| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-04 |
|
前 |
次 |
ナレッジベース認証(KBA)は、要求されたサインオン、トランザクション、サービスなどの続行を許可する前に、ユーザーにIDを提供するようチャレンジする認証方法です。この章ではKBAに関する概念について説明し、チャレンジ質問、検証、回答に使用されるロジック・アルゴリズムのレベル、質問カテゴリ、登録に使用されるロジック・アルゴリズムのレベルに影響を及ぼす管理タスクに関する情報を提供します。
この章では、次の内容を説明します。
この項では、ナレッジベース認証(KBA)の主要な概念について説明します。
Oracle Adaptive Access Managerは、標準の第2認証をナレッジベース認証(KBA)の形式で提供します。KBAは、既存の認証方法の拡張である、第2認証方法です。認証を強化するために、第1認証(例: ユーザー名やパスワードなどの単一要素資格証明の入力)の成功後に示されます。
KBAでは、次のことのためのインフラストラクチャを提供します。
ユーザーが、ユーザーに対するチャレンジで後に使用される質問を選択し、回答を指定すること
KBAはユーザーの回答に基づいて個人を認証するのに使用され、回答はリアルタイムで対話型の質問および回答のプロセスによって実証されます。
登録のロジック・アルゴリズムのレベル
登録ロジックによって、チャレンジ質問および回答の登録が管理されます。
回答のロジック・アルゴリズムのレベル
回答ロジックは、チャレンジ・レスポンス処理でシステムが正しい回答をインテリジェントに検出するために使用される高度な一致アルゴリズム(ファジー・ロジック)で構成されています。回答ロジックのアルゴリズムおよびレベルは、回答の評価での係数です。
検証
検証を使用して、登録時にユーザーが指定した回答を確認します。
KBAは、自動化されたユーザーのオンライン認証時に使用されるか、またはCSRがCSRサービスを提供する前にユーザーと対話してユーザーを認証するCSRチャレンジで使用されます。
次の各項では、実装されたKBAフレームワークでのユーザー操作の例を示します。
新規ユーザーの登録
ユーザー名の送信を求めるページがユーザーに表示されます。
ユーザーはパスワードの入力を求められます。プロファイルが登録されていないため、汎用TextPadが表示されます。イメージやフレーズは表示されませんが、タイムスタンプは表示されます。
ユーザーはパスワードを入力し、デバイス上で「入力」ボタンをクリックします。OAAMによってユーザーのパスワードが検証されます。
ユーザーが登録されていない場合は、登録プロセスが記載された登録情報ページが表示されます。
ユーザーは登録プロセスを続行することも、登録をスキップしてこのプロセスを次回に実行することもできます。
登録プロセスの次の手順では、イメージおよびフレーズを選択します。ユーザーはイメージおよびフレーズを取得するためのリンクをクリックできます。これにより、新しいイメージとフレーズが生成されます。
次に、ユーザーは、表示されるドロップダウン・リスト(メニュー)からチャレンジ質問を選択し、それらの質問への回答を認証デバイス上で入力する必要があります。選択したイメージとフレーズは、ユーザーのローカル・タイム・ゾーンの現在のタイムスタンプとともにデバイスに埋め込まれます。
質問の選択および回答の入力を行うと、ユーザーはシステムにログインします。
別のロケーションからのユーザー・ログイン
次の各画面では、ユーザーが別のIPアドレスを使用してログインし、チャレンジされる場合のユーザー・フローの例を説明します。
ユーザー名の送信を求めるページがユーザーに表示されます。
ユーザー名が受け入れられ、ユーザーによる処理の続行が許可されると、パスワード・ページが表示されます。このページには、ユーザーが選択したイメージとフレーズが表示されます。これはユーザーのローカル・タイム・ゾーンの現在のタイムスタンプとともにデバイスに埋め込まれたものです。
ユーザーはパスワードを入力し、デバイス上で「入力」ボタンをクリックします。OAAMによってユーザーのパスワードが検証されます。ユーザーのロケーションが原因で、このセッションには認証のための追加のチャレンジと応答が必要であると判断されたため、登録時に選択した質問のいずれかが表示されます。チャレンジ質問認証パッド・デバイスに、現在のタイムスタンプとともに埋め込まれたフィッシング・イメージとフレーズが表示されます。
質問に正しく回答した場合、ユーザーはシステムにログインします。
登録、新規アカウントのオープン、またはリセットなどの別のイベントによる登録中に、ユーザーは質問を選択し、回答を指定することを要求されます。登録フェーズ時にユーザーに示される質問の順序は、構成可能なパラメータを使用してランダムに決められます。
登録時またはリセット時に選択されたチャレンジ質問は、後で、高リスク・ログイン時、トランザクションまたは機密情報(あるいはその両方)にアクセスする場合などのチャレンジに使用できます。Oracle Adaptive Access Managerのルール・エンジンおよびビジネス・ルールによって、ユーザーの認証にチャレンジ質問を使用するのが適切かどうかが判断されます。
KBAソリューションはチャレンジ・レスポンス処理を使用したアプリケーションの保護で構成されており、要求されたサインオン、トランザクション、サービスなどの続行を許可する前に、ユーザーは1つ以上の質問でIDを提供するようチャレンジされます。
チャレンジ・レスポンス処理は、プロパティおよびルールの組合せによって制御されます。
質問は、ランダムに、またはラウンド・ロビンで示されます。
プレゼンテーション・ロジック(ランダムおよびラウンド・ロビン)は、プロパティを通じて構成できます。デプロイメントでOracle Identity Manager統合がサポートされている場合、プレゼンテーションはラウンド・ロビンとなります。ユーザーはすべての登録済の質問にオンラインで回答する必要があります。
各質問でユーザーが許可される試行数は、プロパティによって設定されます。
ユーザーがOracle Adaptive Access Managerによってロックアウトされるまでに許可されるKBAチャレンジ失敗の合計数は、ルール条件User: Challenge Channel Failureで構成されます。
カスタマは、ユーザーの認証に使用される一連の質問を構成できます。質問は、複数のカテゴリに分類され、ユーザーはこれらのカテゴリから質問を選択できます。質問を分類できる、標準のカテゴリがリストされます。カスタマは、次のカテゴリから質問を構成できます。
子供時代
スポーツ
出生
父母、祖父母、兄弟姉妹
自動車
教育
子供
職業
大切な人
ペット
その他
登録中、ユーザーにはいくつかの質問メニューが提示されます。たとえば、3つの質問メニューが提示される場合があります。登録中、ユーザーはメニューごとに質問を1つ選択し、その回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。これらの質問は、ユーザーの登録済質問になります。
OAAM管理のルールによってチャレンジ質問がトリガーされると、アプリケーションではチャレンジ質問を表示し、ユーザーにとってセキュアな方法で回答を受け入れます。質問は、QuestionPad、TextPadおよびその他のパッドで提示でき、この場合、チャレンジ質問はオーセンティケータのイメージまたは簡易HTMLに埋め込まれます。これらはプロパティを使用して構成します。
KBAでは、登録中またはリセット中にユーザーから回答を取得するためのフレームワークである、大量の質問プールを提供します。質問セットは、ユーザーに割り当てられる固定されたセットの質問です。このセットは、リセットされないかぎり、ユーザーに対してランダムに一度割り当てられます。これは、登録ロジックで構成された設定に基づいて生成されます。この質問セットでは、単一ユーザーがすべてのチャレンジ質問にアクセスすることを防止します。これは、不正行為者がフィッシング行為で使用するために質問を収集するのを防ぐためです。カスタマ・サービス担当がユーザーのために質問セットをリセットすると、ユーザーは新規質問セットを受け取ることができます。
登録ロジックによって、チャレンジ質問および回答の登録が管理されます。KBA登録中、各ユーザーには、質問セット、つまりチャレンジ質問ライブラリのサブセットが示されます。質問セットは通常、複数のドロップダウン・リストに分割されており、ここから質問を選択します。質問のあるドロップダウン・リストは「メニュー」と呼ばれます。
各メニューで表示される質問の数、1メニュー当たりのカテゴリ数、およびユーザーが登録する必要がある質問の数は、構成可能です。標準の質問はカテゴリに分類されています。質問メニュー内のチャレンジ質問は、質問セットが変更されないかぎり、変更されません。ユーザーは、各メニューから1つの質問を選択し、それらの回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。
登録ロジックを構成するには、次の設定を指定します。
質問セットの生成
登録される質問の数
1メニュー当たりの質問の数
1メニュー当たりのカテゴリの数
質問セットは、登録ロジックに基づいて生成されます。
回答に適用される検証
登録ロジックの設定の詳細は、7.3.7項「チャレンジ質問の登録設定」を参照してください。
KBAの登録ロジック設定が、カスタマの質問セットに影響を及ぼす仕組み
構成例を次の表に示します。
| 例 | 質問/メニュー | カテゴリ/メニュー | メニュー内の質問/カテゴリ |
|---|---|---|---|
|
1 |
7 |
4 |
2+2+2+1 |
|
2 |
10 |
4 |
3+3+2+2 |
|
3 |
10 |
1 |
10 |
1行目に示されている例1では、登録メニュー内の結果に、カテゴリAからの2つの質問、カテゴリBからの2つの質問、カテゴリCからの2つの質問、およびカテゴリDからの1つの質問が含まれています。これは、必要に応じてラウンド・ロビン形式で続行されます。質問の数が不足しているカテゴリが存在したり、カテゴリの数が不足している場合は、質問が重複する結果となる場合があります。このシナリオは、標準の質問データベースおよびデフォルト設定では発生しません。質問またはカテゴリを大幅に減らした場合にのみ発生します。
次に、避ける必要がある構成例を示します。
ユーザーが登録する質問の数: 3
ユーザーが登録する必要がある質問の数です。新規ユーザーの登録では、ユーザーが登録する必要がある質問数と同じ数の質問メニューが表示される必要があります。
1メニュー当たりの質問の数: 5
各メニューで表示される質問の数です。新規ユーザーの登録では、各メニューのカテゴリ数と同じ数の質問が各メニューに表示される必要があります。すべてのメニューの質問の合計数(各メニューの質問を乗算した質問数)が、データベースで使用可能な質問数合計を超えないようにする必要があります。
1メニュー当たりのカテゴリの数: 5
1メニュー当たりのカテゴリの数です。新規ユーザーの登録では、各メニューの質問数と同じ数のカテゴリが各メニューに表示される必要があります。
質問セットは、ユーザーに割り当てられる固定されたセットの質問です。このセットは、ユーザーに対してランダムに一度割り当てられます。そのため、ユーザーはすべての質問を検出できません。この例では、15以上のカテゴリが必須であり、かつそれぞれ少なくとも1つの質問が有効である必要があります。ただし、カテゴリが15よりも少なく、これらのカテゴリのいずれかで1つの質問のみが有効である場合、一部の質問セットでは、その質問が2回出現します。このアルゴリズムでは、使用可能なカテゴリをできるかぎり使用しようとします。
たとえば、次のような質問セットを生成します。
3メニュー
1メニュー当たり5つの質問
1メニュー当たり5つのカテゴリ
このアルゴリズムでは、15のカテゴリが使用可能な場合、15のカテゴリそれぞれから1つの質問を選択します。1カテゴリ当たりの最小質問数は、質問セットの質問の数/カテゴリの合計数と等しい必要があります。
ロケールの登録ロジックを構成する場合の前提条件
デプロイメント管理者は、デプロイ時に、OAAM管理で構成されたサポート対象の各ロケールに関して、十分な質問がデータベースにあるようにする必要があります。そうでない場合は、登録中に英語の質問のみが表示されます。
ロケール固有の質問の数は、「ユーザーが登録する質問数」に「1メニュー当たりの質問数」を乗算し、「1メニュー当たりのカテゴリ」を乗算した数以上である必要があります。
検証を使用して、登録時にユーザーが指定した回答を確認します。回答については、正規表現検証を追加することによって、ユーザーの入力を英数字およびいくつかの特定の特殊文字に制限するように設定できます。たとえば、質問「中学校入学は何年でしたか。」に月日年(MMDDYY)検証が割り当てられている場合、この質問に対するユーザー登録の回答として「April 1st 1920」を指定することはできません。検証は、ローカル・レベルで、個々の質問それぞれに関連付けたり、グローバル・レベルで、ユーザーに示されるすべての質問に適用できます。
質問固有の検証とグローバル検証が競合していないことを確認する自動検証はありません。管理者は、ローカルとグローバルに対して同じ検証を構成しないように注意する必要があります。たとえば、グローバル検証としてアルファベットのみが設定されている場合、質問の検証を数字のみに設定しないでください。
各質問に一意の検証に割り当てて、ユーザーが登録を許可される回答を制御できます。たとえば、ビジネス・チームが、特定の日付書式を使用して特定の質問に回答するようユーザーに対して強制する場合があります。
個々の質問に適用される検証スコープは、ローカルです。ローカル検証は、質問の作成時に指定されます。
グローバル検証では、すべての質問に関して、ユーザーが登録を許可される回答を制御します。グローバル検証は、すべての回答登録に影響します。たとえば、「4桁年(YYYY)」検証がグローバルに適用された場合は、KBA登録中に、数値による回答のみが受け入れられます。このことは、回答が通常英数字になる質問をユーザーが使用できる場合に問題になります。
グローバル検証は、登録ロジックの構成時に指定されます。
検証のスコープは、個々の質問または質問の組合せに対して適用できます。
回答ロジックでは、ユーザーが指定した回答が登録時に指定した回答と厳密に一致するかどうかがチェックされます。
回答ロジックは、チャレンジ・レスポンス処理でシステムが正しい回答をインテリジェントに検出するために使用される高度な一致アルゴリズムで構成されています。アルゴリズムおよびロジックのレベルは、回答を評価する際の係数です。
エラーは、ファット・フィンガリング、不要な文字、スペル・ミスなどの単純な入力エラーが原因である可能性があります。一般的なスペル・ミスや略語などは、回答の基本情報が正しければ受け入れることができます。
回答ロジックのアルゴリズムは、オンライン・チャレンジ・プロセスとCSR電話チャレンジ・プロセスの両方に使用できます。オンライン設定は、ユーザーがアプリケーションを使用してオンラインで指定した回答に適用されます。電話チャレンジ設定は、電話を介してユーザーが指定し、CSRが入力した回答に適用されます。オンライン・チャレンジおよびCSR電話チャレンジの回答ロジックは、互いに完全に非依存です。これらは別々に構成できます。
たとえば、オンライン・チャレンジ・ロジックの強度を高に設定し、CSR電話チャレンジ・ロジックの強度を低に設定できます。CSR電話チャレンジ・ロジックの強度の場合、CSRは回答を電話経由で聞いて入力するため、エラーの許容度を拡大する場合があります。
失敗カウンタは、不正行為者をロックアウトして、彼らが回答/質問を取得できないようにするために使用されます。
KBAでは、2つの失敗カウンタを使用します。これらを次に示します。
オンライン・カウンタ
電話カウンタ
オンライン・チャレンジおよび電話チャレンジの最大数は、構成可能です。電話カウンタの最大数は、1質問当たりになります。
次の例では、次のように想定しています。
最大オンライン数 = 3
最大電話数(1質問当たり) = 3
ユーザーがチャレンジ質問にオンラインで回答し、正しい回答を指定する機会がそのユーザーに3回与えられている場合、合計で3回の試行が許可されます。失敗するたびにオンライン・カウンタが増分されます。ユーザーは、3回の試行後にセッションからロックアウトされます。オンラインのみのチャレンジは、不正行為者への質問の漏えいを制限することを目的としています。
ユーザーがチャレンジ質問に電話で回答し、各質問に回答する機会がそのユーザーに3回与えられている場合、合計で9回の試行が許可されます。失敗するたびに電話カウンタが増分されます。ユーザーは、9回の試行後にセッションからロックアウトされます。
次のチャレンジでは、次の質問が表示されます。オンラインまたは電話チャレンジに成功すると、すべてのカウンタが自動的にゼロにリセットされます。
オーセンティケータでは、不正を防ぐための追加の資格証明として質問を使用します。カスタマ・サービス担当(CSR)は、必要に応じて、ユーザーのこれらの質問をリセットできます。CSRは、ユーザーのKBA関連のアイテムをリセットできます。
リセット・アクションにより次の項目のすべてのチャレンジ失敗カウンタがリセットされます。
KBAのリセット: カスタマはKBAを再登録する必要があります。KBAおよびOTPの件数カウンタがゼロにリセットされます。
CSR KBAのリセット: カスタマはKBAを再登録する必要があります。KBAおよびOTPの件数カウンタがゼロにリセットされます。
OTPのリセット: カスタマはKBAを再登録する必要があります。KBAおよびOTPの件数カウンタがゼロにリセットされます。
CSRは、ユーザーのチャレンジ質問をリセットします。既存の質問と回答が削除され、ユーザーが登録する元となる新規質問セットが生成されます。Webサイトへの次回ログイン時に、チャレンジ質問の登録が必要となります。
CSRは、ユーザーのチャレンジ質問セット(チャレンジ質問および登録元となる質問セット)をリセットします。Webサイトへの次回ログイン時に、チャレンジ質問の登録が必要となります。
CSRは、ユーザーの次の質問をリセットして、そのユーザーが登録済質問リスト内の次のチャレンジ質問に進むようにします。このため、ユーザーが現在質問Aを尋ねられていた場合、質問BまたはCを尋ねられることになります。Webサイトへの次回ログイン時に、異なるチャレンジ質問が示されます。
CSRが、チャレンジ質問に失敗したためにシステムからロックアウトされたユーザーをロック解除します。ユーザーをロック解除すると、ユーザーの失敗カウンタがリセットされます。
ロック解除アクションによりKBAおよびOTPのユーザー・アカウントのロックが解除されます。
KBAのロック解除: KBAが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
OTPのロック解除: KBAが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
CSRは、電話認証にユーザーのチャレンジ質問を使用して、ユーザーのレスポンスを入力します。ユーザーが質問に正しく答えた場合は、質問失敗カウンタおよび増分質問カウンタはリセットされます。ユーザーのロック解除などのステータスに応じて、適切なアクションが自動的に実行されます。電話およびオンラインでの失敗に関する情報は、7.1.11項「失敗カウンタ」で説明しています。質問の依頼アクションの高レベルでのフローは、第4章「CSRケースの管理およびサポート」で示されています。7.1.11項「失敗カウンタ」のマトリックスには、個々のフローの詳細な例が含まれています。
この項では、無効化された質問およびカテゴリを処理するロジックについて説明します。
ロジックの無効化
カテゴリ内の最後に残った質問を無効化すると、そのカテゴリも同様に自動的に無効化されます。
アクティブなカテゴリの数は、質問メニューのカテゴリの最大数以上である必要があります。カテゴリを無効化しようとしたときに、この要件が満たされていない場合は、エラー・メッセージが表示されます。
結果
次の表に、無効化の結果の概要を示します。
表7-1 質問およびカテゴリのロジックでの無効化の結果
| 質問またはカテゴリの無効化 | 新規カスタマ | 質問セット内の質問を持つユーザー | 登録された質問を持つユーザー |
|---|---|---|---|
|
質問 |
無効化された質問は、新規ユーザーの質問セットの再生に使用されません。 |
再登録時、またはユーザーが自分のプリファレンスを変更した場合、無効化された質問は同じカテゴリからの別の質問で置換されます。 |
無効化された質問は、引き続きアクティブです。 ユーザーがユーザー・プリファレンスを再登録または変更する場合、無効化された質問は、同じカテゴリからの別の質問で置換されます。 |
|
カテゴリ |
無効化されたカテゴリは、新規ユーザーの質問セットの再生に使用されません。 |
再登録時、またはユーザーが自分のプリファレンスを変更した場合、無効化されたカテゴリ内のすべての質問が、現在の質問セットの生成に使用されていない新しいカテゴリからの質問で置換されます。 |
無効化されたカテゴリの質問は、引き続きアクティブです。 ユーザーがユーザー・プリファレンスを再登録または変更する場合、無効化されたカテゴリ内のすべての質問は、現在の質問セットの生成に使用されていない新規カテゴリからの質問で置換されます。 |
この項では、OAAM管理コンソールでKBA管理タスクにナビゲートする方法について説明します。ナビゲーション・ツリーを介してKBAタスクにナビゲートできます。KBAインフラストラクチャでは、質問、検証、カテゴリ、登録と回答ロジック、およびその他の要素すべてにアクセスできます。
次に、KBAインフラストラクチャの構成へのアクセスを提供する、KBAの下にあるサブノードを示します。
「質問」: チャレンジ質問に影響するタスク(新規質問の作成、質問のアクティブ化、無効化および編集、現在システムに存在しないカテゴリに属する質問のインポートなど)の管理用。
「質問」をダブルクリックして、質問検索ページを開きます。
「検証」: 登録時にユーザーが指定した回答の検証の管理用(システムで使用可能な検証スキームに基づく検証の作成、既存の検証の編集、検証のインポートとエクスポートなど)。
「検証」をダブルクリックして、検証の検索および編集ページを開きます。
「カテゴリ」: システム内の質問カテゴリの管理用。
「カテゴリ」をダブルクリックして、カテゴリ検索ページを開きます。
「登録ロジック」: チャレンジ質問および回答の登録に使用されるロジック・アルゴリズムのレベルの管理用。
「登録ロジック」をダブルクリックして、登録ロジック構成ページを開きます。
「回答ロジック」: 回答の検証に使用されるロジック・アルゴリズムのレベルの管理用。
「回答ロジック」をダブルクリックして、回答ロジック構成ページを開きます。
検索ページを開く別の方法は、3.5項「検索、作成およびインポートの使用」を参照してください。検証の検索ページ、編集ページ、登録ロジック・ページおよび回答ロジック・ページは、検索ページと同じ方法で開くことができます。
KBAノードは開くことができないことに注意してください。
表7-2に、OAAMでKBAを設定する必要があるタスクをリストアップします。
表7-2 KBAの設定
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
KBAプロパティを設定します。 |
詳細は、7.3.1項「KBAプロパティの設定」を参照してください。 |
|
2 |
OAAMスナップショットをインポートします。 |
詳細は、7.3.2項「OAAMスナップショットのインポート」を参照してください。 |
|
3 |
ポリシーをユーザー・グループにリンクします。 |
詳細は、7.3.3項「ポリシーをユーザー・グループにリンク」を参照してください。 |
|
4 |
登録およびチャレンジ・アクションを構成します。 |
詳細は、7.3.4項「登録およびチャレンジ・アクションの構成」を参照してください。 |
|
5 |
標準のカテゴリがニーズに合わない場合は、新規カテゴリを作成します。 |
詳細は、7.3.5項「新規カテゴリの作成」を参照してください。 |
|
6 |
標準の質問がニーズに合わない場合は、新規質問を作成します。 |
詳細は、7.3.6項「新規質問の作成」を参照してください。 |
|
7 |
チャレンジ質問の登録を構成します。 |
詳細は、7.3.7項「チャレンジ質問の登録構成」を参照してください。 |
|
8 |
回答に入力される文字の制限を構成します。 |
詳細は、7.3.8項「質問回答の検証構成」を参照してください。 |
|
9 |
回答ロジックを構成します。 |
詳細は、7.3.9項「回答ロジックの構成」を参照してください。 |
このセクションには、KBAの有効化、質問リストの制御、質問のランダム化に関するKBAプロパティがリストアップされます。
bharosa.kba.activeプロパティがtrueに設定されていることを確認します。プロパティの変更の詳細は、第25章「プロパティ・エディタの使用」を参照してください。
OAAMサーバーの質問のリストを制御できます。次に、デフォルトのプロパティとその値を示します。
challenge.question.registration.groups.minimum.questions.per.category.count=1 challenge.question.registration.groups.categories.count=5 challenge.question.registration.groups.questions.count=5 challenge.question.registration.groups.count=3 challenge.question.registration.groups.maxlimit=5
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。スナップショットは、oaam_base_snapshot.zipファイルに格納され、MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリに置かれています。
ユーザーに登録を求める前に、チャレンジ質問がOracle Adaptive Access Managerに存在する必要があります。チャレンジ質問はOAAMスナップショットに含まれています。質問が含まれたスナップショットのインポートの詳細は、2.6項「OAAMスナップショットのインポート」を参照してください。
英語以外の言語のチャレンジ質問を使用する必要がある場合は、適切なoaam_kba_questions_locale.zipファイルをMW_HOME/IDM_ORACLE_HOME/oaam/kba_questionsディレクトリからインポートします。ロケール識別子localeは言語バージョンを指定します。
ビジネスおよびセキュリティのニーズに関するポリシーを、KBAを有効化する必要があるユーザー・グループにリンクします。ポリシーのインポートの詳細は、第11章「ポリシー、ルールおよび条件の管理」を参照してください。
ポリシーのルールに適したアクションを構成します。ルールの構成の詳細は、第11章「ポリシー、ルールおよび条件の管理」を参照してください。
質問をグループ化できる標準のカテゴリがニーズに合わない場合は、作成する関連質問を含めることができるカテゴリを作成します。
カテゴリを作成するには
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページで、「新規カテゴリ」ボタンまたは「新規」アイコンをクリックします。
作成ページを開く別の方法は、3.5項「検索、作成およびインポート」を参照してください。
「新規カテゴリ」ページが表示され、詳細を入力してカテゴリを作成できます。
「カテゴリ」フィールドに新規カテゴリを入力します。
説明を入力します。
「適用」をクリックします。
新規作成したカテゴリの「カテゴリ詳細」ページが表示されます。
標準のチャレンジ質問がニーズを満たさない場合は、アプリケーションにアクセスするユーザーに適用できる質問を作成します。
質問を作成するには
ナビゲーション・ツリーで、「KBA」の下の「質問」をダブルクリックします。質問検索ページが表示されます。
質問検索ページで、「新規質問」ボタンをクリックします。
「新規質問」ページが表示され、詳細を入力して質問を作成できます。
作成ページを開く別の方法は、3.5項「検索、作成およびインポート」を参照してください。
「新規質問」ページが初めて表示されるとき、質問ステータスのデフォルト値は「アクティブ」になっています。
「質問」、「カテゴリ」、「ステータス」および「ロケール」は、必須フィールドです。
使用可能なロケールのリストからロケールを選択します。
デフォルトでは、「ロケール」メニューには、英語およびその他の26のロケール言語が表示されます。
新規質問を「質問」フィールドに入力します。
質問名は、カテゴリ間で一意である必要があります。
「カテゴリ」リストで、目的の質問カテゴリを選択します。
デフォルトでは、「カテゴリ」リストにはデータがありません。データが「カテゴリ」メニューに表示されるようにするには、チャレンジ質問ZIPファイル(oaam_kba_questions_locale.zip)をインポートする必要があります。新規カテゴリを作成することもできます。
「ロケール」リストで、目的の言語を選択します。
デフォルトでは、「ロケール」メニューには、英語およびその他の26のロケール言語が表示されます。
各質問に一意の検証に割り当てて、ユーザーが登録を許可される回答を制御できます。ローカル検証を割り当てるには、「登録検証」リストから検証タイプを選択します。
この手順で選択したローカル検証によって、特定の質問でユーザーが登録できる回答が制御されます。すべての質問に対する回答の登録は制御されません。
グローバル検証とローカル検証の相違の詳細は、7.3.8項「質問回答の検証構成」を参照してください。
「回答ロジックのヒント」リストで、目的の「回答ロジックのヒント」のタイプを選択します。
指定した質問の評価に使用される回答ロジックに影響を及ぼすために、ヒントを質問に個々に追加できます。このことは、質問のタイプのロジックをより詳細に調整するために実行します。このことは、特に日付関連の質問で重要となります。
これらのヒントは、回答ロジックが、一部の質問(日付関連の質問など)でより適切に機能するために役立ちます。質問に日付回答ヒントが適用されている場合、省略形、音声およびファット・フィンガリングの回答ロジックが最初に実行され、次に特殊日付書式ロジックが適用されます。
「適用」をクリックします。確認ダイアログが表示され、質問が正常に作成されたことが示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
新規作成された質問の質問詳細ページが表示されます。
質問が作成された後に、詳細を編集できます。
|
注意: デプロイメント管理者は、デプロイ時に、OAAM管理で構成されたサポート対象の各ロケールに関して、十分な質問がデータベースにあるようにする必要があります。そうでない場合は、登録中にOAAMサーバーによって英語の質問のみが表示されます。 ロケール固有の質問の数は、「ユーザーが登録する質問数」に「1メニュー当たりの質問数」を乗算し、「1メニュー当たりのカテゴリ」を乗算した数以上である必要があります。 |
各メニューで表示される質問の数、1メニュー当たりのカテゴリ数、およびユーザーが登録する必要がある質問の数は、構成可能です。ユーザーは、各メニューから1つの質問を選択し、それらの回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。
チャレンジ質問および回答の登録を構成するには:
ナビゲーション・ツリーで、「KBA」の下の「登録ロジック」をダブルクリックします。「登録ロジック」ページが表示されます。
質問セット生成用の値を入力または変更するには、次の設定を指定します。
カスタマが登録する必要がある質問の数
各メニューで表示される質問の数
1メニュー当たりのカテゴリの数
1メニュー当たりのカテゴリは、システムで使用可能なカテゴリ数以下である必要があります。
|
注意: 現実的な数を入力します。たとえば、ユーザーが登録する必要がある質問の数は、3から7です。 |
「適用」をクリックします。
登録ロジック詳細が正常に更新されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックします。
グローバル検証では、すべての質問に関して、ユーザーが登録を許可される回答を制御します。グローバル検証は、すべての回答登録に影響します。たとえば、「4桁年(YYYY)」検証がグローバルに適用された場合は、KBA登録中に、数値による回答のみが受け入れられます。このことは、回答が通常英数字になる質問をユーザーが使用できる場合に問題になります。
グローバル検証は、登録ロジックの構成時に指定されます。
グローバル検証(すべての質問に適用する検証)を追加するには:
ナビゲーション・ツリーで、「KBA」の下の「登録ロジック」をダブルクリックします。「登録ロジック」ページが表示されます。
結果ヘッダーの「追加」ボタンをクリックします。
「グローバル検証の追加」ダイアログが表示されます。
「グローバル検証の追加」ダイアログで、追加するグローバル検証を検索します。
追加する検証に対応する行を選択します。
追加する検証を一度に複数選択することはできません。
「追加」をクリックします。
選択された検証が追加されます。
KBAの機能である回答ロジックにより、セキュリティ質問のユーザビリティが向上します。管理者は、エンド・ユーザーが指定したチャレンジ回答が、登録時に指定した回答とどれだけ正確に一致する必要があるかを調整します。ユーザーが指定した回答が、基本的には正しいが、誤入力、スペル・ミス、省略形などのわずかな違いがある場合、合格にする必要があります。KBAの向上したユーザビリティにより、リスクの小さい状況およびセルフサービス・フローでのコール・センターによる不要な関与の必要性が軽減または排除されます。
回答ロジック(ファジー・ロジック)アルゴリズムを「回答ロジック」ページで構成できます。アルゴリズムは、一般的な省略形、ファット・フィンガリング(キーボード上の隣接したキーを間違って押すこと)および音声の3つのカテゴリに分けられます。これらのアルゴリズムは、オンライン・チャレンジ・プロセスと電話チャレンジ・プロセスの両方に使用できます。
次のアルゴリズムが使用可能で、要件に合わせて構成できます。
音声
文字の欠落
不要な文字
一般的なスペル・ミス
一般的な省略形
一般的な頭文字
キーボード・ファット・フィンガリング
一般的な愛称
地域によるスペルの違い
日付書式
回答ロジックのアルゴリズムは有効化または無効化でき、一部のアルゴリズムの強度(チャレンジ質問に対する回答の評価に使用される回答ロジックのレベル)も構成可能です。たとえば、電信送金などの高リスク・トランザクションでは高い確実度(完全一致)が必要とされる一方で、機密でない個人情報にアクセスする場合には、必要とされるレスポンスの確実性はより低くなることがあります。
標準の回答ロジックは、英語に対してのみ機能します。省略形をグローバル化できますが、ロケール固有のテキストの等価ファイルを作成する必要があります。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
仕組みを示す例
質問: 高校時代の好きな先生は誰でしたか。
登録済の回答: Mrs. Smith
指定された回答: Misses Smuth
ロジック・レベル: 高に設定されている場合、この回答は受け入れられます。
表7-3 回答ロジック・アルゴリズム例
| アルゴリズム | 説明 | 理由 |
|---|---|---|
|
省略形 |
このアルゴリズムでは、一般的な省略形、一般的な愛称、一般的な頭文字および日付書式が処理されます。許可されている一致に関するファイルを確認します。 |
ファイルにMrs=Missesが含まれている場合は、いずれかの方向で一致が生成されます。 |
|
音声 |
このアルゴリズムでは、登録済の回答と音声が類似した回答、地域によるスペルの違いおよび一般的なスペル・ミスが処理されます。 |
SmiithはSmithと類似しています。 |
|
キーボード・ファット・フィンガリング |
このアルゴリズムでは、標準キーボードのキーの近接による回答の誤入力を処理します。 |
uはiのすぐ左にあるため、許可されます。 |
この項では、最も一般的なレスポンス・エラーについて重点的に説明し、チャレンジ・レスポンス処理でシステムが正しい回答をインテリジェントに検出するために回答ロジック・アルゴリズムが使用される仕組みを示します。省略形、音声およびキーボード・ファット・フィンガリングの例も提供しています。
一般的な省略形、一般的な愛称、一般的な頭文字および日付書式は、このアルゴリズムにより処理されます。
一般的な省略形
このアルゴリズムは、次のペアの語句を同じものとして一致させます。OAAM管理には、一般的な省略形、一般的な愛称および一般的な頭文字を網羅する事前定義された語句のペアのリストがあります。
Street - St.
Drive - Dr.
California - CA
このリストは、新しい省略形ファイルcustom_auth_abbreviation_config.propertiesを作成することで、カスタマイズできます。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
一般的な愛称
Oracleには、チャレンジ・レスポンス処理で使用される最も一般的な愛称の事前定義されたリストがあります。
Timothy - Tim
Matthew - Matt
日付書式
回答として日付が求められる質問では、ユーザーが回答を入力する必要がある書式を指定します。書式はYYYYまたはMMDDのいずれかで、両方は指定できません。ただし、経験から、ユーザーはチャレンジ・レスポンス処理時に他の書式を依然として使用します。日付書式の省略形ロジックでは、次のことを同じとみなします。
0713
713
July 13th
July 13
July 13, 1970
登録済の回答と音声が類似した回答、地域によるスペルの違いおよび一般的なスペル・ミスは、このアルゴリズムによって処理されます。音声アルゴリズムは、英語でのみサポートされています。
一般的なスペル・ミス
Oracleの音声回答ロジック・アルゴリズムでは、スペル・ミスが考慮されます。
ph - f
正しい語句: elephant - スペルの誤り: elefant
Oracleのファット・フィンガリング・アルゴリズムでは、標準キーボードのキーの近接による誤入力や、転置された文字を考慮します。標準キーボードのキーの近接による誤入力がある回答は、このアルゴリズムにより処理されます。
許可されるファット・フィンガリング文字数は、元の語句の長さおよびレベル・セットにより異なります。このアルゴリズムは、完全一致を含む文字に関連付けるスコアの割合を返します。この割合が、回答が登録済の回答と一致するために必要な最小スコアを決定します。
|
注意: ファット・フィンガリング・アルゴリズムは、英語でのみサポートされています。 |
一般的な誤入力
ファット・フィンガリングの例
正しい語句: signature - ファット・フィンガリング: signatire
チャレンジ質問に指定された回答の評価に使用される回答ロジックのレベル(アルゴリズムの強度)は、構成可能です。各アルゴリズムは有効化または無効化でき、使用されるアルゴリズムに次のレベルを指定することもできます。
オフ: 回答ロジックは使用されず、回答はユーザーが前に登録した回答と完全に一致する必要があります。
低: 低い回答ロジックであり、ユーザーが指定した回答は、登録時に指定した回答と完全一致またはほぼ一致する必要があります。
中: より高い回答ロジックであり、ユーザーは、指定した回答にある程度の余地を与えられます。たとえば、St.は、Streetとして受け入れられます。
高: 最高レベルの回答ロジックです。一致に関する制約は厳しくありません。
各アルゴリズムは、指定された回答が、登録された回答とどれだけ近いかを表すスコアを生成します。OAAM管理は、各アルゴリズムでそれぞれ異なるしきい値スコア範囲を受け入れるように構成できます。各アルゴリズムの個別のしきい値(低、中、高)は、プロパティ・ファイルで設定されます。デフォルトのしきい値を次で説明します。
省略形の場合:
戻り値: 範囲0から100 (不一致または一致)
レベル: オンまたはオフ
ロジック
指定した文字列にリンクされた省略形エントリが存在する場合、スコアは100です。
それ以外の場合、スコアは0です。
戻り値: 範囲0から100
レベル: オフ、低(90+)、中(75+)、高(60+)
ロジック
文字列長が一致しない場合、スコアは0です。
任意の位置に予期された文字またはその隣接文字が含まれていない場合、スコアは0です。
それ以外の場合は、隣接文字が含まれた位置の数を計算します。
スコア = (文字列長 - 隣接位置数) * 100 /文字列長
戻り値: 0、60、75、90
レベル: オフ、低(90)、中(75)、高(60)
ロジック
DoubleMetaphoneアルゴリズムを使用して、指定された文字列の主音声キーと代替音声キーを計算します。
両方の文字列の主キーが一致した場合、スコアは高です。
または、いずれかの文字列の主キーが、もう一方の文字列の代替キーに一致する場合、スコアは中です。
または、両方の文字列の代替キーが一致する場合、スコアは低です。
それ以外の場合、スコアは0です。
複数の単語を含む回答は、回答ロジックにより特別な方法で処理されます。文字列の完全一致の最終スコアが成功基準を満たしていない場合、回答内の個々の単語が評価されます。回答内の個々の単語が任意のアルゴリズムにより受け入れられると、その回答全体が受け入れられます。
欠落した単語または余分な単語が含まれた、複数の単語の回答は、登録済の回答と完全一致する必要があります。回答が回答ロジックで評価されるためには、登録済の回答と同じ数の単語が含まれている必要があります。たとえば、登録済の回答がMead Elementary Schoolで、チャレンジ時に指定した回答がMesd Elem Schである場合:
Abbreviation: Mead–Mesd=0; Elementary-Elem=100; School-Sch=100 Fat-finger: Mead-Mesd=75; Elementary-Elem=0; School-Sch=0 Phonetics: Mead-Mesd=0; Elementary-Elem=0; School-Sch=0
省略形がオフ以外に設定され、ファット・フィンガリングが中または高に設定されている場合、3つのすべての単語がそれぞれ受け入れられるため、回答全体が受け入れられます。
「KBA回答ロジック」タブには、回答の検証に使用される各回答ロジック・アルゴリズムのレベル用のコントロールが含まれています。レベルが高いほど、回答が受け入れられるのに必要な精度がより低くなります。
回答ロジックを構成するには:
ナビゲーション・ツリーで、「KBA」の下の「回答ロジック」をダブルクリックします。
オンライン・チャレンジとCSR電話チャレンジに別個の設定を指定できます。
キーボード・ファット・フィンガリングおよび音声に使用される回答ロジックのレベルを変更するには、「オフ」、「低」、「中」または「高」を選択しますが、設定を低くするほど、必要とされる精度が高くなります。
ロジック・レベルの詳細は、7.3.9.2項「回答ロジックのレベル」を参照してください。
「OK」をクリックします。
KBA機能により、チャレンジ質問を管理できます。
チャレンジ質問に対して次のタスクを実行できます。
質問検索ページを使用して、すべてのチャレンジ質問を表示し、様々な基準に基づいて質問を検索します。質問検索ページでは、任意の質問の質問詳細ページにアクセスできます。質問検索ページが初めて表示されるときには、デフォルトのフィルタ値が含まれた「検索結果」表が表示されます。
質問を検索するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページの例を図7-4に示します。
質問検索ページには、「検索」セクション、検索基準に一致した質問の概要を示す「検索結果」表が表示されます。
質問を検索するための基準を「検索フィルタ」に指定し、「検索」をクリックします。
表7-4で、検索フィルタ基準について説明しています。
検索パラメータをデフォルト設定にリセットする場合は、「リセット」ボタンを使用します。
「検索結果」表には、指定した基準に一致した質問の概要が表示されます。デフォルトでは、質問は質問名を基準にしてソートされますが、更新時間、作成日、ステータス、質問およびカテゴリを基準にして質問をソートできます。
「検索結果」表で、質問リンクをクリックして、詳細を表示します。質問詳細ページが表示されます。
表7-5 質問アクション・メニュー・コマンドに、「アクション」メニューで使用可能なコマンドをリストします。1つ以上の質問を選択して、これらの質問に対するアクションを実行できます。
表7-5 質問アクション・メニュー・コマンド
| コマンド | 説明 |
|---|---|
|
新規質問 |
新規質問を作成します。デフォルトでは、質問は作成時に有効になります。任意のロケールの質問を作成できます。 |
|
類似作成 |
既存の質問と類似した新規ケースを作成します。 |
|
選択項目の削除 |
質問を削除します。 |
|
選択項目のアクティブ化 |
質問をアクティブ化します。 |
|
選択項目の非アクティブ化 |
質問を非アクティブ化します。 |
|
選択項目のエクスポート |
質問を.XMLファイルとしてエクスポートします。 |
質問の作成を除き、すべての操作は一括操作です。
質問詳細ページには、次のような情報が表示されます。
質問のある質問セット
質問に登録されたユーザー
質問に登録されたユーザーの割合
成功したチャレンジの割合
失敗したチャレンジの割合
質問ID
最終更新日
質問統計を表示するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、「検索結果」表の目的の質問をクリックします。
統計が含まれた質問詳細ページが表示されます。
既存の質問に類似した質問を作成するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、目的の質問に対応する行を選択します。
「類似作成」アイコンをクリックします。
元の質問からのデータが事前移入された「類似作成」ダイアログが表示されます。事前に移入されたフィールドは、「カテゴリ」、「ロケール」、「ステータス」、「回答ロジックのヒント」および「登録検証」です。「質問」、「カテゴリ」、「ステータス」および「ロケール」は、必須フィールドです。複数の行が選択されている場合、「類似作成」アイコンは無効になります。
任意のロケールの質問を作成できます。
新規質問を「質問」フィールドに入力します。
必要に応じてその他のフィールドを編集します。
「OK」をクリックします。
新規作成された質問の質問詳細ページが表示されます。
「取消」をクリックすると、質問検索ページが表示されます。
質問詳細ページでは、質問のアクティブ化や無効化、質問、質問カテゴリ、ロケール、および登録検証と回答検証の編集を実行できます。読取り専用の質問統計を「質問の統計」セクションで使用できます。質問を編集した場合、その質問を使用するユーザーは、更新された質問を受け取ります。
質問を編集するには
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、目的の質問を検索します。
編集する必要がある、ハイパーリンク付きの質問をクリックします。
質問詳細ページが表示されます。
必要な変更を行います。
「質問ID」や最終更新時間は編集できません。
変更を保存する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
「元に戻す」をクリックすると、編集された詳細が、最初の状態に戻ります。
質問をインポートするには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、「質問のインポート」をクリックするか、または「アクション」メニューから選択対象のインポートを選択します。
「質問のインポート」ダイアログで、ファイルのパスおよび名前入力するか、または「参照」(...)ボタンを使用して、質問が含まれているZIPファイルを検索し、そのファイルを選択します。
「オープン」をクリックし、「インポート」をクリックします。
現在システムに存在しないカテゴリに属する質問をインポートする場合、そのカテゴリもインポートされます。既存の質問と同じID番号の質問をインポートした場合、既存の質問は上書きされます。
確認ダイアログに、操作のステータス、およびシステムにインポートされた質問のリストが表示されます。
「完了」をクリックします。
複数の質問を選択してエクスポートできます。
質問をエクスポートするには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、目的の質問を検索します。
目的の質問に対応する行を選択します。
「エクスポート」アイコンを選択します。
「エクスポート」ダイアログで、「エクスポート」ボタンをクリックします。
選択した質問がエクスポートされます。
質問を削除するには、次の手順を実行します。
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、目的の質問を検索します。
目的の質問に対応する行を選択し、「削除」をクリックするか、「アクション」メニューから「選択項目の削除」を選択します。
「削除」ボタンと「選択項目の削除」メニュー・アイテムは、質問が選択されている場合にのみ有効になります。
質問および質問IDのリストが含まれた「削除の確認」ダイアログが表示されます。
「削除」をクリックして、質問を削除します。
削除された質問は新規登録には使用できませんが、これらの質問に対して現在登録されているユーザーは、引き続きこれらの質問を使用できます。
確認ダイアログが表示されます。
確認ダイアログで、「OK」をクリックします。
登録済ユーザーが使用している質問を削除しようとすると、エラーが表示されます。
ユーザーが複数の質問を削除しようとした場合、いくつかの質問がそのユーザーに関連付けられていると、関連付けられている質問はバイパスされ、残りの質問が削除され、削除されなかった質問のリストを示すメッセージがユーザーに表示されます。削除された質問は新規登録には使用できませんが、これらの質問に対して現在登録されているユーザーは、引き続きこれらの質問を使用できます。
質問を無効化するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、無効化する質問を検索します。
無効化する質問に対応する行を選択します。
「非アクティブ化」ボタンを押すか、または「アクション」メニューから「非アクティブ化」を選択します。
選択した質問が無効化されます。
または、質問検索ページでハイパーリンク付きの質問をクリックしてから、質問詳細ページで「ステータス」フィールドの「無効化」を選択して、質問を無効化できます。
質問が無効化されている場合、次のシナリオが発生します。
無効化された質問は、新規ユーザーの質問セットの生成には使用できません。
再登録時またはリセット時、無効化された質問は、無効化された質問が質問セットに含まれているユーザーの同じカテゴリからの別の質問で置換されます。
無効化された質問は、その質問を登録したユーザーに関してはアクティブなままです。ユーザーがユーザー・プリファレンスを再登録または変更する場合、無効化された質問は、同じカテゴリからの別の質問で置換されます。
7.2項「KBA管理での構成へのアクセス」の説明に従って、質問検索ページを開きます。
質問検索ページで、目的の質問を検索します。
アクティブ化する質問に対応する行を選択します。
「アクティブ化」ボタンを押すか、または「アクション」メニューから「アクティブ化」を選択します。
選択した質問がアクティブ化されます。
11.1.2.0.0に移行し、前のリリースのKBA質問を使用している場合、この項でリストしている質問がアクティブな場合は、それらの質問を削除または非アクティブ化する必要があります。
子カテゴリ
次の質問を削除または非アクティブ化します。
一番年上のお子さんの誕生は何年でしたか。
一番年上のお子さんの小学校入学は何年でしたか。
一番年下のお子さんの小学校入学は何年でしたか。
一番年上のお子さんのミドル・ネームは何ですか。
一番年下のお子さんは何という名ですか。
一番年下のお子さんの誕生は何年でしたか。
一番年上のお子さんは何という名ですか。
一番年下のお子さんの誕生日はいつですか。
一番年下のお子さんのミドル・ネームは何ですか。
一番年上のお子さんの誕生日はいつですか。
教育カテゴリ
次の質問を削除または非アクティブ化します。
高校卒業は何年でしたか。
中学校卒業は何年でしたか。
高校があったのは何市でしたか。
大学のスクール・カラーは何色でしたか。
小学校卒業は何年でしたか。
大学のマスコットは何でしたか。
高校のスクール・カラーは何色でしたか。
高校のマスコットは何でしたか。
出願したが入学しなかった大学の名前は何ですか。
最初の小学校があったのは何市でしたか。
高校入学は何年でしたか。
中学校入学は何年でしたか。
小学校入学は何年でしたか。
大学卒業は何年でしたか。
大学入学は何年でしたか。
大学での専攻は何でしたか。
最初に通った学校は何でしたか。
大学があったのは何市でしたか。
その他のカテゴリ
次の質問を削除または非アクティブ化します。
子供時代に一番親しかった友人は何という名ですか。
身長はどれくらいですか。
父母、祖父母、兄弟姉妹カテゴリ
次の質問を削除または非アクティブ化します。
父親が生まれたのは何年でしたか。
父親の誕生日はいつですか。
一番年上の兄弟姉妹の愛称は何ですか。
父親が生まれたのは何市ですか。
母親が生まれたのは何市ですか。
両親の現住所の番地は何番ですか。
両親の現住所は何町ですか。
一番年下の兄弟姉妹の愛称は何ですか。
両親の現住所の郵便番号は何番ですか。
母親が生まれたのは何年でしたか。
両親の電話番号の下4桁は何番ですか。
母方の祖母は何という名ですか。
父方の祖母は何という名ですか。
一番年下の兄弟姉妹は何という名ですか。
父方の祖父は何という名ですか。
母親の誕生日はいつですか。
一番年上の兄弟姉妹は何という名ですか。
重要なその他のカテゴリ
次の質問を削除または非アクティブ化します。
新婚旅行はどこに行きましたか。
あなたが結婚したのは何年ですか。
あなたの大切な人が生まれたのは何年ですか。
あなたの大切な人の誕生日はいつですか。
結婚記念日はいつですか。
初めて奥様/ご主人と知り合ったのは何市ですか。
あなたの大切な人が生まれたのは何市でしたか。
あなたの大切な人の母親は何という名ですか。
あなたの大切な人の父親は何という名ですか。
あなたの大切な人の一番年上の兄弟姉妹は何という姓ですか。
あなたの大切な人の一番年下の兄弟姉妹は何という名ですか。
あなたの大切な人はどの高校に通っていましたか。
あなたの花婿/花嫁付添人は何という姓でしたか。
あなたの花婿/花嫁付添人は何という名でしたか。
結婚披露宴会場の名称。
奥様/ご主人を何と呼んでいますか。
あなたの大切な人が生まれたのは何県でしたか。
あなたの大切な人の一番年下の兄弟姉妹は何という姓ですか。
スポーツ・カテゴリ
次の質問を削除または非アクティブ化します。
好きなスポーツ・チームのマスコットは何ですか。
好きなスポーツ・チームのチーム・カラーは何色ですか。
好きなスポーツ・チームの最大のライバルはどのチームですか。
これまでで一番お気に入りのスポーツ・チームはどこですか。
出生カテゴリ
次の質問を削除または非アクティブ化します。
育った場所の郵便番号は何番ですか。
あなたが生まれたとき米国大統領は誰でしたか。
あなたが生まれたとき父親は何歳でしたか。
あなたが生まれたとき母親は何歳でしたか。
あなたが生まれた病院の名前は何ですか。
生まれた場所の郵便番号は何番ですか。
誕生日に一番近い祝日は何ですか。
生まれたのは何県でしたか。
生まれたのは何市でしたか。
登録時にユーザーが指定した回答に使用する検証を管理および定義できます。
この項では、ユーザーがすべての質問に対して登録できる回答を制御するグローバル検証を管理する手順について説明します。グローバル検証とローカル検証の相違の詳細は、7.3.8項「質問回答の検証構成」を参照してください。
「検証」ページでは、次の機能を実行できます。
7.2項「KBA管理での構成へのアクセス」の説明に従って、「検証」ページを開きます。
「検証」ページの例を図7-5に示します。
デフォルトでは、検証は検証名を基準にしてソートされますが、更新済を基準にしてソートできます。
表7-6 検証アクション・メニュー・コマンドに、「アクション」メニューから使用できるコマンドをリストします。1つ以上の検証を選択し、質問に対してアクションを実行できます。
必要に応じて、新規検証をシステムに追加できます。検証は、チャレンジ質問の登録時に使用するために定義されます。
検証を追加するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、「検証」ページを開きます。
「検証」ページで、「新規検証」ボタンをクリックします。
「新規検証の追加」ページが表示され、詳細を入力して検証を作成できます。
または、次を実行して「新規検証の追加」ページを開くことができます。
「検索結果」ツールバーの「検証の追加」ボタンを選択します。
検索結果の「アクション」メニューから「新規検証」を選択します。
「検証タイプ」リストで、追加する検証スキームを選択します。
たとえば、検証タイプ、「最大長」を選択します。この検証スキームにより、カスタマは、許可された最大長の検証を回答に対して作成できます。
検証のパラメータが、「検証」ページの「検証パラメータの詳細」領域に表示されます。
|
注意: ページに表示されるフィールドは、選択した検証タイプによって異なります。 |
「名前」フィールドに、検証スキームのインスタンスの名前を入力します。
システムで使用可能な検証スキームから検証を作成する場合は、検証のインスタンスを追加します。次に、そのインスタンスをカスタマイズできます。
検証タイプに応じた検証パラメータを指定します。
たとえば、「最大長」検証のインスタンスの検証パラメータを30にすることができます。この検証インスタンスにより、ユーザーは、長さが30文字を超える回答を入力できないように制限されます。
表7-7 検証パラメータ
| 検証タイプ | フィールドのラベル | 検証パラメータの説明 | 例示 |
|---|---|---|---|
|
不適切な言語 |
不適切な語句の入力 |
回答に不適切な言語。 |
例: ぞんざいな言葉、見当外れな言葉、不快な言葉 |
|
正規表現 |
正規表現パターンの入力 |
回答の正規表現パターン文字列。 たとえば、英数字検証のパターンは、[A-Za-z0-9]+のようになります。 ユーザーが入力した回答が、構成済の正規表現パターンに準拠していないと、検証が失敗し、構成済のエラー・メッセージが表示されます。 |
例: [0-9]+ |
|
日付 |
日付入力の表記法 |
回答の日付/時間パターン文字列。 たとえば、月日年検証のパターンは、MMddyyのようになります。 ユーザーが入力した日付/時間が、構成済のパターンに準拠していないと、検証が失敗し、構成済のエラー・メッセージが表示されます。 |
例: MMDDYY |
|
最小長 |
最小長の入力 |
回答の最小長(数)。 ユーザーが入力した回答の長さが、構成済の値よりも少ないと、検証が失敗し、構成済のエラー・メッセージが表示されます。 |
例: 3 |
|
最大長 |
最大長の入力 |
回答に許可される最大長(数)。 ユーザーが入力した回答の長さが、構成済の値を超えると、検証が失敗し、構成済のエラー・メッセージが表示されます。 |
例: 3 |
|
繰返し文字 |
繰返し文字数の入力 |
回答で許可される繰返し文字の数。 ユーザーが入力した回答に含まれている繰返し文字が、構成済の値よりも多いと、検証が失敗し、構成済のエラー・メッセージがユーザーに表示されます。 |
例: 3 |
|
繰返し回答 |
繰返し回答数の入力 |
許可される繰返し回答の数。 たとえば、一意の回答の検証のパラメータ値は1になります。 ユーザーが入力した回答が、構成済の回数を超えて繰り返された場合、検証が失敗し、構成済のエラー・メッセージがユーザーに表示されます。 |
例: 1 |
|
文字 |
許可されない文字の入力 |
許可されていない文字。 |
例: * |
「追加」をクリックします。
OAAM管理は、検証インスタンスをシステム内の検証のリストに追加します。
既存の検証を編集するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、「検証」ページを開きます。
「検証」ページで、編集するハイパーリンク付きの構成済の検証を選択します。
「検証パラメータの詳細」セクションで、必要な変更を行います。表7-7「検証パラメータ」を参照してください。
検証パラメータ・フィールドの文字列、数値および文字を編集できます。
「保存」をクリックします。
OAAM管理は、システム内の検証インスタンスを更新します。
グローバル検証をシステムにインポートして、「登録ロジック」ページのグローバル検証リストにグローバル検証を追加できます。通知はされず、自動的にグローバル検証リストに追加されます。
検証をエクスポートするには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、「検証」ページを開きます。
「検証」ページで、目的の検証を検索します。
エクスポートする検証に対応する行を選択します。
「アクション」メニューから「選択項目のエクスポート」を選択します。
「エクスポート」ダイアログが表示されたら、「ファイルの保存」、「保存」の順に選択します。
ファイルがエクスポートされ、ZIPファイルとして保存されます。
検証を削除するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、「検証」ページを開きます。
「検証」ページで、削除する検証を検索します。
目的の検証に対応する行を選択し、「削除」をクリックします。
検証を削除するかどうかを確認するダイアログが表示されます。
「削除」をクリックして確認します。
検証が正常に削除されたことを示すメッセージを含むダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
カテゴリに関して次のタスクを実行できます。
カテゴリ検索ページで、すべてのカテゴリのリストを表示し、様々な条件に基づいてカテゴリを検索できます。カテゴリ検索ページでは、任意のカテゴリの「カテゴリ詳細」ページにアクセスできます。
カテゴリ検索ページが初めて表示されるときには、「検索結果」表にデフォルト検索値の結果が表示されます。
カテゴリを検索するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページに、検索条件に一致したカテゴリの概要を示す「検索」セクションおよび「検索結果」表が表示されます。
検索フィルタに条件を指定して、特定の質問カテゴリを見つけ、「検索」をクリックします。
表7-4で、検索フィルタ基準について説明しています。
検索パラメータをデフォルト設定にリセットする場合は、「リセット」ボタンを使用します。
「検索結果」表には、指定した条件に一致するカテゴリの概要が表示されます。
「検索結果」表で、目的のハイパーリンク付きのカテゴリをクリックして、詳細を表示します。「カテゴリ詳細」ページが表示されます。
「カテゴリ詳細」ページでは、既存のカテゴリのステータス、名前および説明を変更できます。
カテゴリを編集するには
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページで、目的のカテゴリを検索します。
編集するハイパーリンク付きのカテゴリをクリックします。
「カテゴリ詳細」ページが表示されます。
必要な変更を行います。
カテゴリ名の編集は、登録済の質問または新規登録には影響を及ぼしません。
変更を保存する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
「元に戻す」をクリックすると、編集済の詳細が最初の状態に戻ります。
あるカテゴリに属している質問を新規カテゴリに移動すると、ユーザーに同じ質問が示されます。
カテゴリを削除するには、次の手順を実行します。
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページで、削除するカテゴリを検索します。
目的のカテゴリに対応する行を選択し、「削除」をクリックします。
カテゴリを削除するかどうかを確認するダイアログが表示されます。
「削除」をクリックして確認します。
カテゴリが正常に削除されたことを示すメッセージを含むダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
質問によってカテゴリが参照されていない場合は、そのカテゴリを削除できます。そのカテゴリが質問によって参照されている場合は、エラー・メッセージが表示されます。
カテゴリをアクティブ化するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページで、アクティブ化するカテゴリを検索します。
アクティブ化する各カテゴリの行を選択します。
「アクティブ化」ボタンを押します。
カテゴリが正常にアクティブ化されたことを示すメッセージを含むダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
非アクティブ化されたカテゴリは、新規質問セットの生成には使用されません。非アクティブ化されたカテゴリ内のすべての質問が、再登録時、または質問セットに質問が含まれるユーザーのユーザー・プリファレンス変更時に、現在の質問セットの生成に使用されていない新規カテゴリからの質問で置換されます。
質問が登録されているユーザーの場合、非アクティブ化されたカテゴリの質問は、引き続きアクティブです。ユーザーが再登録した場合、またはユーザー・プリファレンスを変更した場合は、非アクティブ化されたカテゴリ内のすべての質問が、現在の質問セットの生成に使用されていない新規カテゴリからの質問で置換されます。
カテゴリを非アクティブ化するには:
7.2項「KBA管理での構成へのアクセス」の説明に従って、カテゴリ検索ページを開きます。
カテゴリ検索ページで、目的のカテゴリを検索します。
非アクティブ化する各カテゴリの行を選択します。
「非アクティブ化」ボタンを押します。
カテゴリが正常に非アクティブ化されたことを示すメッセージを含むダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
グローバル検証を削除(すべての質問には適用しない検証を削除)するには:
ナビゲーション・ツリーで、「KBA」の下の「登録ロジック」をダブルクリックします。「登録ロジック」ページが表示されます。
削除する検証に対応する行を選択し、結果ヘッダーの「削除」ボタンをクリックします。
検証を削除するかどうかを確認するダイアログが表示されます。
「削除」をクリックしてダイアログを閉じます。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
Oracle Adaptive Access Managerは、ファジー・ロジックの概念をサポートします。ファジー・ロジックは部分的に、省略形として知られる事前構成済の等価語句セットに依存します。
回答ロジックにより、ユーザーが指定した回答が登録時に指定された回答と厳密に一致するかどうかがチェックされます。回答ロジックは部分的に、省略形として知られる事前構成済の等価語句セットに依存します。
英語版のOracle Adaptive Access Managerには数千の英語の省略形および等価が含まれますが、それぞれのビジネス要件に応じてカスタマイズを実行できます。たとえば、次のものを一致とみなすことができます。
| 登録済の回答 | 指定された回答 |
|---|---|
|
nineteen hundred ninety nine |
1999 |
英語の省略形および等価は、標準ではbharosa_auth_abbreviation_config.propertiesというファイルに含まれています。このファイルは変更できません。
省略形をカスタマイズするには、省略形の新規セットを使用して新規ファイルを作成する必要があります。このファイルは元のファイルより優先されるため、元のファイルのすべての省略形は無視されます。
省略形をカスタマイズするには:
新規の省略形ファイルcustom_auth_abbreviation_config.propertiesを作成してIDM_ORACLE_HOME/oaam/confディレクトリに保存します。
confフォルダが存在しない場合は、これを作成します。
省略形および等価をcustom_auth_abbreviation_config.propertiesに追加します。
使用する書式は次の2種類です。
Word=equivalent1 Word=equivalent2
または
Word=equivalent1,equivalent2, equivalent3
たとえば、英語ではJamesに対して次のような等価があげられます。
Jim=James,\Jamie,\Jimmy
このように等価を追加することで、ユーザーが最初に入力したJamesとは異なるJimという回答を入力した場合に、Jimが受け入れられます。別の例として、StをStreetと等価とみなすことができます。
|
注意: 省略形の値の取得はブラウザの言語に基づきません。値はプロパティ・ファイルから取得されます。 |
このファイルをOAAM拡張共有ライブラリ(WEB-INF/classes)に追加します。
プロパティ・エディタを使用して、拡張フォルダ内のファイルWEB-INF/classes/custom_auth_abbreviation_config.propertiesへの完全パスを指定するようにプロパティbharosa.authenticator.AbbreviationFileNameを変更します。
プロパティbharosa.authenticator.AbbreviationFileNameのデフォルト値はbharosa_auth_abbreviation_config.propertiesです。bharosa.authenticator.AbbreviationFileNameプロパティが存在しない場合は、作成してください。
変更を有効化するためにシステムを再起動する必要はありません。
回答ロジックを構成します。
標準の元の省略形に戻すには、bharosa.authenticator.AbbreviationFileNameの設定をbharosa_auth_abbreviation_config.propertiesに戻します。
この項では、KBAのサンプル・シナリオについて説明します。
既存の標準の質問を増やすため、新しいチャレンジ質問を開発するよう依頼されました。新規質問を考えます。指示: パートA: 既存のチャレンジ質問をバックアップとしてエクスポートします。パートB: 任意のカテゴリの新規質問を英語で作成します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「KBA」の下の「質問」をダブルクリックします。質問検索ページが表示されます。
質問検索ページで、「検索結果」表の列ヘッダーをクリックして、すべての行を選択します。
「アクション」メニューから「選択項目のエクスポート」を選択します。
「エクスポート」ダイアログで、「ファイルの保存」を選択し、「OK」をクリックします。
ZIPファイルを保存するロケーションを参照し、「保存」をクリックします。
質問をバックアップした後、目的の質問を検索します。
質問が存在しない場合は、「新規質問」をクリックします。「新規質問」ページが表示されます。
「質問」、「カテゴリ」、「ステータス」および「ロケール」は、必須フィールドです。
「新規質問」ページが初めて表示されるとき、質問ステータスのデフォルト値は「アクティブ」になっています。
「質問」フィールドに、質問を入力します。
「カテゴリ」フィールドで、カテゴリを選択します。
ロケールとして「英語」を選択します。
登録検証を選択します。
回答ロジックのヒントを選択します。
「適用」をクリックします。確認ダイアログが表示され、質問が正常に作成されたことが示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
この質問および質問統計に関する情報が含まれた「質問詳細」ページが表示されます。
質問が作成された後に、詳細を編集できます。
セキュリティ・チームは、チャレンジ質問をスポーツとペットに関する質問に限定することにしました。パートA: OAAM管理コンソールにログインし、スポーツおよびペットを除くすべてのカテゴリの質問を削除する必要があります。これを行う前に、元に戻す場合のバックアップとして、すべてのチャレンジ質問をエクスポートする必要があります。パートB: セキュリティ・チームは、各ユーザーが4つの質問を登録する必要があること、および各登録メニューに少なくとも4つのカテゴリからの質問が含まれている必要があることも決定しました。これはOAAM管理コンソールで構成します。
KBA登録ロジックを構成するには:
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「KBA」の下の「質問」をダブルクリックします。質問検索ページが表示されます。
「検索結果」表のすべての質問を選択し、元に戻す場合のバックアップとしてすべてのチャレンジ質問をエクスポートします。
列ヘッダーの「#」をクリックして、「検索結果」表のすべての行を選択します。
「アクション」メニューから「選択項目のエクスポート」を選択します。
「エクスポート」ダイアログで、「ファイルの保存」を選択し、「OK」をクリックします。
ZIPファイルを保存するロケーションを参照し、「保存」をクリックします。
エクスポート後、質問検索ページの「検索結果」表で、「カテゴリ」を基準にして質問をソートします。
スポーツおよびペットのカテゴリに含まれていない質問を選択し、「削除」をクリックします。
ナビゲーション・ツリーで、「KBA」の下の「登録ロジック」をダブルクリックします。「登録ロジック」ページが表示されます。
「1メニュー当たりのカテゴリ」で、4と入力します。
「1メニュー当たりの質問数」で、4と入力します。
「ユーザーが登録する質問数」で、4と入力します。
「適用」をクリックします。
CSRは、電話を通してチャレンジ質問を尋ねることで、ユーザーを認証できます。KBA電話チャレンジは、任意の登録済ユーザーに対して使用できます。
CSRは、ユーザーのステータス(「ブロック」、「ロック済」など)、およびユーザーによるコール時の最後のログイン試行の日付/時間を確認します。
CSRは、「質問の依頼」アクションで質問を要求し、チャレンジ質問およびユーザーのレスポンスを入力するフィールドが表示されます。
示されるチャレンジ質問は、ユーザーが現在ロックアウトされている場合、ユーザーがオンラインで失敗した質問とは異なります。
ユーザーの登録済質問の次の質問がCSRに示されます。
ユーザーは、質問ごとの電話を通した試行数が制限されています。詳細および例は、7.1.11項「失敗カウンタ」を参照してください。
CSRに通知するエラー・メッセージが表示されます。
この処理は、ユーザーが質問および試行を使い果たすまで、またはユーザーが質問に正しく答えるまで続きます。
Jeffはセキュリティ管理者であり、英語およびスペイン語のKBA質問をインポートして編集し、新しい英語の質問を追加する必要があります。
これを行うには:
複数言語のKBA質問をインポートします。
2.6項「OAAMスナップショットのインポート」を参照してください。
質問を編集します。
7.4.4項「質問の編集」を参照してください。
新規質問を追加します。
7.3.6項「新規質問の作成」を参照してください。
セキュリティ管理者であるJeffは、ユーザーの不注意による入力ミスの影響が減少するように、KBA回答ロジックを設定する必要があります。
ファット・フィンガリング回答ロジックを高に設定します。
7.3.9.2項「回答ロジックのレベル」を参照してください。
詳述書に対するテストを行います。
これらの推奨事項では、KBA認証を実装する場合のガイドラインを提供します。ベスト・プラクティスのガイドラインの範囲内で、機関においてカスタマ登録およびチャレンジ手順を構成および実装するためのガイダンスを提供します。
KBAは認証時の第2認証の形式であり、ユーザーはチャレンジ質問のプロンプトが表示され、前に登録した回答を提供する必要があります。
KBAは第2認証方法であるため、第1認証の成功後にのみ示されます。KBAチャレンジは、リスクが中から高の状況で必要となります。重大なリスクがない場合にユーザーへのチャレンジ頻度を過剰に高めると、ユーザーの操作性が損なわれ、場合によってはセキュリティが低下します。ユーザーへのチャレンジの頻度は、回答を思い出すのに十分で、かつ煩雑に感じない程度にするのが適切です。また、表示する質問の数が過剰になると、肩越しに、またはその他の攻撃によって不正行為者に漏えいするわずかな可能性が高まります。一般的に、通常ユーザーに対しては月に1回程度のチャレンジを実行することをお薦めします。疑わしいユーザーはブロックし、システムにアクセスできないようにする必要があります。
段階的ロールアウトKBAは、組織およびユーザーの移行を簡単にするために必要となります。ロールアウトまでの間を空けることで、重要な学習期間が確保され、カスタマ・サービスへの影響が軽減されます。
ユーザーは登録されず、ユーザーの操作性もほとんど変わりません。
ユーザーは登録することを選択できます。
ユーザーは、顧客プロファイルに保存されるイメージ、フレーズおよびチャレンジ質問を登録する必要があります。
最も成功している段階的アプローチには、通常、次のフェーズがあります。最初の2つは、一般的に、ユーザー母集団のサイズおよび構成に応じて、それぞれ1か月から3か月続きます。
影響を少なくするためには、ユーザーのサブグループにユーザーを登録するとき、ロールアウトの時間をずらします。
フェーズ1は、通常、Oracle Adaptive Access Managerリスク評価で構成されます。このフェーズでは、ユーザーの操作性はほとんど変わりません。ユーザーは、既存の方法を使用して引き続きアクセスします。ユーザーの操作性に対するわずかな変更は、ブロックです。非常に高リスクな状況では、このフェーズでのブロックをお薦めします。ブロック・アクションを適用すると、OAAM管理は、不正の防止を最初から開始できます。非常に深刻なセキュリティ違反のみがブロックされるため、通常ユーザーに問題が発生することはありません。フェーズ1は、ビジネスで必要な期間だけ続行できます。通常、組織はフェーズ1に1から3か月留まります。
フェーズ2では、ユーザー母集団に対して仮想デバイスおよび第2認証を徐々に導入します。このフェーズでは、既存のユーザーの母集団または部分母集団において、オプション・ベースで登録が使用可能になります。このオプトインにより、ユーザーは自分の都合に合わせて登録できます。新規ユーザーには、作成後ただちに登録オプションを示す必要があります。この戦略は、一定期間にわたってサポートの負荷を分散し、ユーザーにとっての利便性を高めることに役立ちます。
ユーザーの操作性
ユーザーは、サインオン時の認証に成功した後、チャレンジ質問の登録を求められます。ユーザーは、登録をバイパスして、セッションに進むことを選択できます。
時間をずらしたロールアウト
ロールアウト・フェーズをサブグループに分割すると、労力がより軽減される場合があります。大規模なデプロイメントでは、時間をずらすことをお薦めします。通常、フェーズ2は、時間をずらして実装するのに最適な期間です。時間をずらす場合の最も一般的な手順を次に示します。
ユーザー母集団をグループに分割します。地理的地域は、この分割に最もよく使用される基準です。
時間をずらした開始日を各グループに構成します。
チャレンジ質問の設計のガイドラインを次に示します。
質問では、個人を識別できる情報を回答で要求しないようにします。たとえば、社会保障番号やその他の識別情報を尋ねないようにします。
質問では、インターネットなどの公共の情報源から簡単に見つけることができる回答を求めないようにします。例: 卒業した大学はどこですか。
時間の経過に伴って回答が変化する質問を使用しないようにします。例: ガールフレンドの名前は何ですか。
質問には、簡単に推測できる回答が含まれないようにします。例: 好きな曜日は何ですか。
質問は、1つの宗教、文化またはサブカルチャに固有のものにならないようにします。例: 好きな十二使徒は誰ですか。自分に最も近いと思われるスマーフはどれですか。スター・ウォーズのハット・スペースで好きな種族は何ですか。
検証の適用
多くの検証をローカルにまたはグローバルに適用できます。すべての回答登録には影響しない検証をグローバルに適用しないでください。たとえば、「4桁年(YYYY)」検証がグローバルに適用された場合は、KBA登録中に、数値による回答のみが受け入れられます。これは、回答が通常は英数字となる質問をユーザーが使用可能な場合に問題になります。
質問およびカテゴリの削除
質問およびカテゴリを作成、編集および削除できます。カテゴリおよび質問を削除する場合は注意する必要があります。質問およびカテゴリの数が不足すると、ソリューションのセキュリティに影響を及ぼしたり、ユーザビリティに問題が発生することがあります。たとえば、「1メニュー当たりのカテゴリ数」登録ロジックが、システム内のカテゴリ総数を超える数に設定されている場合、重複した質問がリストされる可能性があります。このことは、ユーザーにとって紛らわしいため、避ける必要があります。
1メニュー当たりの質問数の設定
「1メニュー当たりの質問数」設定は、4から7である必要があります。この範囲にすると、質問セット内の質問が適度に混合され、かつ、単一ユーザーに対して公開する質問の数が過剰になりません。
ユーザーが登録する質問数の設定
「ユーザーが登録する質問数」設定は、3から7である必要があります。これにより、適切なセキュリティを実現するのに十分な質問が提供され、かつ、ユーザーが記憶する負担が過剰になりません。KBAの基本的な業界標準は、3つの登録済質問です。
最大制限と最小制限は、次のプロパティを使用して構成できます。
bharosa.config.type.kba_config.enum.regQuestionsCount.validation.minValue=3 bharosa.config.type.kba_config.enum.regQuestionsCount.validation.maxValue=7
チャレンジ質問の構成
ユーザーが質問を使用できるようにする前に、ロケールを含むすべてのチャレンジ質問を完全に構成することをお薦めします。
チャレンジ質問の無効化
チャレンジ質問を無効化した場合、その質問をすでに所有しているユーザーは、無効化された後もその質問を所有し続けます。ただし、初めて登録したユーザー、または再登録したユーザーには、無効化された質問は示されません。
回答には、次のような要件を適用することをお薦めします。
回答は4文字以上にする必要があります。
登録するとき、2つを超える回答を同じにすることはできません。
回答に含めることができる繰返し文字は2つ以下とします。
特殊文字は使用できません。
回答は、大/小文字が区別されません。
余分な空白は削除されます。
ファジー・ロジックを実装し、その程度は、クライアントが構成できるようにします。
