セキュリティーのベストプラクティス

Identity Manager 管理者は、設定時とそれ以降に次の推奨事項に従うことで、保護されたアカウントおよびデータに対するセキュリティー上のリスクをさらに軽減できます。

設定時

設定時のセキュリティーリスクを軽減するには、次の推奨事項に従います。

• HTTPS を使用するセキュアな Web サーバーを通じて Identity Manager にアクセスする。

• デフォルトの Identity Manager 管理者アカウント (Administrator と Configurator) 用のパスワードをリセットする。これらのアカウントのセキュリティーをさらに向上させるには、アカウント名を変更します。

• Configurator のアカウントへのアクセス権を制限する。

• 管理者の機能セットをその職務権限に必要な操作のみに制限し、組織階層を設定して管理者の機能を制限する。

• Identity Manager インデックスリポジトリのデフォルトパスワードを変更する。

• Identity Manager アプリケーションでのアクティビティーの追跡の監査をオンにする。

• Identity Manager ディレクトリのファイルに対する権限を編集する。

• 承認またはほかのチェックポイントを挿入してワークフローをカスタマイズする。

• 復旧手順を作成して、緊急の際に Identity Manager 環境を復旧する方法を記述しておく。

実行時

実行時のセキュリティーリスクを軽減するには、次の推奨事項に従います。

• デフォルトの Identity Manager 管理者アカウント (Administrator と Configurator) 用のパスワードを定期的に変更する。

• システムをあまり使用していないときには Identity Manager からログアウトする。

• Identity Manager セッションのデフォルトのタイムアウト期間を設定する、あるいは既存の設定値を知っておく。セッションタイムアウト値は各ログインアプリケーションに別々に設定できるため、異なる可能性があります。

アプリケーションサーバーが Servlet 2.2 準拠の場合、Identity Manager のインストールプロセスでは、HTTP セッションのタイムアウトをデフォルトの 30 分に設定します。この値はプロパティーを編集して変更できますが、セキュリティーを向上させるため、この値を低く設定する必要があります。30 分を超える値を設定しないでください。

セッションタイムアウト値を変更する

1. web.xml file を編集します。このファイルは、アプリケーションサーバーのディレクトリツリーの idm/WEB-INF ディレクトリにあります。

2. 次の行の数値を変更します。

   <session-config> <session-timeout>30</session-timeout></session-config>