この節では、パスワードセルフサービスおよびユーザ認証機能をIdentity Managerユーザアプリケーションに設定する方法について説明します。主なトピックは次のとおりです。
Identity Managerユーザアプリケーションがサポートするパスワード管理機能には、ユーザ認証とパスワードセルフサービスがあります。これの機\'94\'5cを使用できるようにすると、アプリケーションで次のことが行われます。
Novell eDirectory™の認証のためのログイン情報(ユーザ名およびパスワード)の入力を要求するプロンプトが表示される。
パスワード変更のセルフサービスをユーザに提供する
パスワードを忘れた場合のセルフサービス(本人確認の回答の入力を促すメッセージの表示、パスワードヒントの表示、パスワード変更の許可など)をユーザが利用できるようにする。パスワードを忘れた場合のセルフサービスをファイアウォール内で実行するように設定することも、ファイアウォール外で実行するように設定することもできます。
チャレンジ質問のセルフサービスをユーザに提供する
パスワードヒントのセルフサービスをユーザに提供する
パスワードセルフサービスおよびユーザ認証の機\'94\'5cのほとんどでは、使用する前にeDirectoryで次の手順を実行する必要があります。
ユニバーサルパスワード
1つまたは複数のPassword Policy(パスワードポリシー)を作成する
ユーザに適切なPassword Policy(パスワードポリシー)を割り当てる
パスワードポリシーは管理者が定義するルールのコレクションで、ユーザパスワードの作成および変更時に基準を指定する目的で使用されます。Novell Identity Managerでは、NMAS™ (Novell Modular Authentication Service)を利用して、管理者がeDirectoryのユーザに割り当てるパスワードポリシーを強制します。
必要な設定手順を実行するには、Novell iManagerを使用します。たとえば、[DocumentationPassword Policy]では次のように定義します。
図 5-2 サンプルのパスワードポリシー
このPassword Policy(パスワードポリシー)は次のものを指定しています。
[Universal Password]設定
図 5-3 サンプルのユニバーサルパスワード設定
パスワードを忘れた場合の処理方法の設定
図 5-4 サンプルのパスワードポリシー
ポリシーを特定のユーザに適用する割り当て
図 5-5 サンプルのポリシー割り当て
eDirectoryにおけるユニバーサルパスワードおよびPassword Policy (パスワードポリシー)の設定の詳細については、『Novell Identity Manager Administration Guide』を参照してください。
デフォルトでは、パスワードで大文字と小文字は区別されません。大文字と小文字を区別するパスワードを導入するためのパスワードポリシーを作成できます。
を選択して、 を指定できます。大文字と小文字を区別するパスワードを許可した場合、 の設定も有効にする必要があります。デフォルトでは、このオプションは有効になっています。有効になっているかどうかを確認するには、iManagerで を選択してください。ユニバーサルパスワードを有効にした場合、既存のパスワードがパスワードポリシーに準拠しているかどうかを確認するようにシステムを設定することをお勧めいたします。設定するには、iManagerを使用します。iManagerで、
を選択します。 オプションが選択されていることを確認します。これにより、ユーザアプリケーションで作成されたユーザには[パスワードの変更]ページが表示されます。ここでは、Identity Managerパスワードポリシーに準拠したパスワードを入力します。本人確認の回答の設定セルフサービスページでは、次の作業を行えます。
管理者定義のチャレンジ質問に対する有効な回答の設定、およびユーザ定義のチャレンジ質問および回答の設定
管理者定義のチャレンジ質問に対する有効な回答の変更、およびユーザ定義のチャレンジ質問および回答の変更
ヒント:iManagerで本人確認の回答をローカライズした場合、ロケールチェックを有効にするにTrueを設定します。
図 5-6 本人確認の回答の例
本人確認の回答の要件については、表 5-6を参照してください。
表 5-6 本人確認の回答の要件
本人確認の回答機能を使用するには、次のことを理解しておく必要があります。
ログイン中、ユーザが本人確認の質問および回答を設定する必要がある場合には必ず、[ログイン]ページから自動的に「本人確認の回答」にリダイレクトされます。たとえば、管理者がiManagerでユーザにパスワードポリシーを割り当てた後に初めてそのユーザがアプリケーションにログインしようとする場合がこれに当たります。Password Policy(パスワードポリシー)は忘れたパスワードを有効にし、チャレンジセットを含める必要があります)。
デフォルトでは、本人確認の質問および回答を変更するためのセルフサービスをユーザアプリケーションで使用できます。
この機能は、ユーザに各自のパスワードに関する情報を提供するために、「本人確認の回答」認証を使用します。結果は割り当てられたパスワードポリシーにより異なりますが、次にその例を示します。
ユーザのパスワードヒントの画面への\'95\'5c示
ユーザへのヒントを電子メールで送信する
ユーザのパスワードを電子メールで送信する
パスワードのリセット(変更)を要求するプロンプト\'95\'5c示
一般的に「パスワードを忘れた場合」セルフサービスは、配布されたユーザアプリケーションWARを通じてファイアウォール内で利用できます。ただし、「パスワードを忘れた場合」管理機能を個別のパスワード管理WARに保管するようにシステムを設定することもできます。その後、ファイアウォール内外にある個別のシステムにパスワード管理WARを配布します。コアユーザアプリケーションWAR外での「パスワードを忘れた場合」機能の設定方法については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。
「パスワードを忘れた場合」機能の要件については、表 5-8を参照してください。
表 5-8 「パスワードを忘れた場合」機能の要件
「パスワードを忘れた場合」機能を使用するには、次のことを理解しておく必要があります。
ログイン処理中に、ユーザが[パスワードを忘れた場合]リンクをクリックすると、[ログイン]ページから[パスワードを忘れた場合]ページにリダイレクトされます。 Forgot Password]が\'95\'5c示されるとき、次のことが行われます。
[username]の入力を要求するプロンプトが\'95\'5c示されます。
ユーザの本人確認の回答認証を行うために、[本人確認の回答]ページにリダイレクトされます。
認証されたユーザに割り当てられているパスワードポリシーで指定された、
アクションを実行します。次のいずれか1つを実行します。ユーザがパスワードをリセットするために、[パスワードの変更]ページにリダイレクトする
パスワードまたはヒントを、ユーザに電子メールで送信する
ヒントを\'95\'5c示する
パスワードを忘れた場合の電子メールによるアクションをサポートする場合、電子メール通知サーバを適切に設定する必要があります。
Webブラウザを使用してeDirectoryサーバのiManagerにアクセスし、管理者としてログインします。
の順にクリックし、 を選択します。
適切な設定を指定し、[OK
「パスワードを忘れた場合」機能は、2種類の電子メールテンプレートを使用します。iManagerの、
にあります。次のような名前が付けられています。
これらのテンプレートは、必要に応じて編集できます。ただし、構造は変更しないでください。[パスワードを忘れた場合]ページでは、ユーザの言語に基づいてローカライズ版の電子メールテンプレートを表示するかどうかが判断されます。
[パスワードを忘れた場合]ページの環境設定は、表 5-9
タブで行います。を参照してください。表 5-9 「パスワードを忘れた場合」の環境設定
環境設定 |
説明 |
---|---|
|
使用するNMASログインシーケンスです。このバージョンでは、本人確認の回答のみをサポートしています。 |
|
使用するセキュアLDAPポートです。デフォルトは636です。 |
|
ユーザ名の指定時にワイルドカードの使用を許可する場合、Trueを選択します。(デフォルト値はFalseです)Trueを設定した場合、DN情報の表示もTrueにする必要があります。 Trueを設定した場合、ユーザ名の先頭数文字を入力した後にワイルドカード文字を入力すれば、入力した文字列に一致するDNの一覧が[パスワードを忘れた場合]ページに表示されます。 |
|
[パスワードを忘れた場合]ページにDN値を表示する場合、Trueを選択します。このオプションは、ログインでワイルドカードを許可すると一緒に使用できます。Falseを設定した場合、DNコンテキスト情報は表示されません。 |
|
不正ユーザが有効なユーザ名を推測してシステムに不正アクセスすることを防止するために作成された、既存のアイデンティティボールトのDNを指定します。 デフォルトでは、ユーザが不正な名前を入力すると、「汎用パスワードポリシーユーザDNの設定を参照してください。 」というメッセージが表示されます。状況によっては不正ユーザが有効なユーザ名を推測できて、本人確認にも正しく回答できる可能性があります。これを防止する方法の1つとして、この値を指定できます。必要な環境設定作業については、 |
|
使用する文字のエンコードです。デフォルトは[utf-8]です。 |
|
[パスワードのリセット]画面にユーザのパスワードのヒントを表示する場合は、 を選択します。[パスワードのリセット]画面にユーザのパスワードのヒントを表示しない場合は、 を選択します。 |
汎用パスワードポリシーユーザDNをサポートするには、ユーザコンテナにユーザを設定する必要があります。ユーザは次の条件を満たしていなければなりません。
推測しにくいパスワードを持っている。
電子メールアドレスをユーザアプリケーション管理者に割り当てている。
次の項目を設定する必要があります。
管理者が定義する、このユーザ用の本人確認の質問。
本人確認の質問に使用するパスワードポリシー。パスワードポリシーでは、ForgotPasswordを有効にする必要があります。
このユーザとしてユーザアプリケーションにログインし、管理者が定義した質問に対する回答を最低1回は入力する必要があります。
最後に、ユーザアプリケーション管理者としてユーザアプリケーションにログインし、ログインでワイルドカードを許可するとDN情報の表示にFalseを指定します。新しく作成したユーザを、汎用パスワードポリシーユーザDNとして指定します。
タブの ページに移動します。[ログイン]ページは、ユニバーサルパスワード、パスワードポリシー、およびNMASを通して、Identity Managerがサポートする堅牢なユーザ認証を実行します。 [ログイン]ページでは、ログインプロセス中に必要な他のパスワードページにリダイレクトされます。
[ログイン]ページの要件については、表 5-10を参照してください。
表 5-10 ログインの要件
ログインアクションを使って、次の設定を行います。
表 5-11 ログインの環境設定
環境設定 |
説明 |
---|---|
|
Trueにした場合、ユーザ名の先頭数文字を入力すれば、その文字を含むユーザ名のリストが表示されます。ユーザは、そこからユーザ名を選択できます。 |
|
Trueにした場合、[ログイン]ページに リンクが表示されます。 |
|
この値は、[パスワードを忘れた場合]ページの名前とパスを定義します。この初期値は、インストール時に作成されます。外部パスワード管理WARを使用しない場合は、デフォルト値のままで構いません。 詳細については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。 |
|
[パスワードを忘れた場合]リンクのように、この値はインストール時に設定されます。外部パスワード管理WARを使用しない場合は、変更する必要はありません。 外部パスワード管理WARを使用する場合、ユーザが[送信]をクリックした時に、 ページがユーザアプリケーションに戻るために使用するURLを指定します。戻るためのリンクは次の形式で指定します。protocol://servername:port/userappcontext 例:https://idmhost:8080/IDMProv 詳細については、セクション 2.5, 「パスワードを忘れた場合」の環境設定を参照してください。 |
|
Trueにした場合、ユーザ名とパスワードはセッションに保管され、他の適切に設定されたポートレットからアクセスすることができます。ユーザ名はSSOユーザIDキーに保管され、パスワードはSSOパスワードキーに保管されます。 |
|
SSOを有効にするをTrueにした場合、このキーを使ってユーザ名がセッションに保存されます。 |
|
SSOを有効にするをTrueにした場合、このキーを使ってパスワードがセッションに保存されます。 |
|
Trueにした場合、既存のヒントがnsimHintからnsimPasswordReminderに移動されます。 |
|
ユーザが各自のロケールを設定していない場合、Trueにすると優先ロケールを設定できるページが表示されます。 |
|
ブラウザがサポートしている場合、Trueにすると、ユーザのブラウザにログイン資格情報を記憶しておくかどうかを尋ねるメッセージが表示されます。 Falseにした場合、ログイン資格情報を記憶しておくかどうかを尋ねるメッセージは表示されません。 |
[ログイン]ページを使用するには、次のことを理解しておく必要があります。
ランタイム時、[ログイン]ページでは、ログインプロセス中に必要となるものに応じて他のパスワードページにリダイレクトされます。詳細は、表 5-12を参照してください。
猶予ログインを使用すると、[ログイン]ページにパスワードの変更を要求する警告メッセージと猶予ログインの残り回数が表示されます。猶予ログインの残り回数がなくなると、[ログイン] ページから「パスワードの変更」ポートレットにリダイレクトされます。
ユーザはパスワード同期ステータスで、接続中のシステムのパスワード変更プロセスの進捗状況を確認できます。接続中の各システムを表す個別のイメージを指定できます。パスワード同期ステータスを設定する
同期化プロセス中にユーザにステータスを参照させる、接続したアプリケーションを定義します。表 5-14を参考に、[パスワード同期ステータスのアプリケーション設定]で接続したアプリケーションを定義します。
ユーザに表示する[パスワード同期ステータス]ページの設定を行います。詳細は、表 5-13, パスワード同期ステータスクライアント設定を参照してください。
デフォルトでは、ユーザアプリケーション管理者は、図 5-7にある[パスワード同期ステータス]ページにアクセスして、他のユーザのパスワード同期ステータスを参照することができます。他のユーザの同期ステータスにアクセスするには、ユーザのDNを指定した後に、 をクリックします。
図 5-7 パスワード同期ステータス
また、ユーザアプリケーション管理者に加えて、あなたは他のユーザの同期ステータスのチェックを行えるユーザセットを定義できます(トラブルシューティングや他の目的で)。PasswordManagementグループのメンバーには、他のユーザのパスワード同期ステータスを表示する権利が自動的に与えられます。デフォルトでは、このグループは存在していません。このグループを作成する場合、次の条件を満たしていなければなりません。
グループ名は「PasswordManagement」.
アイデンティティボールトへの権限を与えるこのグループには、パスワード同期ステータスを表示するユーザのeDirectoryオブジェクト属性に対する読み込み権が必要です。
表 5-13 パスワード同期ステータスクライアント設定
環境設定 |
説明 |
---|---|
|
パスワード同期ステータスチェックは、複数のアイデンティティボールトおよび接続したシステムのタイムスタンプを比較します。このバッファ時間は、これらの個別のマシンのシステム時間の差異を調整することを目的にしています。ここに指定した時間がユーザオブジェクトのパスワード変更属性のタイムスタンプに追加され、変更が行われたかどうかが判断されます。パスワード同期ステータスプロセスは、バッファ時間を次のように使用します。
|
|
Identityセルフサービスの[パスワード同期ステータス]ページで、1行に表示するアプリケーションイメージ数を指定します。 |
|
パスワード同期ステータスプロセスが、接続した各アプリケーションのステータスを待機する時間。この時間が経過すると、次のステータスのチェックを開始します。 |
|
パスワード同期ステータスプロセスがすべて完了するまでの許容時間です(すべての接続しているシステムに対して)。この時間が経過するまでの間、パスワード同期ステータスプロセスはポーリングを継続します。すべてのステータス値が更新されるか、タイムアウトが発生すると、プロセスは終了します。タイムアウトになった場合は、その旨を知らせるエラーメッセージが表示されます。 |
|
接続している各システムのパスワード同期ステータスが確認された回数です。 |
|
DirXML-PasswordSyncStatusにパスワードハッシュがある場合、このフィールドに入力した値がその値と比較されます。 両方の値が等しくない場合、ハッシュが無効であることを知らせるメッセージが表示されます。 |
|
アップロードできるアプリケーションイメージサイズの最大値を設定できます(バイト)。このイメージは、表 5-14で説明している[アプリケーションイメージ]で指定します。 |
パスワード同期ステータスのアプリケーション設定については、表 5-14を参照してください。
表 5-14 パスワード同期ステータスアプリケーション設定
このセルフサービスページでは、パスワードのヒントを設定、変更することができます。このヒントは、パスワードを忘れた場合に、そのヒントとして表示されるか、または電子メールで送信されます。
図 5-8 パスワードのヒントのサンプルの定義
パスワードのヒントの変更に関する要件は、表 5-15を参照してください。
[パスワードのヒント]ページを使用するには、次のことを理解しておく必要があります。
ログインプロセス時に、ユーザがパスワードのヒントを設定する必要がある場合、[ログイン]ページから[パスワードのヒントの変更]ページに自動的にリダイレクトされます。たとえば、管理者がiManagerでパスワードポリシーを割り当てたユーザが初めてログインする際には、パスワードポリシーはにより「パスワードを忘れた場合」が有効になり、アクションが
または に設定されます。デフォルトでは、パスワードヒントを変更するためのセルフサービスをユーザアプリケーションで使用できます。
このセルフサービスページにより、割り当てられたパスワードポリシーに従って、ユーザがユニバーサルパスワードを変更(リセット)できます。新しいパスワードが準拠する必要のあるルールを\'95\'5c示するには、そのポリシーを使用します。
ユニバーサルパスワードが有効になっていない場合、このページがユーザのeDirectory(シンプル)パスワードを変更します。このとき、ユーザのパスワード制限が適用されます。
図 5-9 パスワード変更
パスワードの変更に関する環境設定はありません。
[パスワードの変更]ページの要件については、表 5-16を参照してください。
表 5-16 パスワードの変更に関する要件
[パスワードの変更]ページを使用するには、次のことを理解しておく必要があります。
ログインプロセス時、ユーザが無効なパスワードをリセットする必要がある場合には、[ログイン]ページから[パスワードの変更]ページへと自動的にリダイレクトされます。たとえば、管理者がユーザに対してパスワードのリセットを要求するパスワードポリシーを適用した場合、その後ユーザが初めてログインする際にはパスワードのリセットが要求されます。
ユーザに割り当てられパスワードポリシーに、パスワードを忘れた場合のアクションとしてパスワードのリセットが指定されている場合、[パスワードを忘れた場合]ページも自動的に[パスワードの変更]ページにリダイレクトされます。
デフォルトでは、[パスワードの変更]ページによるパスワード変更のセルフサービスをユーザアプリケーションで使用できます。