アカウントセキュリティーと特権の管理
ここでは、セキュリティー保護されたアクセスをユーザーアカウントに与え、Identity Manager でユーザー特権を管理するために実行できる操作について説明します。
パスワードポリシーの設定
リソースパスワードポリシーは、パスワードの制限を設定します。強力なパスワードポリシーは、セキュリティーを高め、承認されていないログイン試行からリソースを保護する上で役立ちます。パスワードポリシーを編集して、一連の特性に対する値を設定または選択することができます。
パスワードポリシーの操作を開始するには、メインメニューの「セキュリティー」をクリックし、「ポリシー」をクリックします。
パスワードポリシーを編集するには、「ポリシー」リストで目的のポリシーをクリックします。パスワードポリシーを作成するには、オプションの「新規」リストから「文字列の品質ポリシー」を選択します。
注 –
ポリシーについては、「Identity Manager ポリシーの設定」を参照してください。
ポリシーの作成
パスワードポリシーは、文字列の品質ポリシーのデフォルトのタイプです。新しいポリシーの名前と任意で説明を指定したあとで、ポリシーを定義する規則のオプションとパラメータを選択します。
長さ規則
長さ規則は、パスワードの最小および最大必要文字数を設定します。このオプションを選択して規則を有効にし、規則の制限値を入力します。
ポリシータイプ
いずれかのポリシータイプボタンを選択します。「その他」オプションを選択した場合は、所定のテキストフィールドにタイプを入力する必要があります。
文字タイプ規則
文字タイプ規則は、パスワードに指定できる特定のタイプの文字の最小および最大個数を設定します。
次のものがあります。
-
英字、数字、大文字、小文字、および特殊文字の最小および最大個数
-
挿入される数字の最小および最大個数
-
繰り返し文字および連続文字の最大個数
-
先頭の英字および数字の最小個数
各文字タイプ規則に制限数値を入力します。 または、All を入力して、すべての文字がそのタイプになるように指定します。
文字タイプ規則の最小個数
図 3–7 に示すように、検証にパスする必要がある、文字タイプ規則の最小個数も設定できます。パスする必要のある最小個数は 1 です。最大個数は、有効にした文字タイプ規則の個数を越えることはできません。
注 –
パスする必要のある最小個数を最大値に設定するには、All と入力します。
図 3–7 パスワードポリシー (文字タイプ) 規則
辞書ポリシーの選択
単純な辞書攻撃から保護するために、辞書の単語と照合してパスワードをチェックすることもできます。
このオプションを使用するには、次を実行する必要があります。
-
辞書の設定
-
辞書の単語の読み込み
辞書の設定は、「ポリシー」ページで行います。辞書の設定方法については、「辞書ポリシーとは」を参照してください。
パスワード履歴ポリシー
新しく選択されたパスワードの直前に使用されていたパスワードの再利用を禁止することができます。
現在および直前のパスワードの再利用を禁止するには、「再使用してはいけない旧パスワードの個数」フィールドに 1 よりも大きい数値を入力します。たとえば、3 を入力した場合は、新しいパスワードを、現在のパスワードおよびその直前の 2 個のパスワードと同じにすることはできません。
以前に使用していたパスワードと類似した文字の再利用を禁止することもできます。「再使用できない旧パスワードに含まれる類似文字の最大個数」フィールドに、新しいパスワードで繰り返すことのできない、過去のパスワードからの連続文字の最大数を入力します。たとえば、7 を入力した場合、過去のパスワードが password1 であれば、新しいパスワードとして password2 や password3 を使用することはできません。
0 を指定した場合は、連続性に関係なく、過去のパスワードに含まれるすべての文字を使用できません。たとえば、過去のパスワードが abcd の場合、新しいパスワードに a、b、c、d の各文字を使用することはできません。
この規則は、過去の 1 つ以上のパスワードに適用できます。チェックの対象となる過去のパスワードの数は、「再使用してはいけない旧パスワードの個数」フィールドに指定します。
使用禁止単語
パスワードに含むことのできない単語を 1 つ以上入力できます。入力ボックスで、1 行に 1 つずつ単語を入力してください。
また、辞書ポリシーを設定して実装することで、単語を除外することもできます。詳細は、「辞書ポリシーとは」を参照してください。
使用禁止属性
パスワードに含むことのできない属性を 1 つ以上入力できます。
指定できる属性は次のとおりです。
-
accountID
-
email
-
firstname
-
fullname
-
lastname
パスワードに含むことのできる一連の「使用禁止」属性を、UserUIConfig 設定オブジェクトで変更できます。詳細は、「ポリシーでの使用禁止属性」を参照してください。
パスワードポリシーの実装
パスワードポリシーは、リソースごとに設定します。パスワードポリシーを特定のリソースに割り当てるには、オプションの「パスワードポリシー」リストからポリシーを選択します。このリストは、「リソースの作成または編集ウィザード: Identity Manager パラメータ」ページの「ポリシー設定」領域にあります。
ユーザー認証
パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウントの秘密の質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。
アカウントポリシーで認証を設定する
-
メインメニューの「セキュリティー」をクリックしてから、「ポリシー」をクリックします。
-
「Default Identity Manager Account Policy」をポリシーのリストから選択します。
ページの「二次認証ポリシーオプション」領域で認証を選択できます。
重要: 最初の設定時に、ユーザーはユーザーインタフェースにログインして、秘密の質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。
秘密の質問ポリシーは、ユーザーがログインページで「パスワードをお忘れですか ?」ボタンをクリックしたときや、「自分の秘密の質問の回答の変更」ページにアクセスしたときにどうなるかが決まります。「ユーザー認証」では、各オプションについて説明します。
オプション
説明
すべて
ユーザーは、ポリシーで定義された質問およびユーザー独自の質問のすべてに答える必要があります。
いずれか
Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問をすべて表示します。ユーザーが回答する必要のある質問の数を指定する必要があります。
次
ユーザーは、初回ログイン時に、ポリシーで定義されたすべての可能性のある質問に答える必要があります。
ユーザーがログイン時に「パスワードをお忘れですか ?」ボタンをクリックした場合、Identity Manager は最初の質問を表示します。ユーザーの回答が正しくない場合、ユーザーが秘密の質問に正しく回答してログインするか、指定した試行回数の制限に基づいてロックアウトされるまで、Identity Manager は次の質問を表示します。ユーザー独自の質問は、このポリシーではサポートされません。
ランダム
管理者は、ユーザーが回答する必要のある質問の数を指定できます。Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問のリストから、指定された数の質問をランダムに選択して表示します。ユーザーは、表示された質問のすべてに答える必要があります。
ラウンドロビン
Identity Manager は設定済みの質問リストから次の質問を選択して、ユーザーに割り当てます。最初のユーザーには秘密の質問のリストにある最初の質問が割り当てられ、2 番目のユーザーには 2 つ目の質問が割り当てられます。リスト上の質問数を超えるまで、このパターンが続きます。質問数を超えた時点で、また最初の質問から順番にユーザーに割り当てられます。たとえば 10 の質問がある場合、11 番目と 21 番目のユーザーには最初の質問が割り当てられます。
選択される質問は、表示される 1 つだけです。ユーザーに毎回異なる質問に答えてもらう場合には、「ランダム」ポリシーを使って質問の数を 1 に設定します。
ユーザーが秘密の質問を独自に定義することはできません。この機能については、「ユーザー独自の秘密の質問」を参照してください。
Identity Manager ユーザーインタフェースにログインし、「パスワードをお忘れですか ?」ボタンをクリックし、表示された質問に答えることによって、認証の選択肢を確認することができます。
図 3–8 に「ユーザーアカウント認証」画面の例を示します。
図 3–8 ユーザーアカウント認証
ユーザー独自の秘密の質問
Identity Manager アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の秘密の質問を入力できるようにするオプションを選択できます。また、ユーザー独自の秘密の質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。
設定後、ユーザーは、「秘密の質問の回答の変更」ページから質問を追加および変更できます。このページの例は、図 3–9 に示されています。
図 3–9 回答の変更: ユーザー独自の秘密の質問
認証後のパスワード変更リクエストのバイパス
ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力がリクエストされます。ただし、bypassChangePassword System Configuration プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更リクエストをバイパスするように Identity Manager を設定できます。
システム設定オブジェクトの編集については、「Identity Manager 設定オブジェクトの編集」を参照してください。
認証に成功したあと、すべてのアプリケーションでパスワードの変更リクエストをバイパスするには、システム設定オブジェクトで bypassChangePassword プロパティーを次のように設定します。
例 3–2 パスワード変更リクエストをバイパスするための属性の設定
<Attribute name="ui"
<Object>
<Attribute name="web">
<Object>
<Attribute name=’questionLogin’>
<Object>
<Attribute name=’bypassChangePassword’>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
特定のアプリケーションでこのパスワードリクエストを無効にするには、次のように設定します。
例 3–3 パスワード変更リクエストを無効にするための属性の設定
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name=’user’>
<Object>
<Attribute name=’questionLogin’>
<Object>
<Attribute name=’bypassChangePassword’>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
|
管理特権の割り当て
次のような Identity Manager 管理特権または機能を、ユーザーに割り当てられます。
-
管理者ロール。管理者ロールを割り当てられたユーザーは、このロールで定義された機能および管理する組織を継承します。すべての Identity Manager ユーザーアカウントには、デフォルトでユーザー管理者ロールが作成時に割り当てられます。管理者ロールの詳細な説明および作成手順については、第 5 章ロールとリソースの 「Identity Manager リソースとその管理について」を参照してください。
-
機能。 機能は、規則によって定義されます。Identity Manager には、選択可能な実用上の機能にグループ化された機能のセットが用意されています。機能の割り当てによって、より細かく管理特権を割り当てることができます。機能の説明および作成手順については、第 6 章管理の 「機能とその管理について」を参照してください。
-
管理する組織。管理する組織は、指定した組織に対する管理コントロール特権を与えます。詳細は、第 6 章管理の 「Identity Manager の組織について」を参照してください。
Identity Manager 管理者および管理作業については、第 6 章管理を参照してください。
- © 2010, Oracle Corporation and/or its affiliates