Identity Manager ポリシーの設定

この節ではユーザーポリシーの設定について説明します。

この節は次のトピックで構成されています。

• 「ポリシーとは」

• 「ポリシーでの使用禁止属性」

• 「辞書ポリシーとは」

ポリシーとは

Identity Manager ポリシーは、Identity Manager のアカウント ID、ログイン、およびパスワードの特性に制約を設定することで、Identity Manager ユーザーに制限を設定します。

Identity Manager には、特にユーザーのコンプライアンスを監査するように設計された監査ポリシーも用意されています。監査ポリシーについては、第 13 章アイデンティティー監査: 基本概念を参照してください。

ポリシーは、以下のタイプに分類されています。

• アイデンティティーシステムアカウントポリシー。ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。アイデンティティーシステムアカウントポリシーは、「組織の作成と編集」ページで組織に割り当てるか、「ユーザーの作成と編集」ページでユーザーに割り当てます。

  次のオプションを設定または選択できます。

  • ユーザーアカウントポリシーオプション。ユーザーが秘密の質問に正しく回答できなかったときに、Identity Manager がユーザーアカウントを処理する方法を指定します。

  • パスワードポリシーオプション。パスワードの有効期限、期限切れ前の警告期間、およびリセットオプションを設定します。

  • 二次認証ポリシーのオプション。秘密の質問をユーザーにどのように表示するか、およびユーザーが独自の秘密の質問を設定できるようにするかを決定し、ログイン時に認証を施行して、ユーザーに表示する一連の質問を設定します。

• サービスプロバイダシステムのアカウントポリシー。サービスプロバイダユーザーに対してユーザー、パスワード、および認証ポリシーのオプションと制約を設定する場合は、、サービスプロバイダ実装でこのポリシーを使用します。ポリシーは、「組織の作成と編集」ページで組織に割り当てるか、「ユーザーの作成と編集」ページでユーザーに割り当てます。

• 文字列の品質ポリシー。パスワード、アカウント ID、認証などのポリシータイプが含まれます。長さ規則、文字タイプ規則、使用できる語句、および属性値を設定します。このポリシータイプは、各 Identity Manager リソースに関連付けられ、各リソースのページで設定されます。次の図に例を示します。

  

  パスワードとアカウント ID に対して、次のオプションと規則を設定できます。

  • 長さ規則。使用できる文字列の最小または最大長さを決定します。

  • 文字タイプ規則。英字、数字、大文字、小文字、繰り返し、および連続文字に使用可能な最小値と最大値を設定します。

  • パスワード再利用の制限。パスワードの再利用を制限する、現在より前のパスワードの数を指定します。ユーザーがパスワードを変更しようとすると、新規パスワードがパスワードの履歴と比較され、一意のパスワードであることが確認されます。セキュリティーを確保する目的で以前のパスワードのデジタル署名が保存され、新規パスワードと比較されます。

  • 禁止語句および属性値。ID およびパスワードに使用できない語句と属性を指定します。

「ポリシー」ページを開く

Identity Manager ユーザーポリシーの作成と編集は、「ポリシー」ページで行います。このページを開くには、次の手順に従います。

1. 管理者インタフェースにログインします。

2. 「セキュリティー」タブをクリックしてから、「ポリシー」サブタブをクリックします。

   次の図のように、「ポリシー」ページが表示されます。

   

ポリシーでの使用禁止属性

UserUIConfig 設定オブジェクトでは、「使用禁止」属性のセットを変更できます。

UserUIConfig には次のような属性があります。

• <PolicyPasswordAttributeNames> 属性。ポリシータイプ「パスワード」

• <PolicyAccountAttributeNames> 属性。ポリシータイプ「アカウント ID」

• <PolicyOtherAttributeNames> 属性。ポリシータイプ「その他」

辞書ポリシーとは

辞書ポリシーを使用すると、Identity Manager はパスワードを単語データベースと照合してチェックし、単純な辞書攻撃から確実に保護します。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を制限することにより、システム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。

辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します。このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装されます。

辞書ポリシーを設定する

辞書ポリシーを設定するには、次の操作を実行する必要があります。

• 辞書サーバーサポートの設定

• 辞書の読み込み

1. 「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。

2. 「辞書の設定」をクリックすると、「辞書の設定」ページが表示されます。

3. データベース情報を選択および入力します。

   データベース情報には次のものがあります。

   • 「データベースタイプ」。辞書の保存に使用するデータベースタイプ (Oracle、DB2、SQLServer、または MySQL) を選択します。

   • 「ホスト」。データベースが実行されているホストの名前を入力します。

   • 「ユーザー」。データベースに接続するときに使用するユーザー名を入力します。

   • 「パスワード」。データベースに接続するときに使用するパスワードを入力します。

   • 「ポート」。データベースが待機中のポートを入力します。

   • 「接続 URL」。接続時に使用する URL を入力します。次のテンプレート変数を使用することができます。

     • %h - ホスト

     • %p - ポート

     • %d - データベース名

     「ドライバクラス」。データベースと対話するときに使用する JDBC ドライバクラスを入力します。

   • 「データベース名」。辞書の読み込み先データベースの名前を入力します。

   • 「辞書ファイル名」。辞書を読み込むときに使用するファイルの名前を入力します。

4. データベース接続をテストするには、「テスト」をクリックします。

5. 接続テストが成功したら、「単語の読み込み」をクリックして、辞書を読み込みます。読み込み作業が完了するまでに、数分かかる場合があります。

6. その辞書が正しく読み込まれたかどうかを確認するには、「テスト」をクリックします。

辞書ポリシーを実装する

次の手順を使用して、辞書ポリシーを実装します。

1. 「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。

2. 「パスワードポリシー」リンクをクリックして、パスワードポリシーを編集します。

3. 「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。

4. 変更を保存するには、「保存」をクリックします。

   いったん実装されると、変更および生成されたすべてのパスワードがその辞書と照合されます。