Novell Documentation: Nsure Identity Manager 2.0 - 企業ポータルへのパスワードセルフサービスの追加

企業ポータルへのパスワードセルフサービスの追加

「パスワードセルフサービス」の手順のほとんどは、iManager 2.0.2サーバを使用することを想定しています。

iManager以外の製品を含め、ポータル製品でパスワードセルフサービス機能を使用する方法については、次の表を参照してください。

製品	パスワードセルフサービスのサポート	使用する設定方法
iManager 2.0.2	機能を統合できます。パスワード管理プラグインをインストールしている場合、この製品はパスワードセルフサービス機能をサポートします。これらのプラグインは、DirXML 2プラグインに含まれ、download.novell.comから個別にダウンロードすることもできます。	次の手順に従います。 Password Policy (パスワードポリシー)の使用に関する前提条件。これらの手順については、Password Policy (パスワードポリシー)を使用したパスワードの管理を参照してください。その他の手順については、パスワードセルフサービスを参照してください。企業ポータルへのパスワードセルフサービスの追加に記載されている情報は、iManager 2.0.2には不要です。
exteNd^TM Director^TM Standard Edition 4.1 Support Pack 1	機能を統合できます。このバージョンのexteNd Directorは、必要なNovellポータルモジュール(.npmファイル)をインストールしている場合、パスワードセルフサービス機能をサポートします。機能をサポートするには、Support Pack 1以降を適用する必要があります。	パスワードセルフサービスのexteNd Director 4.1との統合
iManagerサーバ上で実行されている、NetWare 6.5 Support Pack 2に付属のVirtual Office	機能を統合できます。プラグインをインストールし、いくつかの追加手順を完了することによって、Virtual OfficeとiManagerに使用するものと同じNetWareサーバ上でパスワードセルフサービス機能を使用することができます。	パスワードセルフサービスとVirtual Officeとの統合
exteNd Director 5	機能にリンクする必要があります。 exteNd Director 5はポートレットに基づき、パスワードセルフサービスはNPM (Novell Portal Module)に基づくため、別の製品ではパスワードセルフサービス機能を直接使用することはできません。この製品でパスワードセルフサービス機能を使用するには、企業ポータルからiManagerサーバのエンドユーザパスワード機能へのリンクを作成します。	企業ポータルからパスワードセルフサービスへのリンク
Novell Portal Services (NPS) 4.1以前のバージョン	機能にリンクする必要があります。これらのレガシーNPS製品では、Novell Portal Module (NPM)が実行されますが、ForgottenPassword.npmのパスワードセルフサービス機能に必要な一部の強化機能がありません。この製品でパスワードセルフサービス機能を使用するには、企業ポータルからiManagerサーバのエンドユーザパスワード機能へのリンクを作成します。	企業ポータルからパスワードセルフサービスへのリンク
サードパーティの製品	機能にリンクする必要があります。サードパーティの製品ではNovell Portal Module (NPM)が実行されないため、別の製品でパスワードセルフサービス機能を直接使用することはできません。サードパーティ製品でパスワードセルフサービス機能を使用するには、企業ポータルからiManagerサーバのエンドユーザパスワード機能へのリンクを作成します。	企業ポータルからパスワードセルフサービスへのリンク

パスワードセルフサービスのexteNd Director 4.1との統合

企業ポータルにexteNd Director Standard Edition 4.1 Support Pack 1を使用している場合は、その他のNPM (Novell Portal Module)と同様に、Forgotten Passwordモジュールをポータルに追加できます。このモジュールによって、iManager 2.0.2上で使用した場合と同じように次の機能を利用することができます。

パスワードセルフサービスの新しいポータルユーザタスク
- Hint Setup
- Answer Challenge Questions
- Change Password (Universal)
ポータルログインページ上の［Forgot your password?］リンクからアクセスする、パスワードを忘れた場合のセルフサービス
準拠しないパスワードを変更したり、ヒントやチャレンジ質問など、パスワードを忘れた場合の機能の項目を更新したりするようユーザに要求するメッセージを表示する認証後機能

これらの機能を追加する

Support Pack 1をインストール済みであることを確認します。

これはForgottenPassword.npmに必要な強化機能を含みます。
exteNd Director WebサーバとeDirectoryが同じマシン上で実行されている場合でも、これらの間にSSLが設定されているこを確認します。

これはNMAS 2.3以降の要件です。
Forgotten Passwordガジェットのセキュリティを確保するため、LDAP SSLポート番号を確認します。

636以外のLDAP SSLポートを使用している場合、次の設定手順を完了する必要があります。

PortalServlet.propertiesファイルに次のキーペアを追加します。

LDAPSSLPort=your_port_number

たとえば、WebサーバでActive Directoryが実行されている場合、Active Directoryはポート636を使用するため、この変更が必要です。Tomcatを実行している場合は、tomcat\webapps\nps\WEB_INFディレクトリにあるPortalServlet.propertiesファイルの設定を変更してください。

該当するファイルに値が記述されている場合、デフォルト値の636よりも優先されます。
設定を変更したら、Webサーバを再起動します。
ポータルユーザコンテナ内のすべてのeDirectoryユーザが、Hint属性(nsimHint)に対して自己権利を持っていることを確認します。

DirXMLプラグインをiManager Webサーバにインストールする場合、この手順は、iManagerが設定されるツリーに対しては自動的に完了されます。

ただし、異なるツリーをポイントする場合は、この手順を手動で完了する必要があります。

これを実行するのに役立つユーティリティが用意されています。このユーティリティは、次の手順に従ってダウンロードして実行できます。
1. http://download.novell.comにアクセスします。
2. 次のフィールドに値を入力します。
  - ［Search by］ - Product
  - ［Choose a Product］ - Nsure Identity Manager
3. 「2.0 Password Management Plug-in for iManager 2.0.x」という項目をダウンロードします。
4. nsimhintreadme.txtファイルに記載された指示に従います。
ユーザがnsimHint属性についての自己権利を持たない場合、ユーザがヒントを作成しようとすると次のようなエラーメッセージが表示されます。
```
"Could not write user hint" (Task could not be completed).
```
(オプション) eDirectoryとNMASを保持するサーバ上にIdentity Managerをインストールしていない場合は、Challenge Response Login Method for NMASをインストールします。

このログインメソッドはIdentity Managerによって自動的にインストールされ、eDirectory 8.7.3の一部として提供されます。

次に、Method Installerを使用してWindows上にログインメソッドをインストールする1つの方法を示します。
1. eDirectory CDの\nmas\NmasMethods\ディレクトリからMethodInstaller.exeファイルを検索します。
2. ワークステーションで実行可能ファイルを実行し、チャレンジ/レスポンス方法を確認します。
3. 使用許諾契約に同意し、ログインシーケンスのデフォルト値をそのまま使用します。
  
  このメソッドは、Authorized Login Methods.Security.tree_nameコンテナに追加されます。
UNIXへのインストールを含め、ログインメソッドのインストールの詳細については、『MAS 2.3 Administration Guide (MAS 2.3管理ガイド)』の「Installing a Login Method (ログインメソッドのインストール)」を参照してください。
次のモジュールをexteNd Directorに追加します。
- ForgottenPassword.npm
- nmasclient.npm
これらはDirXML製品のディストリビューションに付属しています。

モジュールの追加方法については、『Novell exteNd Director Standard Edition Installation and Configuration Guide (Novell exteNd Director Standard Edition のイントールと設定ガイド)』を参照してください。

パスワードセルフサービスとVirtual Officeとの統合

NetWare 6.5 Support Pack 2では、Virtual Officeは、パスワードセルフサービスのすべての機能をサポートしています。これらの機能を使用するには、いくつかの手順を実行する必要がありますが、一部の手順はeDirectoryツリー内にIdentity Managerをインストールして、iManagerサーバ上にIdentity Managerプラグインをインストールするときに自動的に実行されます。

手順の詳細については、『Novell Virtual Office for NetWare 6.5 Configuration Guide (Novell Virtual Office for NetWare 6.5設定ガイド)』を参照してください。Identity Managerをインストールしている場合、すでに完了している項目は次のとおりです。

パスワード管理のスキーマの拡張
パスワード管理プラグインのインストール
Challenge Response Login Methodのインストール
パスワードヒントへのユーザ権限の付与
注: DirXMLプラグインをiManagerサーバにインストールする場合、パスワードヒントへのユーザ権限の付与は、iManagerが設定されるツリーに対して自動的に完了されます。異なるツリーをポイントする場合は、この手順を手動で完了する必要があります。

企業ポータルからパスワードセルフサービスへのリンク

ForgottenPassword.npmを実行することによってパスワードセルフサービス機能を提供できない製品(企業ポータルへのパスワードセルフサービスの追加の表の記述を参照)では、パスワード管理プラグインがインストールされている別のiManagerサーバを作成し、ポータルホームページからそのサーバ上のiManagerセルフサービスコンソールにリンク(https://iManager_server_IP_address/npsなど)することによって、パスワードセルフサービス機能を使用できます。

パスワード管理プラグインは、DirXML 2プラグインに付属しています。また、http://download.novell.comから2.0 Password Management Plug-in for iManager 2.0.xをダウンロードすることで、個別に入手できます。

簡単に組み込むことができない機能は認証後サービスです。このサービスは、パスワードを更新してPassword Policy (パスワードポリシー)に準拠するようユーザに要求し、パスワードヒントの作成など、Password Policy (パスワードポリシー)に従って、パスワードを忘れた場合のセルフサービス機能を設定するように要求します。ユーザのパスワードが準拠しており、パスワードを忘れた場合のセルフサービスを使用するように設定されていることを確認するには、Password Policy (パスワードポリシー)に変更を加えるたびに、ユーザが少なくとも1回はiManagerセルフサービスコンソールにログインし、準拠するパスワードを作成して、パスワード管理設定を完了していることを確認する必要があります。

次の節の項目を完了します。

前提条件

前提条件

使用しているiManagerサーバとツリーを次のように準備する必要があります。

インストールに記載されている要件を満たす
Password Policy (パスワードポリシー)の使用に関する前提条件に説明されている前提条件を満たす
eDirectoryユーザに対してPassword Policy (パスワードポリシー)を設定していることを確認する

パスワードを忘れた場合のセルフサービスへのリンク

ユーザに、企業ポータルからパスワードを忘れた場合のセルフサービスへのアクセスを付与するには、別のiManager Webサーバ上のサービスにリンクします。

企業ポータルのログインページに［Forgot your password?］のようなリンクを作成し、iManager Webサーバ上の次のURLをポイントします。

http://iManager_server_IP_address/nps/servlet/fullpageservice?NPService=ForgotPassword&nextState=getUserID

このURLにアクセスすると次のページがユーザに表示され、パスワードを忘れた場合のプロセスを開始できます。このプロセスの他のページ例については、エンドユーザへのパスワードを忘れた場合のセルフサービスの提供を参照してください。
企業ポータルへのセルフサービスユーザの移動の手順をすべて実行します。

エンドユーザパスワード管理タスクへのリンク

ポータルユーザコンテナ内のすべてのeDirectoryユーザが、nsimHintという名前のHint属性に対して自己権利を持つことを確認します。

DirXMLプラグインをiManager Webサーバにインストールする場合、この手順はiManagerが設定されるツリーに対しては自動的に完了されます。

異なるツリーをポイントする場合は、この手順を手動で完了する必要があります。

これを実行するのに役立つユーティリティが用意されています。このユーティリティは、次の手順に従ってダウンロードして実行できます。
1. http://download.novell.comにアクセスします。
2. 次のフィールドに値を入力します。
  - ［Search by］ - Product
  - ［Choose a Product］ - Nsure Identity Manager
3. 「2.0 Password Management Plug-in for iManager 2.0.x」という項目をダウンロードします。
4. nsimhintreadme.txtファイルに記載された指示に従います。
ユーザがnsimHint属性についての自己権利を持たない場合、ユーザがヒントを作成しようとすると次のようなエラーメッセージが表示されます。
```
"Could not write user hint" (Task could not be completed).
```
ユーザに企業ポータルからパスワード管理タスクへのリンクを提供します。

会社ポータルからの［Manage Passwords］リンクを作成して、https://other_iManager_server/npsにリンクできます。このリンクによって、次のパスワード管理エンドユーザタスクにアクセスできるようになります。
- Hint Setup
- Answer Challenge Questions
- Change Password (Universal)
リンクをクリックするユーザは、まずログインする必要があります。ログイン後、次のようなページが表示されます。
企業ポータルへのセルフサービスユーザの移動の手順をすべて実行します。

企業ポータルへのセルフサービスユーザの移動

パスワードセルフサービス機能には、ログインページに戻ることのできるリンクをユーザに提供するシナリオが含まれます。たとえば、ユーザがパスワードを忘れた場合のセルフサービスを使用してパスワードを変更すると、「Your password has been successfully changed. Click here to return to login page」というメッセージを示したページが表示されます。

企業ポータルから別のiManagerサーバ上のパスワードセルフサービスをポイントする場合、デフォルトのリターンページをカスタマイズして、パスワードタスクの完了時に企業ポータルのログインページに戻るようにできます。デフォルトでは、ボタンをクリックすると、ユーザはiManager Webサーバ上のページに戻ります。

ログインページに戻るリンクは、次の3つの場所に用意されています。

ユーザが新しいパスワードを設定できるページ
ユーザがパスワードを正常に変更した後で表示されるページ
ユーザがヒントを表示するページ

リターンページをカスタマイズするには、次の手順に従って企業ポータルのログインページに進みます。

パスワードを忘れた場合のセルフサービスに使用しているiManager Webサービスから、次のディレクトリを検索します。

\tomcat\webapps\nps\portal\modules\ForgottenPassword\skins\default\devices\default
そのディレクトリで次のファイルを検索します。

forgottenpassword.xsl
forgottenpassword.xslファイルを編集して、デフォルトのリターンページをカスタマイズします。

次のコードを、ハードコードしたURLに置き換えます。
```
href="{LoginURL}"
```
たとえば、次のようなURLに置き換えます。
```
href="(http:\\www.your_company_portal_home_page.com)"
```
この変更はファイル内の3つの場所で行う必要があります。
iManagerサーバ上のTomcatを停止し、再起動します。

これで、［Return to Login Page］リンクをクリックすると、ユーザは企業ポータルログインページにリダイレクトされます。

ユーザによるパスワード機能設定の確認

ユーザがhttps://iManager_server_IP_address/npsでiManagerセルフサービスコンソールにログインすると、次のような条件を満たす場合、一連の認証後ページを介して操作するように要求するメッセージが表示されます。

ユーザのパスワードがPassword Policy (パスワードポリシー)内のAdvanced Password Rule (詳細パスワードルール)に準拠しない
Password Policy (パスワードポリシー)で、パスワードを忘れた場合のセルフサービス使用時のチャレンジ質問が要求されていて、ユーザがこれらを設定していない
Password Policy (パスワードポリシー)で、パスワードを忘れた場合の機能を、［Display Password Hint］をアクションとして使用していて、ユーザがヒントを作成していない

たとえば、これらの要求メッセージは、パスワードを忘れた場合のセルフサービスをユーザが確実に使用できるようにするために必要です。Password Policy (パスワードポリシー)で、ユーザがチャレンジ質問に回答するよう要求されていて、ユーザがこれらを最初に設定していない場合、ユーザはパスワードを忘れた場合のセルフサービスにアクセスできません。ユーザがパスワードヒントを作成していない場合、ユーザはパスワードヒントを取得して、パスワードを思い出すために利用できません。

その他のポータル製品では、認証後機能は自動的に提供されないため、Password Policy (パスワードポリシー)を変更するたびに、ユーザが少なくとも1回はiManagerセルフサービスコンソールにログインし、準拠したパスワードを作成し、パスワード管理設定を完了するようにする必要があります。

このためには、エンドユーザパスワード管理タスクへのリンクの説明に従って、ユーザが提供された［Manage Passwords］リンクにアクセスするようにします。これにより、ユーザがiManagerセルフサービスコンソールにログインしなければならなくなります。