test

Sun Identity Manager 8.1 ビジネス管理者ガイド

ユーザー認証

パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウントの秘密の質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。

Procedureアカウントポリシーで認証を設定する

  1. メインメニューの「セキュリティー」をクリックしてから、「ポリシー」をクリックします。

  2. 「Default Identity Manager Account Policy」をポリシーのリストから選択します。

    ページの「二次認証ポリシーオプション」領域で認証を選択できます。

    重要: 最初の設定時に、ユーザーはユーザーインタフェースにログインして、秘密の質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。

    秘密の質問ポリシーは、ユーザーがログインページで「パスワードをお忘れですか ?」ボタンをクリックしたときや、「自分の秘密の質問の回答の変更」ページにアクセスしたときにどうなるかが決まります。「ユーザー認証」では、各オプションについて説明します。

    オプション 

    説明 

    すべて 

    ユーザーは、ポリシーで定義された質問およびユーザー独自の質問のすべてに答える必要があります。 

    いずれか 

    Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問をすべて表示します。ユーザーが回答する必要のある質問の数を指定する必要があります。 

    次 

    ユーザーは、初回ログイン時に、ポリシーで定義されたすべての可能性のある質問に答える必要があります。  

    ユーザーがログイン時に「パスワードをお忘れですか ?」ボタンをクリックした場合、Identity Manager は最初の質問を表示します。ユーザーの回答が正しくない場合、ユーザーが秘密の質問に正しく回答してログインするか、指定した試行回数の制限に基づいてロックアウトされるまで、Identity Manager は次の質問を表示します。ユーザー独自の質問は、このポリシーではサポートされません。 

    ランダム 

    管理者は、ユーザーが回答する必要のある質問の数を指定できます。Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問のリストから、指定された数の質問をランダムに選択して表示します。ユーザーは、表示された質問のすべてに答える必要があります。 

    ラウンドロビン 

    Identity Manager は設定済みの質問リストから次の質問を選択して、ユーザーに割り当てます。最初のユーザーには秘密の質問のリストにある最初の質問が割り当てられ、2 番目のユーザーには 2 つ目の質問が割り当てられます。リスト上の質問数を超えるまで、このパターンが続きます。質問数を超えた時点で、また最初の質問から順番にユーザーに割り当てられます。たとえば 10 の質問がある場合、11 番目と 21 番目のユーザーには最初の質問が割り当てられます。 

    選択される質問は、表示される 1 つだけです。ユーザーに毎回異なる質問に答えてもらう場合には、「ランダム」ポリシーを使って質問の数を 1 に設定します。 

    ユーザーが秘密の質問を独自に定義することはできません。この機能については、「ユーザー独自の秘密の質問」を参照してください。

    Identity Manager ユーザーインタフェースにログインし、「パスワードをお忘れですか ?」ボタンをクリックし、表示された質問に答えることによって、認証の選択肢を確認することができます。

    図 3–8 に「ユーザーアカウント認証」画面の例を示します。

    図 3–8 ユーザーアカウント認証

    「ユーザーアカウント認証」画面の例を示す図

ユーザー独自の秘密の質問

Identity Manager アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の秘密の質問を入力できるようにするオプションを選択できます。また、ユーザー独自の秘密の質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。

設定後、ユーザーは、「秘密の質問の回答の変更」ページから質問を追加および変更できます。このページの例は、図 3–9 に示されています。

図 3–9 回答の変更: ユーザー独自の秘密の質問

「秘密の質問の回答の変更」ページの例を示す図

認証後のパスワード変更リクエストのバイパス

ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力がリクエストされます。ただし、bypassChangePassword System Configuration プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更リクエストをバイパスするように Identity Manager を設定できます。

システム設定オブジェクトの編集については、「Identity Manager 設定オブジェクトの編集」を参照してください。

認証に成功したあと、すべてのアプリケーションでパスワードの変更リクエストをバイパスするには、システム設定オブジェクトで bypassChangePassword プロパティーを次のように設定します。

例 3–2 パスワード変更リクエストをバイパスするための属性の設定

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

特定のアプリケーションでこのパスワードリクエストを無効にするには、次のように設定します。

例 3–3 パスワード変更リクエストを無効にするための属性の設定


<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...