本節包含適用於「Sun Identity Manager 8.1 Business Administrator’s Guide」的新資訊與文件校正:
下列資訊應加入「安全性」一章:
Identity Manager 現在提供「登入回復」認證,以替代「忘記密碼」安全性提問式登入。「登入回復」認證提供訊息混淆選項,可利用相同之通用結果訊息顯示所有錯誤與成功,這麼做可防止帳號搜集攻擊。就功能運作而言,「登入回復」方法使用與「忘記使用者 ID」方法相同的系統,且這兩種選項會共用相同的配置屬性。但是,「登入回復」認證還會重設使用者的密碼,並透過電子郵件將登入資訊與密碼傳送至使用者的電子郵件地址。(ID-18052)
您可以配置「登入回復」方法透過重新導向 [忘記密碼] 按鈕來取代提問式登入;或者,您也可以在登入頁面上啟用新的 [登入回復] 按鈕。這兩種方法都可透過修改系統配置檔案進行配置。
若要將 [忘記密碼] 按鈕重新導向至 [登入回復],請如下配置:
ui.web.user.questionLogin.forceLoginRecovery = true ui.web.admin.questionLogin.forceLoginRecovery = true |
若要使用 [登入回復] 按鈕而不是 [忘記密碼] 按鈕,請如下配置:
ui.web.user.disableLoginRecovery = false ui.web.admin.disableLoginRecovery = false ui.web.user.disableForgotPassword = true ui.web.admin.disableForgotPassword = true ui.web.user.disableForgotUserId = true ui.web.admin.disableForgotUserId = true |
預設會在 loginRecovery.jsp 檔案中啟用混淆訊息選項,以協助「登入回復」系統防止帳號搜集攻擊。您可以在 lookupUserId.jsp 檔案中設定此相同選項。