要がある	［パスワードの変更］ページ

猶予ログインの使用

猶予ログインを使用すると、［ログイン］ページにパスワードの変更を要求する警告メッセージと猶予ログインの残り回数が表示されます。猶予ログインの残り回数がなくなると、［ログイン］ページから「パスワードの変更」ポートレットにリダイレクトされます。

5.3.5 パスワード同期ステータスの環境設定

ユーザはパスワード同期ステータスで、接続中のシステムのパスワード変更プロセスの進捗状況を確認できます。接続中の各システムを表す個別のイメージを指定できます。パスワード同期ステータスを設定する

同期化プロセス中にユーザにステータスを参照させる、接続したアプリケーションを定義します。表 5-14を参考に、［パスワード同期ステータスのアプリケーション設定］で接続したアプリケーションを定義します。
ユーザに表示する［パスワード同期ステータス］ページの設定を行います。詳細は、表 5-13, パスワード同期ステータスクライアント設定を参照してください。

デフォルトでは、ユーザアプリケーション管理者は、図 5-7にある［パスワード同期ステータス］ページにアクセスして、他のユーザのパスワード同期ステータスを参照することができます。他のユーザの同期ステータスにアクセスするには、ユーザのDNを指定した後に、［同期ステータスのチェック］をクリックします。

図 5-7 パスワード同期ステータス

また、ユーザアプリケーション管理者に加えて、あなたは他のユーザの同期ステータスのチェックを行えるユーザセットを定義できます(トラブルシューティングや他の目的で)。PasswordManagementグループのメンバーには、他のユーザのパスワード同期ステータスを表示する権利が自動的に与えられます。デフォルトでは、このグループは存在していません。このグループを作成する場合、次の条件を満たしていなければなりません。

グループ名は「PasswordManagement」.
アイデンティティボールトへの権限を与えるこのグループには、パスワード同期ステータスを表示するユーザのeDirectoryオブジェクト属性に対する読み込み権が必要です。

表 5-13 パスワード同期ステータスクライアント設定

環境設定	説明
パスワード同期バッファ時間(ミリ秒)	パスワード同期ステータスチェックは、複数のアイデンティティボールトおよび接続したシステムのタイムスタンプを比較します。このバッファ時間は、これらの個別のマシンのシステム時間の差異を調整することを目的にしています。ここに指定した時間がユーザオブジェクトのパスワード変更属性のタイムスタンプに追加され、変更が行われたかどうかが判断されます。パスワード同期ステータスプロセスは、バッファ時間を次のように使用します。接続しているシステムのDirXML-PasswordSyncStatusにあるタイムスタンプ値(パスワード同期時刻)が「前回パスワードが変更されたタイムスタンプ(ユーザオブジェクトのpwdChangedTime属性) + パスワード同期バッファ時間」より古い場合、ステータスは古いと判断され、接続したシステムに対して更新ステータスのポーリングが続行されます。接続しているシステムのDirXML-PasswordSyncStatusにあるタイムスタンプ値が「前回パスワードが変更されたタイムスタンプ + パスワード同期バッファ時間」より新しい場合、パスワード同期機能からステータスコードまたはメッセージが返されて、接続したシステムの更新されたステータスが表示されます。前回パスワードが変更されたタイムスタンプは、ユーザのパスワードが変更された後にユーザオブジェクトに設定されます。この機能は、NMAS 3.1.3以降で利用できます。
1行のイメージ	Identityセルフサービスの［パスワード同期ステータス］ページで、1行に表示するアプリケーションイメージ数を指定します。
個々のアプリケーションタイムアウト(ミリ秒)	パスワード同期ステータスプロセスが、接続した各アプリケーションのステータスを待機する時間。この時間が経過すると、次のステータスのチェックを開始します。
すべてのアプリケーションタイムアウト(ミリ秒)	パスワード同期ステータスプロセスがすべて完了するまでの許容時間です(すべての接続しているシステムに対して)。この時間が経過するまでの間、パスワード同期ステータスプロセスはポーリングを継続します。すべてのステータス値が更新されるか、タイムアウトが発生すると、プロセスは終了します。タイムアウトになった場合は、その旨を知らせるエラーメッセージが表示されます。
プロセス数	接続している各システムのパスワード同期ステータスが確認された回数です。
パスフレーズ	DirXML-PasswordSyncStatusにパスワードハッシュがある場合、このフィールドに入力した値がその値と比較されます。両方の値が等しくない場合、ハッシュが無効であることを知らせるメッセージが表示されます。
アプリケーションイメージサイズ制限(バイト)	アップロードできるアプリケーションイメージサイズの最大値を設定できます(バイト)。このイメージは、表 5-14で説明している［アプリケーションイメージ］で指定します。

パスワード同期ステータスのアプリケーション設定については、表 5-14を参照してください。

表 5-14 パスワード同期ステータスアプリケーション設定

環境設定	説明
パスワード同期アプリケーション名	接続したアプリケーションを説明するために使用する名前です。アプリケーション名を複数のロケールで指定することができます。言語(ロケール)を追加する［言語の追加］をクリックします。目的の言語に対応したフィールドにアプリケーション名を入力します。［保存］をクリックします。ローカライズ版のアプリケーション名を指定しない場合、［パスワード同期アプリケーション名］に設定された値が使用されます。
アプリケーションDirXML-PasswordSyncStatus GUID	ドライバGUIDを取得するには、ドライバオブジェクトの属性を参照します。次の2種類の方法があります。このフィールドの隣にある［参照］ボタンをクリックする。この［参照］ボタンは、ユーザアプリケーションドライバがあるドライバセット内のドライブのGUIDのみを取得します。 iManagerを使ってドライバを参照し(オブジェクトの変更に使用する［一般 - その他］タブから)、GUIDをコピーしてこのフィールドに貼り付ける。
アプリケーションイメージ	アップロードする接続したアプリケーションイメージの名前です。［パスワード同期ステータスのクライアント設定］セクションの［アプリケーションイメージサイズ制限］フィールドで、アプリケーションイメージサイズを設定することができます。.bmp、.jpeg、.jpg、.gif、および.pngのファイル形式がサポートされています。
アプリケーションフィルタ	オプション。［パスワードの同期ステータスのチェック］ページでユーザがアプリケーション名を参照することを許可／禁止するLDAPフィルタを指定します。任意の標準LDAPフィルタを使用できます。
従属ドライバ	オプション。このアプリケーションが依存する他のドライバを指定します。従属ドライバチェーン内に、ユーザが参照できないドライバがある場合は、アプリケーションDirXML-PasswordSyncStatus GUIDに指定されたドライバもユーザには表示されません。従属ドライバチェーン内のドライバがパスワード同期ステータスのチェックに失敗した場合、アプリケーションDirXML-PasswordSyncStatus GUIDに指定されたドライバもパスワード同期ステータスのチェックに失敗します。ドライバGUIDを取得するには、ドライバオブジェクトの属性を参照します。次の2種類の方法があります。［従属ドライバ］フィールドの隣にあるオブジェクトセレクタボタンを使用する。この方法では、アプリケーションドライバの完全識別名(FDN)が保存されます。ユーザがパスワード同期ステータスをチェックする時には、このFDNがユーザオブジェクトのDirXML-Associations属性中のFDNフィールドの値と比較されます。2つのFDNが一致しない場合、ユーザにこのアプリケーションは表示されません。一致した場合で、さらにDirXML-Associations属性のドライバステータスフィールドの値が0でなく、またドライバデータフィールドがヌルでない場合、このアプリケーションはユーザに表示されます。従属ドライバのGUIDを手動入力する。このアプリケーションドライバが、ユーザアプリケーションドライバのある現在のドライバセットにない場合、この方法を使用します。この方法では、FDNは保存されません。ユーザがパスワード同期ステータスをチェックする時に、FDNは比較されません。また、アプリケーションフィルタで除外されているユーザ以外のユーザには、この従属ドライバが表示されます。

5.3.6 パスワードのヒントの変更の環境設定

このセルフサービスページでは、パスワードのヒントを設定、変更することができます。このヒントは、パスワードを忘れた場合に、そのヒントとして表示されるか、または電子メールで送信されます。

図 5-8 パスワードのヒントのサンプルの定義

要件

パスワードのヒントの変更に関する要件は、表 5-15を参照してください。

表 5-15 パスワードのヒントの変更に関する要件

トピック	要件
ユニバーサルパスワード	ユニバーサルパスワードを有効にする必要はありません。

［パスワードのヒントの変更］ページの使用

［パスワードのヒント］ページを使用するには、次のことを理解しておく必要があります。

ログイン時の［パスワードのヒント］ページの使用方法

ログインプロセス時に、ユーザがパスワードのヒントを設定する必要がある場合、［ログイン］ページから［パスワードのヒントの変更］ページに自動的にリダイレクトされます。たとえば、管理者がiManagerでパスワードポリシーを割り当てたユーザが初めてログインする際には、パスワードポリシーはにより「パスワードを忘れた場合」が有効になり、アクションが［ユーザにヒントを送信する］または［ヒントをページに表示］に設定されます。

ユーザアプリケーションでの［パスワードのヒントの変更］の使用

デフォルトでは、パスワードヒントを変更するためのセルフサービスをユーザアプリケーションで使用できます。

5.3.7 パスワードの変更の環境設定

このセルフサービスページにより、割り当てられたパスワードポリシーに従って、ユーザがユニバーサルパスワードを変更(リセット)できます。新しいパスワードが準拠する必要のあるルールを\'95\'5c示するには、そのポリシーを使用します。

ユニバーサルパスワードが有効になっていない場合、このページがユーザのeDirectory(シンプル)パスワードを変更します。このとき、ユーザのパスワード制限が適用されます。

図 5-9 パスワード変更

パスワードの変更に関する環境設定はありません。

要件

［パスワードの変更］ページの要件については、表 5-16を参照してください。

表 5-16 パスワードの変更に関する要件

トピック	要件
ディレクトリ抽象化層の設定	.このページでは、ディレクトリ抽象化層の設定は必要ありません。
パスワードポリシー	ユニバーサルパスワードを有効にする高度なパスワードルールを使用するのでない限り、このページではパスワードポリシーは必要ありません。
ユニバーサルパスワード	このページをユニバーサルパスワードに使用する場合、ユーザに割り当てるパスワードポリシーの［高度なパスワードルール］で、［ユーザにパスワード変更の開始を許可する］設定を有効にする必要があります。このページをeDirectory (シンプル)パスワードに使用する場合、ユーザのパスワード制限で、［Allow user to change password (ユーザにパスワードの変更を許可する)］設定を有効にする必要があります。

トピック

要件

ディレクトリ抽象化層の設定

.このページでは、ディレクトリ抽象化層の設定は必要ありません。

パスワードポリシー

ユニバーサルパスワードを有効にする高度なパスワードルールを使用するのでない限り、このページではパスワードポリシーは必要ありません。

ユニバーサルパスワード

このページをユニバーサルパスワードに使用する場合、ユーザに割り当てるパスワードポリシーの［高度なパスワードルール］で、［ユーザにパスワード変更の開始を許可する］設定を有効にする必要があります。

このページをeDirectory (シンプル)パスワードに使用する場合、ユーザのパスワード制限で、［Allow user to change password (ユーザにパスワードの変更を許可する)］設定を有効にする必要があります。

［パスワードの変更］ページの使用

［パスワードの変更］ページを使用するには、次のことを理解しておく必要があります。

ログイン時の［パスワードの変更］ページの使用方法

ログインプロセス時、ユーザが無効なパスワードをリセットする必要がある場合には、［ログイン］ページから［パスワードの変更］ページへと自動的にリダイレクトされます。たとえば、管理者がユーザに対してパスワードのリセットを要求するパスワードポリシーを適用した場合、その後ユーザが初めてログインする際にはパスワードのリセットが要求されます。

ユーザに割り当てられパスワードポリシーに、パスワードを忘れた場合のアクションとしてパスワードのリセットが指定されている場合、［パスワードを忘れた場合］ページも自動的に［パスワードの変更］ページにリダイレクトされます。

ユーザアプリケーションでの［パスワードの変更］ページの使用

デフォルトでは、［パスワードの変更］ページによるパスワード変更のセルフサービスをユーザアプリケーションで使用できます。