Oracle Enterprise Single Sign-On Suiteのエンド・ユーザー・コンポーネントの概要
Oracle Enterprise Single Sign-On Suiteは、1つのパスワード(Windowsパスワード)を覚えておくだけで、パスワードを使用する自分のすべてのアカウントへの手早く簡単なアクセスを可能にします。1台のワークステーションで1日中作業する場合や、別の場所に出張する場合、1台のワークステーション(キオスクなど)を共有しているメンバーの1人の場合、システムへのログオンにカード、トークンまたは生体認証を使用する場合でも、自分のWindowsパスワードを覚えるだけで済みます。
さらに、管理者は、これらのコンポーネントの事前構成されたデプロイメントをユーザーに提供できるので、ユーザーはサーバーからアクセスして、企業内のどのワークステーションにもインストールできます。このオプションによって、必要な場合はいつでも、マウスを数回クリックするだけで構成を更新したりロールバックすることができます。
Windowsのパスワードを忘れた場合には、Password Resetにより、パスワードをすぐにリセットできる簡単な解決方法が用意されているため、管理者またはヘルプ・デスクがパスワードをリセットするまで待機する必要はありません。
次にOracle Enterprise Single Sign-On Suiteを構成するコンポーネントとその機能の概要を説明します。コンポーネントの使用に関する完全な情報については、各コンポーネントの項を参照してください。
Oracle Enterprise Single Sign-On Logon Manager (Logon Manager)
このスイートの中核はLogon Managerエージェントです。Logon Manager内では、管理者によって事前構成された自分のアカウントをすべて表示できます。管理者の設定によりますが、次の操作を実行できます。
· アカウントの追加、削除、変更。
· 特定の設定の変更(エージェントがアプリケーションを自動的に認識して、資格証明を送信するかどうかなど)。
· インタフェースの言語の選択および変更。
· プライマリ・ログオン方法の選択および変更。
作業中にアプリケーションに遭遇した際に、オンザフライでそれらを追加することもできます。Logon Managerは新しいアプリケーションを認識して、ユーザーが入力した資格証明を取得します。あるアプリケーションに対してログオンを追加したくない場合は、それを無効にして、エージェントがそのアプリケーションに二度と応答しないようにすることができます。
また、定期的にパスワードを変更する必要があるアプリケーションを使用する場合、Logon Managerはアプリケーションから変更のリクエストを受けたときに、これらのパスワードを自動的に変更できます。
Kiosk Manager
キオスクを複数の同僚で共有する場合、Kiosk Managerは、アカウントが非アクティブのまま指定の時間を過ぎると、ワークステーションをロックして、起動しているアプリケーションを終了し、ユーザーの機密情報を保護します。また、従来の資格証明を入力するか、使用している場合は厳密なオーセンティケータ(カードやトークンなど)を使用して、手動でのセッションのロック設定や、ロック解除も可能です。
Oracle Enterprise Single Sign-On Anywhere (Anywhere)
Anywhereは、管理者が構成したデプロイメント・パッケージをダウンロードして、Logon Managerなどのクライアント・プログラムをインストールすることで、どこからでもすぐに使用できる、便利なポータブル・ソリューションです。構成を行うことは一切なく、必要なものが正確にインストールされます。更新が使用可能になると通知を受け取るので、その新しいデプロイメントをダウンロードしてインストールするだけです。
Oracle Enterprise Single Sign-On Password Reset(Password Reset)
Password Resetは、Webベースのスタンドアロン・コンポーネント・スイートです。Password Resetに初めて登録する場合、管理者が設定した登録インタビューを受けます。ユーザーに質問が提示され、その回答は後で使用するためにPassword Resetに格納されます。Windowsパスワードを忘れた場合は、ボタンをクリックしてリセット・クイズを起動します。クイズでは、登録インタビューで回答したものと同じ質問に回答する機会が与えられます。質問に対して十分な数の正しい回答をすると、Password Resetは、新しいパスワードの入力と確認を行う画面を自動的に表示します。この手順はすぐに完了するので、管理者やヘルプデスクからの連絡を待つ必要はありません。
Oracle Enterprise Single Sign-On Universal Authentication Manager (Universal Authentication Manager)
Logon Managerと同様のインタフェースを使用したUniversal Authentication Managerは、次の認証方法によって、すぐに利用できる、強力で使いやすいセキュリティを提供します。
· スマート・カード
· 近接型カード
· BioAPI
· 指紋
· チャレンジ質問
Universal Authentication Managerは、認証方法としてPassword Resetのチャレンジ質問を利用し、ネイティブWindowsパスワードをサポートし、さらにLogon Manager、および管理者による構成が可能な幅広いオーセンティケータと統合されています。「Logon Methods」タブを使用して、すべてのオーセンティケータのステータスを登録および確認できます。
これらのコンポーネントの使用方法については、該当するコンポーネントの章を参照してください。
Logon Managerによって、ユーザーは、デスクトップ、ネットワーク、インターネット上のパスワードで保護されたアプリケーションに、1つのパスワードを使用してログオンできるようになります。プログラミングやネットワーク・インフラストラクチャの追加を行うことなく、実質的にすべてのアプリケーション(Windowsアプリケーション、Webアプリケーション、独自のアプリケーション、ホスト/メインフレームのアプリケーションなど)で、すぐに機能します。
Logon Managerはインテリジェントなエージェント・ソフトウェアです。個々のアプリケーションまたはWebサイトの資格証明(ユーザー名/ID、パスワードなどの情報)を記憶し、それらのログオン・リクエストに対して自動的に応答します。
Logon Managerをインストールすると、画面右下のWindowsシステム・トレイにLogon Managerトレイ・アイコン
が表示されます。このアイコンが表示されない場合は、次の手順に従ってLogon Managerを起動します。
1. 「スタート」→「プログラム」の順にクリックします。
2. 「Oracle」→「Logon Manager」の順に指定します。
3. 「Logon Manager」をクリックします。
これでLogon Managerトレイ・アイコンがWindowsシステム・トレイに表示されます。「システム・トレイ・メニュー・オプション」を参照してください。
Logon Managerソフトウェアをワークステーションにインストールすると、設定ウィザードにより、手順を追ってプライマリ・ログオンの情報を指定できます。
この手順は、プログラムの初回起動時に実行されます。
このガイドではこれ以降、次のトピックについて説明します。
· アカウントの管理
· 設定
· パスワードの管理
Windowsシステム・トレイでLogon Managerトレイ・アイコンをクリックすると、次のようにプログラム機能のショートカット・メニューが表示されます。
|
|
「Lock Session」オプションは、構成にKiosk Managerが含まれている場合にのみ使用できます。 |
システム・トレイ・アイコンが表示されない場合は、次の手順に従ってLogon Managerを起動します。
1. 「スタート」→「プログラム」の順にクリックします。
2. 「Oracle」→「Logon Manager」の順に指定します。
3. 「Logon Manager」をクリックします。
|
Configure |
Logon Managerを起動します。Logon Managerでは格納されているアカウントが表示され、アカウントの追加、削除および変更、さらに構成設定の管理を行うことができます。 |
||
|
Help |
オプションのサブメニューが表示されます: · 「Oracle Enterprise Single Sign-On Logon Manager」 – Logon Managerのヘルプを起動します。 · 「About」 - Logon Managerのバージョン情報を表示します。 |
||
|
Shut Down |
Logon Managerを停止します。 |
||
|
Pause |
自動プロンプト機能と自動認識機能を含むLogon Managerのログオン機能、および次に示す「Log On Using Logon Manager」メニュー・オプションをオフにします。 |
||
|
Lock Session |
現在のセッションをロックします。 |
||
|
ログオン・リクエストに対して情報を提供するようLogon Managerを設定します。このオプションを使用して、自動認識がオフの場合にLogon Managerを使用するよう指定できます。
アプリケーションまたはWebサイトのログオンを設定していない場合、Logon Managerはその設定をユーザーに促します。
|
Logon Managerを停止するには、システム・トレイ・アイコンをクリックし、ショートカット・メニューから「Shut Down」を選択します。
すべてのアプリケーションのウィンドウ・タイトル・バーに、Logon Managerのタイトル・バー・ボタンを配置できます。タイトル・バー・ボタンでは、構成済のアプリケーションおよびWebサイトに素早くログオンし、作業を進める上で新規アカウントを追加できます。
ログオンを使用または追加するためのショートカット・メニューが表示されるようタイトル・バー・ボタンを設定したり、メニューを省略して、タイトル・バー・ボタンをワンクリック・ログオン・コマンドとして使用できます。
2. 「Settings」パネルをクリックし、「Display」タブを選択します。
3. 「Display the Logon Manager button on all window title bars」を選択し、タイトル・バーのメニューをアクティブ化します。
4. 「Provide a dropdown menu from title bar button」を選択し、タイトル・バー・ボタンのショートカット・メニューをアクティブ化するか、このチェック・ボックスを選択解除してメニューを非アクティブ化します。このオプションを選択解除した場合、タイトル・バー・ボタンをクリックすると、アクティブなアプリケーションへのログオンが開始されます。
5. 変更が完了したら、次のいずれかの操作を実行します。
· 「Apply」をクリックして変更を確認し、Logon Managerを閉じます。
または
· 「Apply」をクリックして変更を確認してから(Logon Managerを終了せずに)、他の「Settings」タブを選択します。
または
· 変更内容を破棄するには、「Cancel」をクリックします。
|
|
タイトル・バー・ボタンおよびメニューを好きなときに非表示にするには、任意のアプリケーションのタイトル・バーでタイトル・バー・ボタンをクリックし、「Hide Title Bar Button」を選択します。 |
Logon Managerでは格納されているアカウントが表示され、アカウントの追加、削除および変更、さらに構成設定の管理を行うことができます。
Logon Managerを表示するには、Windowsシステム・トレイのLogon Managerトレイ・アイコンをクリックしてショートカット・メニューを表示します。「Configure」をクリックします。
· アカウントを追加または作成すると、使用可能なアカウントがLogon Managerの「My Accounts」タブに表示されます。
· Logon Managerの構成オプションは「Settings」パネルで使用できます。
「My Accounts」パネルには格納されているすべてのアカウントが表示され、アカウントの追加、削除、コピーおよび変更を行うことができます。よりすばやくアクセスする場合には、リスト内の目的のアプリケーションを右クリックすると表示されるコンテキスト・メニューで「Modify」、「Copy」および「Delete」コントロールを使用することもできます。このパネルのコントロールは、次のとおりです:
|
|
Add |
新規アカウントを設定するための「New Logon」ダイアログ・ボックスを起動します。 |
|
|
Modify |
「Modify Account」ダイアログ・ボックスが起動して、個々のアカウントに関するアカウント情報または自動動作を変更できます。この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Modify」を選択してアクセスすることもできます。 |
|
|
Copy |
選択したアカウントを複製します。新規アカウントはリストでアプリケーション名の最後に「(2)」が付いて表示されます。この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Copy」を選択してアクセスすることもできます。 |
|
|
Delete |
選択したアカウントをLogon Managerから削除します。確認メッセージ「Are you sure you want to delete the selected item from your system?」が表示されます。「Yes」または「No」を選択します。 この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Delete」を選択してアクセスすることもできます。複数のアイテムを選択して一度に削除するには、[Shift]キーを押しながらクリックまたは[Ctrl]キーを押しながらクリックします。* *複数アイテム選択は、バージョン11.1.1.5.0における新機能です。 |
|
|
Reveal All |
このアイコンは、「Details」ビューが選択されており、1つ以上のアイコンが定義されている場合にアクティブになります。「Reveal All」により、Logon Manager内のすべてのユーザー名/IDおよびパスワードが表示されます。(この機能は、管理者によってアクティブ化された場合のみ使用できます。) |
|
|
View |
1つ以上のアカウントが定義されている場合に、アカウント表示を変更できるようになります。アイコン表示、リスト表示または詳細表示が可能です(Windowsエクスプローラの「表示」オプションと同じ)。「Details」が選択されていると、「Reveal All」オプションが有効になります。(この機能は、管理者によって非アクティブ化されていない場合に使用できます。) |
|
|
Refresh |
アカウント設定を管理者による変更で更新します。(この機能は、管理者によって非アクティブ化されていない場合に使用できます。) |
|
|
Help |
Logon Managerのヘルプ・ファイルを起動します。 |
管理者は2つ以上のアカウントが資格証明共有グループの中で同じユーザー名とパスワードを共有するよう構成する場合があります。一方のアカウントの資格証明が変更されると、資格証明共有グループ内の他方のアカウントの資格証明も変更されます。
1つのアプリケーションで複数の資格証明を必要とする場合(たとえば、Microsoft Outlookで複数のメール・アカウントを持つ場合)などでは、これらの追加の「アイデンティティ」(それぞれの資格証明が異なる)をこの機能から除外することが必要になることがあります。そのような場合には、新しいアカウントを除外するという選択肢があります。この機能は、管理者によって構成されます。
一部のアカウントは、Logon Managerでグレーのアイコンが付いたグレーのイタリック体テキストで表示されます。これらのアカウントを使用しようとしたり、(選択し「Modify」をクリックして)変更しようとすると、次のメッセージが表示されます。
Credential corresponds to an application that is not currently configured in Logon Manager.
このメッセージは、通常はLogon Managerが前のバージョンからアップグレードされたときに表示されます。これは、資格証明は安全に保存されているが、アプリケーション構成(Logon Managerに資格証明の配置場所を示す)もアップグレードする必要があることを意味します。管理者に連絡して、更新されたアカウントを入手してください。
Logon Managerエージェントは、実行中のバージョンおよびインストールされている言語パックに応じて、様々な言語で実行できます。
構成によっては、Logon Managerでエージェントの言語を変更できます。
1. Logon Managerを開きます。
2. 「Settings」パネルを開き、「Display」タブを選択します。
3. 「Language」ドロップダウンの使用可能な言語のリストから選択します。
Logon Managerエージェントのダイアログおよびヘルプ画面はすべて、選択した言語で表示されます。
Logon Managerの使用を開始する前に、設定ウィザードによって、Logon Managerで必要になる情報がすべて用意されているかどうかが確認されます。これは初回使用ウィザード(FTU)とも呼ばれます。Logon Managerを使用するために、リクエストされた情報を指定する必要があります。
|
|
設定ウィザードを取り消した場合、このウィザードを完了するまではLogon Managerを起動するたびに再表示されます。 |
このウィザードでは、次の1つ以上のタスクを実行します。
· ログオン方法を選択して新しいLogon Managerユーザーを作成する。
· 特定のアプリケーションのアカウント情報を追加する。
|
|
設定ウィザードでは、選択したインストール・オプションおよびネットワークの構成に応じて、前述のタスクの一部またはすべてをスキップする場合があります。 |
このページでは、Logon Managerのローカル・インストールに必要な設定タスクがリスト表示されます。
設定を開始するには「Next」をクリックします。
1. ドロップダウン・リスト・ボックスから、プライマリ・ログオン方法として使用するオーセンティケータを選択します。通常のインストールでは、これは「Windows Logon v2」です。これは、パスワードで保護されたアプリケーションにアクセスする際に、Windowsパスワードを使用することを意味します。
2. ネットワーク・リソースおよび管理によっては、選択できるプライマリ・ログオン方法が他にもある場合があります。使用可能なオーセンティケータは次のとおりです。
· Windows Logon v2。WindowsへのログオンによるLogon Managerへのログオンを可能にするプラグインです。「Windows Logon v2」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Windows Logon。WindowsへのログオンによってLogon Managerへのログオンを可能にするプラグインです。(このオーセンティケータはバージョン11.1.2から非推奨になりました)。
· LDAP。LDAPディレクトリへのログオンによるLogon Managerへのログオンを可能にするプラグインです。
· LDAP v2。LDAPディレクトリへのログオンによるLogon Managerへのログオンを可能にするプラグインです。「LDAP v2」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Entrust。Entrust PKIおよびEntelligenceクライアントへのログオンによってLogon Managerへのログオンを可能にするプラグインです。
· Proximity Card。 HID近接型カードによる認証をサポートするオーセンティケータ・プラグインです。
· Smart Card。MS-CAPI対応のスマート・カードを使用したLogon Managerへのログオンを可能にするプラグインです。「Smart Card」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Read-Only Smart Card。読取り専用スマート・カードを使用したLogon Managerへのログオンを可能にするプラグインです。
· RSA SecurID。RSA SecurIDトークンによって生成されるワンタイム・パスワードを使用したLogon Managerへのログオンを可能にするプラグインです。
· Authentication Manager。Authentication Managerでは、Logon Managerに対する認証のために複数のログオン方法を許可する機能が追加されます。これは、スマート・カード、近接型カード、読取り専用スマート・カードなどの強力な各種オーセンティケータ・オプションをサポートします。
· Universal Authentication Manager。強力な各種オーセンティケータ・オプションによってLogon Managerに認証機能を追加します。このオプションは、Universal Authentication Managerクライアントをインストールしている場合に使用できます。
3. 選択したら、「Next」をクリックして続行します。
プライマリ・ログオン方法として「Windows Authentication」を選択した場合、Windowsネットワーク・ログオン・プロンプトが表示されます。表示されたユーザー名およびドメインに対してWindowsネットワーク・パスワードを入力し、「OK」をクリックします。
プライマリ・ログオン方法としてスマート・カードを選択した場合、スマート・カード・プロンプトが表示されます。スマート・カードを挿入してから、PINを入力します。「OK」をクリックします。
「Windows Authentication v2」、「Smart Card」または「LDAP v2」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問(単数または複数)に対する回答を入力し(最小長に注意)、「OK」をクリックします。
|
|
プライマリ・ログオンの確認時に「Change Passphrase」オプションを選択することで、後からいつでもパスフレーズを変更できます。 |
|
|
このページには、管理者が事前構成済アプリケーションのリストを提供しているかが表示されます。これにより、アプリケーションごとのログイン資格証明を格納できます。 |
1. 使用するアプリケーションごとに、「Username/ID」、「Password」およびその他のリクエストされた情報を入力します。1つ以上のアイテムを確認用に再入力する必要がある場合があります。
2. 「Next」をクリックして続行します。
設定を完了する前に変更する場合は、「Back」をクリックして前の設定ウィザード・ページに戻ります。
それ以外の場合は、「Finish」をクリックして設定を完了します。これでLogon Managerを使用する準備ができました。
Logon Managerを初めて設定する場合、プライマリ・ログオン方法(オーセンティケータとも呼ばれる)の選択が求められます。
ワークステーションおよびネットワークの認可ユーザーは、オーセンティケータに提示する資格証明(ユーザー名/ID、パスワードなどの情報)によって識別されます。
ほとんどの場合、プライマリ・ログオンはWindows Logon v2で、プライマリ・アカウントの資格証明はWindowsのユーザー名/ID、パスワードおよびネットワーク・ドメインです。
Logon Managerでは、Windowsアプリケーション、ホスト/メインフレーム・アプリケーション、パスワードで保護されているWebサイトなど、パスワードを必要とするあらゆる環境にプライマリ・ログオン方法を使用できます。
プライマリ・ログオン情報を使用することによって、ユーザーが最初にログオンしたユーザーと同じユーザーであることが確認されます。
インストール環境やリソースに合わせて、プライマリ・ログオンは次のいずれかに設定できます。
· Windows Logon v2。 WindowsへのログオンによってLogon Managerへのログオンを可能にするプラグインです。「Windows Logon v2」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Windows Logon。WindowsへのログオンによってLogon Managerへのログオンを可能にするプラグインです。(このオーセンティケータはバージョン11.1.2から非推奨になりました)。
· LDAP。LDAPディレクトリへのログオンによるLogon Managerへのログオンを可能にするプラグインです。
· LDAP v2。LDAPディレクトリへのログオンによるLogon Managerへのログオンを可能にするプラグインです。「LDAP v2」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Entrust。Entrust PKIおよびEntelligenceクライアントへのログオンによるLogon Managerへのログオンを可能にするプラグインです。
· Proximity Card。 HID近接型カードによる認証をサポートするオーセンティケータ・プラグインです。
· Smart Card。MS-CAPI対応のスマート・カードを使用したLogon Managerへのログオンを可能にするプラグインです。「Smart Card」を選択した場合、1つ以上のパスフレーズ質問が表示されます。これはセキュリティ強化のために使用されます。
· Read-Only Smart Card。読取り専用スマート・カードを使用したLogon Managerへのログオンを可能にするプラグイン。
· RSA SecurID。 RSA SecurIDトークンによって生成されるワンタイム・パスワードを使用したLogon Managerへのログオンを可能にするプラグイン。
· Authentication Manager。Authentication Managerでは、Logon Managerに対する認証のために複数のログオン方法を許可する機能が追加されます。これは、スマート・カード、近接型カード、読取り専用スマート・カードなどの強力な各種オーセンティケータ・オプションをサポートします。
· Universal Authentication Manager。強力な各種オーセンティケータ・オプションによってLogon Managerに認証機能を追加します。このオプションは、Universal Authentication Managerクライアントをインストールしている場合に使用できます。
プライマリ・ログオン方法はいつでも変更でき、必要に応じてオーセンティケータをインストールまたは削除できます。
Windowsシステム・トレイのLogon Managerトレイ・アイコンをクリックして、ショートカット・メニューを表示し、「Configure」を選択します。
1. Logon Managerで「Settings」パネルを選択します。
2. 「Authentication」タブをクリックします。
3. 「Primary Logon Method」の下にある「Change」をクリックします。
4. 設定ウィザードにより、プライマリ・ログオンを変更するために実行するステップがリスト表示されます。「「Next」」をクリックして続行します。
5. 現在のプライマリ・ログオンを指定するよう求められます。プライマリ・ログオン・パスワードを入力してから「OK」をクリックします。
6. 設定ウィザードにより、プライマリ・ログオンの選択ページが表示されます。ドロップダウン・リスト・ボックスからプライマリ・ログオン方法を選択し、「Next」をクリックして続行します。
7. 新しいプライマリ・ログオンの資格証明を指定するよう求められます。ユーザーIDとパスワードを入力し、追加情報を入力または選択して、「OK」をクリックします。
|
|
新しいプライマリ・ログオンがスマート・カードである場合、リーダーにカードを挿入し、暗証番号(PIN)を入力するよう求められます。新しいプライマリ・ログオンが生体認証デバイスである場合、指紋リーダーに指を置くよう求められます。 |
8. 設定ウィザードにより、新規認証が成功したことが確認されます。次のいずれかを実行できます。
· 変更を取り消して以前のプライマリ・ログオン方法をリストアするには、「Cancel」をクリックします。
または
· プライマリ・ログオンの変更を完了するには、「Finish」をクリックします。「Primary Logon Method」ダイアログ・ボックスが表示されます。「Close」をクリックして閉じます。
Logon Managerは、ワークステーションに最初にログオンしたユーザーと同じユーザーであることを定期的にチェックして確認するよう構成できます。
パスワードで保護されたアプリケーションを起動すると、最後の自動ログオンから特定の間隔(デフォルトは15分)が経過している場合、Logon Managerはプライマリ・ログオン・パスワードを要求します。プライマリ・ログオンとして、パスワード以外のログオン方法(スマート・カード、バイオメトリック、生体認証)を使用している場合、適切な認証方法(PIN、指紋など)の指定が求められます。
また、アプリケーションのパスワードを変更した場合、その他のアカウント管理タスクを実行した場合、またはアプリケーション自体がこのチェックを必要としている場合、Logon Managerはチェックを自動的に実行します。
間隔を変更したり、この機能をオフにするには、「Settings」パネルの「Authentication」タブで「Timer」設定を変更します。
Logon Managerをインストールしたときに、1つ以上のオーセンティケータをインストールするオプションがありました。オーセンティケータをすべてインストールしたわけではない場合、この手順によってインストールできます。現在インストールされているオーセンティケータは、「Primary Logon Method」ダイアログ・ボックスにリストされます。
|
|
プライマリ・ログオン方法をインストールおよび削除する次の手順は、通常は管理者が実行するために用意されています。 |
1. 「コントロール パネル」を開き、オペレーティング・システムに応じて次の操作を実行します。
· Windows XPまたはWindows Server 2003を使用している場合は、「プログラムの追加と削除」をダブルクリックします。
または
· Windows 7またはWindows Server 2008を使用している場合は、「プログラムと機能」をダブルクリックします。
2. 「Logon Manager」を選択します。
3. 「変更」をクリックします。
4. Logon ManagerのInstallShieldウィザードが表示されます。画面に目を通してから、「Next」をクリックします。
5. 「Modify」オプションを選択し、「Next」をクリックします。
6. 「Authenticators」の横にある+をクリックしてリストを開きます。
7. インストールするオーセンティケータの横にあるXアイコンをクリックします。
8. ショートカット・メニューから、「This feature will be installed on the local hard drive」を選択します。
9. ステップ7および8を繰り返して、オーセンティケータを追加インストールします。
10. 「Next」をクリックします。
11. 画面に目を通してから、「Next」をクリックします。
12. 画面のプロンプトに従います。
Logon Managerでは、次の2つの方法でアカウントを作成できます。
· Logon Managerを使用してアカウントを作成し、資格証明の構成、編集および管理を行うことができます。
· 資格証明を必要とするアプリケーションを起動したときに、「オンザフライ」でアカウントを作成できます。次の2つのいずれかの方法で作成します。
o 資格証明の自動取得。デフォルトでは、ログオンを必要とするアプリケーションをユーザーが初めて使用すると、Logon Managerは、そのユーザーが入力した資格証明を自動的に取得します。構成によっては、資格証明を確認して許可する必要があります。詳細は、「資格証明の自動取得」を参照してください。
o 自動プロンプトの使用。管理者が資格証明の自動取得を無効にしている場合、Logon Managerは新規のログオン・リクエストを検出して、「New Logon」ダイアログ・ボックスを表示します。これで、ログオン時に資格証明を保存できます。詳細は、「自動プロンプトを使用したアカウントの設定」を参照してください。
多くのアプリケーション(パスワードの入力と確認を必要とするアプリケーションや複数の場所にアカウントを持つWebページなど)は、複数のフィールドに同じ資格証明を入力する必要があります。また、一部のアプリケーションでは、ユーザー名とパスワード以外のフィールドにも資格証明の入力が求められることもあります。Logon Managerの機能を最大限に活用するためには、このようなアプリケーションについて管理者による事前構成が必要です。*
*この機能はバージョン11.1.1.5.0での新機能です。
状況によっては、特定のアプリケーションにアクセスできないように、管理者がユーザー・アカウントを構成することがあります。このようなアプリケーションの資格証明を追加しようとすると、アカウントがアプリケーションに対して除外されていることを示すメッセージが表示され、Logon Managerの資格証明を保存できなくなります。また、作成済のアカウントについて管理者がアプリケーションを除外すると、応答が停止し、アカウント・リストから削除されます。
Logon Managerで、「Add」をクリックして新しいアカウントを設定します。「New Logon」ダイアログ・ボックスが表示されます。
次の手順では、「New Logon」ダイアログ・ボックスを使用してアカウントを追加する方法を、アプリケーション・タイプごとに説明します。
この手順はタイプごとに類似しています。ユーザーはアプリケーションを識別してから、資格証明(アプリケーションで入力を要求されるユーザー名/ID、パスワードおよびその他の情報)を指定します。
Logon Managerで構成されていないWindowsアプリケーションのアカウントを追加する場合は、「Username/ID」および「Password」フィールドをポイントおよびクリックすると、これらのフィールドの確認が求められます。
単一アプリケーションに複数のアカウントを作成するオプションも提供されます。これは、複数の資格証明セットがあるアプリケーションに有用であり、たとえば1つのアカウントに複数の電子メール・アカウントがある場合などが挙げられます。
Logon Managerで複数のアカウントを持つアプリケーションが検出された場合は、「Logon Chooser」ダイアログ・ボックスが表示されるので、使用するアカウントをここで選択できます。
アプリケーションの選択
1. 「New Logon」ダイアログ・ボックスで、「Windows」オプションを選択し、ドロップダウン・リスト・ボックスからアプリケーションを選択します。追加するアプリケーションがリストされていない場合は、「リストされていないWindowsアプリケーションのアカウントの追加」を参照してください。
2. 「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明がリクエストされます。
1. アプリケーションに対して「Username/ID」を入力し、「Password」を入力し、さらに「Confirm Password」にパスワードを再入力します。「Reveal」をクリックするとパスワードを表示できます。
|
|
設定するアプリケーションの要件に応じて、Microsoft Outlookのドメイン名などの追加フィールドの入力が求められる場合があります。 同様に、一部のアプリケーションでは、ユーザー名およびIDは必要ありません。そのような場合は、「Username/ID」ボックスは使用できません。 RSA SecurIDアプリケーションを設定している場合、「PIN」および「Software Token」への入力が求められます。PINは、RSAミドルウェアを介して設定されます。「Software Token」フィールドは、使用可能なトークンのシリアル番号が検出されると自動的に移入されます。 |
2. 次のいずれか1つを実行します。
· 「Finish」をクリックします。Logon Managerに戻り、先ほど作成したアカウントがリストされます。
または
· 設定が可能な場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon Managerにアカウントが追加されて、「New Logon」ダイアログ・ボックスが再表示されます。
|
|
資格証明共有グループの一部である既存のアプリケーションについて新規アカウントを追加する場合は、「Exclude from credential sharing group」を選択します。このアプリケーションについて作成した最初のアカウントの場合は、このチェック・ボックスを選択解除したままにします。詳細は、Oracle Enterprise Single Sign-Onユーザーズ・ガイドの資格証明を共有するアプリケーションに関する説明を参照してください。 |
リストされていないWindowsアプリケーションのアカウントの追加
管理者の設定によりますが、事前定義のアプリケーション・リストにはないアプリケーションのログオンを追加できる場合があります。この手順の説明を次に示します。
1. アカウントを設定するWindowsアプリケーションを開きます。これはターゲット・アプリケーションです。
|
|
ターゲット・アプリケーションで、認証用の3つ以上のフィールドが必要である場合、この手順では管理者がフィールドのテンプレートを作成する必要があります。管理者に連絡してください。 |
2. ターゲット・アプリケーションの「Logon」ダイアログ・ボックスが表示された場合、Logon Managerに戻ります。Logon Managerおよびターゲット・アプリケーションの「Logon」ダイアログ・ボックスの両方が表示されるように、ウィンドウを並べ替えます。
3. 「New Logon」ダイアログ・ボックスで、「Windows」オプションを選択し、ドロップダウン・リスト・ボックスから「Application not in list」(デフォルト)を選択します。
4. ターゲット・アプリケーションの「Application Name」およびオプションで「Description」を入力します。
5. 「Next」をクリックします。
6. 「New Logon」には2つのアイコンが表示されます。
7. 「Username/ID」アイコンをクリックし、ターゲット・アプリケーションの「Logon」ダイアログ・ボックスの「Username」または「User ID」フィールド内をクリックします。アイコンの上に緑色のチェック・マークが表示されます。
8. 「Password」アイコンをクリックし、ターゲット・アプリケーションの「Logon」ダイアログ・ボックスの「Password」フィールド内をクリックします。アイコンの上に緑色のチェック・マークが表示されます。
9. 「Next」をクリックします。「New Logon」ダイアログ・ボックスが表示され、資格証明がリクエストされます。
1. アプリケーションに対して「Username/ID」を入力し、「Password」を入力し、さらに「Confirm Password」にパスワードを再入力します。「Reveal」をクリックするとパスワードを表示できます。
2. 次のいずれか1つを実行します。
· 「Finish」をクリックします。Logon Managerに戻り、先ほど作成したアカウントがリストされます。
または
· 設定が可能な場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon Managerにアカウントが追加されて、「New Logon」ダイアログ・ボックスが再表示されます。
|
|
RSA SecurIDアプリケーションを設定している場合、「PIN」および「Software Token」への入力が求められます。PINは、RSAミドルウェアを介して設定されます。「Software Token」フィールドは、使用可能なトークンのシリアル番号が検出されると自動的に移入されます。 |
1. 「New Logon」ダイアログ・ボックスで「Web」オプションを選択し、ドロップダウン・リストからWebサイトを選択します。追加するWebサイトがリストにない場合は、「リストされていないWebサイトのアカウントの追加」を参照してください。
2. 「Next」をクリックします。「New Logon」ダイアログ・ボックスが表示され、資格証明がリクエストされます。
1. Webサイトに対して「Username/ID」を入力し、「Password」を入力し、さらに「Confirm Password」にパスワードを再入力します。「Reveal」をクリックするとパスワードを表示できます。
2. 次のいずれか1つを実行します。
· 「Finish」をクリックします。Logon Managerに戻り、先ほど作成したアカウントがリストされます。
または
· 設定が可能な場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon Managerにアカウントが追加されて、「New Logon」ダイアログ・ボックスが再表示されます。
|
|
資格証明共有グループの一部である既存のアプリケーションについて新規アカウントを追加する場合は、「Exclude from credential sharing group」を選択します。このアプリケーションについて作成した最初のアカウントの場合は、このチェック・ボックスを選択解除したままにします。詳細は、Oracle Enterprise Single Sign-Onユーザーズ・ガイドの資格証明を共有するアプリケーションに関する説明を参照してください。 |
1. 「New Logon」ダイアログ・ボックスで「Web」オプションを選択します。ドロップダウン・リスト・ボックスから「Web application not in list」(デフォルト・オプション)を選択します。Webアドレスを入力するテキスト・ボックスが表示されます。
|
|
ターゲットWebサイトで、認証用の3つ以上のフィールドが必要である場合、この手順では管理者リソースが必要です。管理者に連絡してください。 |
2. アカウントを設定するWebサイトの「URL」を入力します。
3. 「Application Name」およびオプションで「Description」を入力します。
4. 「Next」をクリックします。「New Logon」ダイアログ・ボックスが表示され、資格証明がリクエストされます。
1. Webサイトに対して「Username/ID」を入力し、「Password」を入力し、さらに「Confirm Password」にパスワードを再入力します。「Reveal」をクリックするとパスワードを表示できます。
2. 次のいずれか1つを実行します。
· 「Finish」をクリックします。Logon Managerは、作成したアカウントがリストされたLogon Managerを戻します。
または
· 設定が可能な場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon ManagerはこのLogon Managerにアカウントを追加し、「New Logon」ダイアログ・ボックスを再表示します。
1. 「New Logon」ダイアログ・ボックスで、「Mainframe」オプションを選択し、ドロップダウン・リスト・ボックスからアプリケーションを選択します。「Application Name」フィールドにターゲット・アプリケーションを入力し、オプションで「Description」を入力します。
2. 「Next」をクリックします。「New Logon」ダイアログ・ボックスが表示され、資格証明がリクエストされます。
1. Webサイトに対して「Username/ID」を入力し、「Password」を入力し、さらに「Confirm Password」にパスワードを再入力します。「Reveal」をクリックするとパスワードを表示できます。
2. 次のいずれか1つを実行します。
· 「Finish」をクリックします。Logon Managerは、作成したアカウントがリストされたLogon Managerを戻します。
または
· 設定が可能な場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon Managerにアカウントが追加されて、「New Logon」ダイアログ・ボックスが再表示されます。
自動プロンプト機能を使用するには、「Settings」パネルの「Response」タブでこの機能をアクティブにする必要があります。
1. 「Logon Manager」を開きます。
2. 「Settings」パネルをクリックし、「Response」タブを選択します。
3. 「Auto-Prompt」チェック・ボックスが選択されていることを確認します。選択されていない場合は選択し、「Submit」をクリックします。
|
|
自動プロンプト機能は、Logon Managerのインストール時にデフォルトで有効になります。管理者は、すべてのユーザーについて自動プロンプトを有効または無効にできます。 |
自動プロンプトが有効な場合、パスワード保護されたアプリケーションまたはWebサイトにアクセスした場合に、Logon Managerによって自動検出されます。そのアプリケーションまたはWebサイトに対する資格証明をすでに提供済の場合、Logon Managerでは資格証明が適切なフィールドに自動入力され、ログオンが行われます。
資格証明がすでに提供済であるアカウントの例:
すでに資格証明を提供済であるアプリケーションである、Lotus Notesを起動します。Lotus Notesを開くとすぐに、Logon Managerではこのログオン画面の資格証明に関するリクエストが認識されます。
Logon Managerにより該当するフィールドにパスワードが入力され、「OK」ボタンがクリックされ、Lotus Notesへのログオンが行われます。
資格証明を提供済ではないアカウントの例:
対照的に、資格証明を提供済ではないアプリケーションまたはWebサイトを起動したとします。
Logon Managerで、資格証明を以前に格納していないアプリケーションが検出された場合、「New Logon」ダイアログ・ボックスが表示され、アプリケーションのアカウント情報の追加が求められます(管理者が自動プロンプト機能を無効にしている場合を除きます)。
「New Logon」ダイアログ・ボックスが表示されたら、次のいずれかを実行します。
· アプリケーションのアカウントを追加する場合は、表示されたフィールドに値を入力し、「OK」をクリックします。この情報はLogon Managerに格納され、このアプリケーションを起動すると、自動的にログオンが行われます。
· アプリケーションのアカウントの追加を一時的に遅延する場合は、「Cancel」をクリックします(使用可能な場合)。アプリケーションを次回起動すると、Logon Managerによってアカウントの追加が求められます。
· 検出されたアプリケーションに対する新規ログオン・プロンプトを永続的に無効にする場合は、「Disable」をクリックします(使用可能な場合)。Logon Managerでは、そのアプリケーションのアカウントの追加を促すプロンプトが表示されなくなり、そのアプリケーションは「Settings」パネルの「Exclusions」タブにある無効化されたアプリケーションのリストに追加されます。
|
|
アプリケーションの無効化を選択した場合、Logon Managerトレイ・アイコンから「Log On Using Logon Manager」を選択すると、Logon Managerを有効に戻すことができます。 将来、Logon Managerがアプリケーションの次回起動時に自動的に資格証明の入力を求めるよう指定する場合は、「Exclusions」リストからそのアプリケーションを削除します。 |
資格証明共有グループ
管理者は、資格証明共有グループと呼ばれる、同じ資格証明を使用するアカウントのグループを作成できます。資格証明共有グループから最初のアカウントが追加される場合、ユーザーが自分の資格証明を入力できるように、フィールドが空の状態の「New Logon」ダイアログ・ボックスが表示されます。後続のアカウントを作成するグループ内のユーザーに対して表示される「New Logon」ダイアログ・ボックスは、管理者のプリファレンスに応じて、フィールドが空で編集可能であるか、または事前移入されており編集不可となります。
メンバーがグループ外のアカウントを作成できるよう、管理者が資格証明共有グループを構成している場合は、「New Logon」ダイアログ・ボックスに「Exclude account from credential sharing groups」の設定が含まれます。その場合は、自分で選択した情報によって共有資格証明のフィールドを編集できます。共有フィールドを編集可能にするには、「Exclude account from credential sharing groups」を選択します。
管理者は、資格証明を透過的に取得するようアプリケーションを構成する場合があります。このようなアプリケーションを起動すると、Logon Managerはユーザーによる資格証明の入力を待機し、入力された資格証明を取得します。管理者の構成に応じて、このモードでの資格証明の入力が終了すると、次のいずれかが実行されます。
· Logon Managerは通知することなく資格証明を取得します。
または
· アイコン・トレイ・メニューにバルーン・ヒントが表示され、資格証明が取得中であることが通知されます。後で資格証明を検証する必要はありません。
または
· 資格証明が取得中であることを通知するバルーン・ヒントがアイコン・トレイ・メニューに表示され、フィールドに入力データがすでに移入された「New Logon」ダイアログ・ボックスが表示されます。情報が正しいことを確認し、必要に応じて編集することができ、「Save」をクリックします。
以前「Exclusions」タブのリストにアプリケーションを追加した場合、または管理者がアプリケーションからユーザー・アカウントを除外した場合(詳細は、「アカウントの管理」の「管理者によって構成された除外」を参照してください)、Logon Managerはアプリケーションを無視します。追加した資格証明は取得されず、「New Logon」ダイアログ・ボックスが表示されないか、資格証明が取得されていないことが通知されます。
この機能は、バージョン11.1.1.5.0における新機能です。
Logon Managerの「Modify」アイコン 
を使用して、またはアカウントをダブルクリックして、個々のアカウントに関するアカウント情報または自動動作を変更できます。このダイアログ・ボックスから、次の操作を実行できます。
· アカウントがアプリケーションに送信する「Username/ID」、「Password」またはその他のフィールドを変更します。
· アプリケーション情報を編集します。「Username/ID」、「Password」、「Application」の「Name」および「Description」を編集します。
· 選択したアカウントの自動レスポンス・オプションのオン/オフを切り替えます。
· 自動認識。 この設定は、アプリケーションからリクエストされた場合にLogon Managerが資格証明を自動的に提供するかどうかを指定します。
この機能を有効にすると、Logon ManagerはアプリケーションおよびWebサイトを認識し、自動的にログオンを実行します。
この機能が有効でない場合、Logon Managerがログオン・リクエストに応答するよう手動でリクエストする必要があります。これは、システム・トレイ・アイコン・メニューから実行できます。「Log On Using Logon Manager」を選択します。
「Auto-Recognize」チェック・ボックスは、次の3つの状態が考えられます。
o チェックマークが付いていない場合は、選択したアプリケーションに対してオフであることを意味します。
o チェックマークが付いている場合は、選択したアプリケーションに対してオンであることを意味します。
o 緑色のボックスは、グローバル設定によって、選択したアプリケーションに対してアクションが定義されていることを意味します。
· 自動送信。この設定は、Logon Managerがアプリケーションに対して資格証明を自動送信するかどうかを指定します。たとえば、ログオンを開始するには、「OK」、「Submit」、または「Enter」を選択します。
|
|
システム構成によって、「Auto-Recognize」および「Auto-Submit」オプションを使用できる場合とそうでない場合があります。 すべてのアプリケーションに対して自動認識をグローバルに設定するには、「Settings」パネルの「Response」タブにある「Auto-Recognize」オプションを使用します。 このダイアログ・ボックスの設定は、グローバルな「Auto-Recognize」の設定より優先されます。 |
1. 「Logon Manager」を開きます。
2. 「My Accounts」パネルで、アカウントを選択します。
3. リストでアカウントをハイライト表示し、「Modify」アイコンをクリックするか、またはアカウントをダブルクリックします。選択したアカウントの「Modify」ダイアログ・ボックスが表示されます。
|
|
アカウントがグレーのテキストで表示されている場合に「Modify」をクリックすると、「Credential corresponds to an application that is not currently configured in Logon Manager」というメッセージが表示されます。詳細は、「構成済資格証明なしのアカウント」のセクションを参照してください。 |
4. 必要に応じて情報を変更します。
5. 変更が完了したら、「OK」をクリックします。
ログオンおよびパスワード変更のフィールドが同じウィンドウに表示されるアプリケーションをLogon Managerが検出した場合、Logon Managerでは、アプリケーションにログオンするか、アプリケーションのパスワードを変更するかを選択するためのプロンプトが表示されます。
目的のアクションを選択するには:
1. アクションを選択します。
2. 「OK」をクリックします。
同じアカウントに対して、2つ以上の異なる資格証明セットを所有する場合があります。その場合、同じアプリケーションのすべてのアカウントを認識し、どのアカウントにログオンするかの選択を促すよう、Logon Managerを設定できます。
アプリケーションまたはWebサイトを開くと、Logon Managerでは「Logon Chooser」ダイアログ・ボックスによりプロンプトが表示されます。
列はすべて、列名見出しをクリックすることでソートできます。ソート順序を選択すると、順序が保持され、次回このダイアログが表示されたときに同じ列がソートされます。
次のいずれかを実行します。
· ログオンするアカウントを選択し、「OK」をクリックします。
· 「Add」をクリックし、このアプリケーションの別のアカウントを追加します。
· 「Cancel」をクリックしてこのダイアログを閉じます。Logon Managerによるアプリケーションへのログオンは行われません。
自動認識機能を有効にすると、Logon Managerは、アプリケーションおよびWebサイトからのログオンおよびパスワード変更のリクエストを自動的に検出し、これに応答します。
アカウントの設定時に不正なパスワードを入力したか、あるいは別のコンピュータからアプリケーションのパスワードを変更した場合、Logon Managerは誤ったパスワードを指定します。この場合、アプリケーションはログオン・リクエストを繰り返し、Logon Managerは「Retry Logon」ダイアログ・ボックスを表示します。
間違ったパスワードを入力した場合、または別のコンピュータからパスワードが変更された場合は、「Retry Logon」ダイアログ・ボックスが表示されます。
このダイアログ・ボックスでは、「Username/ID」、「Password」、および必要に応じて追加のログオン・フィールドの精度をレビューするよう促されます。
次のいずれかを実行します。
· 「Reveal」をクリックし、入力したパスワードを表示します。
· 必要に応じてアカウント情報を編集し、「OK」をクリックしてログオンを再試行します。
|
|
「Save Changes」チェック・ボックスを選択すると、Logon Managerでは、次回このアプリケーションまたはWebサイトにログオンしたときに同じ資格証明が使用されます。入力した新しい資格証明を将来使用するために保存しない場合は、このオプションを選択解除します。 |
· Logon Managerを再起動するか、Logon Managerでアカウントを変更するまで、アプリケーションまたはWebサイトのログオン試行を一切停止するには、「Cancel」をクリックします。
Webメール・サービスなどの一部のアプリケーションでは、ログアウトするとログオン・ページが表示されるため、Logon Managerがログオン・フォームを認識して、アプリケーションに自動的に再度ログオンしてしまいます。これにより、エンドレスな「ログオン・ループ」が発生し、ユーザーはアプリケーションからログアウトできなくなります。このループを回避するために、管理者はログオン猶予期間の機能を有効にして、最後のログオンから特定の期間中はLogon Managerによるアプリケーションへのログオンが行われないようにすることができます。
また、アプリケーションのログアウト時に再度ログインするかどうかを確認するようにLogon Managerを構成することもできます。いずれの場合も、猶予機関が経過するかまたはアプリケーションを閉じて再度開くか、どちらかが先に発生するまでは、Logon Managerによって自動的にアプリケーションにログオンされることはありません。
ログオン・ループが発生した場合は、管理者に猶予期間機能を有効にするよう依頼してください。
アカウント資格証明の委任により、あるユーザーが別のユーザーに対して、自分のアプリケーション資格証明への一時的なアクセス権を付与できます。これが起こり得る一般的な状況には、休暇で職場を離れる予定であったり、厳しい納期に合せるために同僚を補充した場合などがあります。このような場合、自分以外の人間が代理で自分のアプリケーションおよびデータにアクセスできる必要があります。管理者は、ユーザーが委任済資格証明機能を使用して、Logon Manager内の別のユーザー・アカウントとアクセス権の受渡しができるよう、アプリケーションを構成できます。
Logon Managerの構成に資格証明の委任および受取りを行う機能が含まれている場合は、Logon Managerの左側のペインに「Delegated」オプションが表示されます。
「Delegated」設定により、委任を受ける/委任を行う委任済アカウントを表示および管理できます。アカウントが自分に委任された場合、「Account Delegated From」列に委任者がリストされます。アカウントを別のユーザーに委任した場合、「Account Delegated To」列に代理人がリストされます。
「Delegated Accounts」メニュー最上部のアイコンを使用して、資格証明を委任および失効できます。
|
|
Delegate My Account |
アカウント委任プロセスを開始します。アカウント資格証明を受け取る別のユーザーを指定し、アカウント・アクセスの条件を指定するようプロンプトが表示されます。 アカウントを委任すると、「Delegated Accounts」列に表示されます。 |
|
|
Revoke My Account |
別のユーザーによる自分のアカウントへのアクセスを中止できます。このアイコンは、選択したアカウントが委任された場合にのみ有効になります。 |
|
|
Refresh |
委任済アカウントの変更をリポジトリと同期します。委任者が委任を開始または失効すると、同期が自動的に行われます。 |
別のユーザーに対するアカウントの委任
アカウントを委任するには:
1. Logon Managerの「Delegated」ビューで、委任するアカウントを選択します。
2. 「Delegate My Account」アイコンをクリックします。
3. プロンプトにパスワードを入力します。
4. 表示されたダイアログで、代理人を指定して委任ポリシーを構成します。
· 代理人を指定するには:
o 代理人のユーザー名(通常はユーザーの電子メール・アドレス)を入力します。
または
o ユーザー履歴ドロップダウン・リスト(過去に資格証明を委任したユーザーのリスト)からユーザーを選択します。
· ポリシーを構成するには、代理人がこのアカウントを使用できる日数を設定します。この設定の下に表示される最大日数には、テンプレート・ポリシーで管理者が設定した日数が反映されます。
5. 「OK」をクリックします。
アカウントが委任され、サーバーは資格証明を委任するよう指示を受け取ります。委任プロセスの完了後、「Delegated」タブの「Delegated Accounts」リストにアカウントが表示されます。
別のユーザーからの委任済アカウントの受取
別のユーザーがアカウントを委任してくると、Windowsパスワードの入力を求めるプロンプトが表示されます。
認証後、委任を受け入れるかどうかを尋ねるプロンプトが表示されます。
受入を確認すると、委任済アカウントが、委任されていることを示す特殊なアイコンとともにLogon Managerの「My Accounts」タブに表示されます。
また、アカウントは「Delegated」タブの「Delegated Accounts」列に、アカウントの委任者であるユーザーの名前とともに表示されます。
委任済アカウント・プロパティの表示
自分に委任されているアカウントのプロパティを表示するには、Logon Managerでアカウントを選択し、「Modify」アイコンを選択します。アカウントの「Properties」ウィンドウが表示されます。「Details」タブに、このダイアログで一般的に表示されるアカウントに関する一般情報がリストされます。さらに、委任済アカウントの「Policy」タブがあります。
「Policy」タブを選択すると、委任ポリシーのプロパティ(委任の有効期限が切れる日時、アカウントを使用できる日数および時間数)が表示されます。
委任済資格証明の更新
委任済アカウントのポリシーを変更するには、元の委任プロセスを繰り返します。既存の代理人にポリシーの更新を適用するには、アカウントを失効させて再委任する必要があります。
委任済資格証明の失効
ポリシーで設定された有効期限日時より前に資格証明を失効させるには:
1. 「Delegated」タブで、資格証明を失効させるアカウントを選択します。
2. 「Revoke My Account」アイコンをクリックします。
3. 認証ダイアログにパスワードを入力します。
4. 「Confirm Revoke」ダイアログが表示されたら、「Yes」をクリックします。
「Delegated」タブで、代理人の名前がそのアカウントの隣に表示されなくなります。
ユーザー自身が代理人である場合、委任者がアカウントを失効させると、認証を求めるプロンプトが表示されます。資格証明を入力すると、アカウントは委任済アカウントのリストに表示されなくなります。
特権アカウントは、サーバーやデータベースなどの重要な情報技術リソースを担当するユーザーに適用されます。特権アカウントの使用を割り当てられると、Logon Managerの「Privileged」タブにそのアカウントが表示されます。
ユーザーが特権アカウントを使用するには、アカウントの管理者がそのアカウントに対するユーザーのアクセス権を認可しており、そのアカウントがチェックアウトに対して使用可能であり、チェックアウトはユーザーがチェックアウトを認可されている時間枠内である必要があります。
特権アカウントの表示および使用
特権アカウントを表示するには:
1. Logon Managerを開き、「Privileged」タブを選択します。
2. 「Refresh」をクリックして、表示される「Authentication」ダイアログのフィールドに値を入力します。画面がリフレッシュされたら、割り当てられた使用可能なすべての特権アカウントのリストが表示されます。
3. そのリストから、作業する特権アカウントを選択し、「Add to My Accounts」をクリックします。再認証を求めるプロンプトが表示されます。しばらくすると、アカウントが使用可能であることを通知するポップアップ・メッセージが表示されます。
ステータスを示す特殊なアイコンとともに「My Accounts」ウィンドウに表示されます。
|
|
このアカウントを以前にチェックアウトし、チェックアウトがまだ有効である場合は、再びチェックアウトしようとすると、アカウントはすでにチェックアウトされているというメッセージが表示されます。 |
4. アカウントへのログオンに進みます。管理者がどのようにアカウントを構成したかによって、Logon Managerによって認証される前にWindowsパスワードの入力を要求される場合があります。
アカウントをチェックアウトした後、アクセスを許可されている期間、Logon Managerで他のアカウントと同様にそのアカウントを使用して作業できます。
アカウントが使用できない場合
なんらかの理由で使用できないアカウントをチェックアウトしようとすると、アカウントをチェックアウトできない理由を通知するポップアップ・ダイアログが表示されます。アカウントは、次のいずれかの理由で使用できない可能性があります。
· ポリシーのスケジュール範囲外に試行しました。アカウントのプロパティを確認して、許可されたスケジュール内で作業していることを確認します。
· Provisioning Gatewayサーバーが使用できない可能性があります。管理者に連絡してください。
· 特定できないシステム・エラーが発生しました。管理者に連絡してください。
特権アカウントのプロパティを表示するには、Logon Managerでアカウントを選択し、「Modify」アイコンを選択します。アカウントの「Properties」ウィンドウが表示されます。「Details」タブに、このダイアログで一般的に表示されるアカウントに関する一般情報がリストされます。さらに、プロビジョニングされたアカウントの「Policy」タブがあります。
「Policy」タブを選択すると、特権アカウントのポリシーのプロパティ(アカウントの有効期限が切れる日時、アカウントを使用できる日数および時間数)が表示されます。
特権アカウントのチェックイン
特権アカウントは、ユーザーまたはポリシー管理者によって、アカウント・ポリシー設定による有効期限のため、Logon Manager内でまたはLogon Manager外で手動でチェックインできます。
Logon Managerで特権アカウントをチェックインするには:
1. Logon Managerで「My Accounts」タブをクリックします。
2. チェックインする特権アカウントを選択します。
3. 「Delete」アイコンをクリックして、プロンプトが表示されたら削除を確認します。
Logon Managerの「Settings」パネルによって、Logon Managerの構成オプションを制御できます。
|
|
変更が行われるまでは、設定のタブ全体で「Apply」ボタンおよび「Cancel」ボタンは有効になりません。変更を終えたら、「Apply」をクリックしてその変更を適用するか、または「Cancel」をクリックしてその変更を破棄できます。 設定のタブで行った変更は、「Apply」をクリックすると有効になります。 |
Logon Managerの設定を表示または変更するには、次の手順を実行します。
1. Logon Managerを開きます。
2. 「Settings」パネルをクリックします。
3. 次のタブがあります。
· Response
· Display
「Response」タブでは、Logon Managerのアカウント機能を制御できます。
|
|
管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
自動プロンプトの設定では、Logon Manager内にアカウント設定が存在しないアプリケーションからの資格証明リクエストを、Logon Managerが検出した場合に、資格証明のプロンプトを表示するかどうかを指定します。
詳細は、「自動プロンプトを使用したログオンの設定」を参照してください。
自動入力の設定では、ユーザーがアカウントを作成した直後にLogon Managerがアプリケーションに対する資格証明の指定を試行する必要があるかどうかを指定します。
この機能が有効になっている場合、ユーザーがアプリケーションまたはWebサイトのアカウントを設定すると、Logon ManagerはただちにそのアプリケーションまたはWebサイトにログオンします。
自動認識の設定では、アプリケーションからリクエストされた場合にLogon Managerが資格証明を自動的に提供するかどうかを指定します。
この機能を有効にすると、Logon ManagerはアプリケーションおよびWebサイトを認識し、自動的にログオンを実行します。
この機能が無効になっている場合は、ログオン・リクエストに応答するようLogon Managerに手動でリクエストする必要があります。これは、システム・トレイ・アイコン・メニューから実行できます。「Log On Using Logon Manager」を選択します。
1. 「Logon Manager」を開きます。
2. 「Settings」パネルで、「Response」タブをクリックします。
3. 変更が完了したら、次のいずれかの操作を実行します。
· 「Apply」をクリックして変更を確認してから(Logon Managerを終了せずに)他の設定タブを選択します。
または
· 変更内容を破棄する場合は「Cancel」をクリックします。
「Settings」: 「Authentication」タブ
「Authentication」タブでは、Logon Managerの認証機能を制御できます。
|
|
管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
プライマリ・ログオン方法
Logon Managerの認証には、様々なログオン方法を使用できます。プライマリ・ログオン方法とは、使用するよう選択した認証方法です。複数のオーセンティケータをインストールできますが、指定できるプライマリ・ログオン方法は1つのみです。
この設定により、主な認証メカニズムとするログオン方法を選択できます。
ログオン方法を変更するには、「Change」をクリックします。「Primary Logon Setup Wizard」が表示されます。
詳細は、「プライマリ・ログオンの変更」を参照してください。
タイマー
Logon Managerは、指定した時間間隔で認証を求めるプロンプトを表示できます。再度認証する前に、時間の長さを確認できます。
上矢印と下矢印を使用して、時間制限(0から999分)を入力します。この間隔が経過すると、資格証明関連タスクを実行する前にLogon Managerがパスワードを要求します。
タイマー設定がゼロに設定されている場合、すべての資格証明関連タスクの前にLogon Managerがパスワードを要求します。
「Clear Timer」ボタンを使用すると、有効期限時間まで待機せずに、次の資格証明関連タスクについてパスワードを入力するよう強制されます。
認証設定の表示または変更
1. 「Logon Manager」を開きます。
2. 「Settings」パネルで、「Authentication」タブをクリックします。
3. 変更が完了したら、次のいずれかの操作を実行します。
· 「Apply」をクリックして変更を確認してから(Logon Managerを終了せずに)他の設定タブを選択します。
または
· 変更内容を破棄する場合は「Cancel」をクリックします。
「Settings」パネルの「Display」タブでは、Logon Managerの表示オプションを制御できます。
|
|
管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
選択した場合、Title Bar Buttonの設定によって、すべてのウィンドウのタイトル・バーの右上隅にあるLogon Managerアイコンがアクティブになります。
このボタンをダブルクリックすると、Logon Managerに対してアプリケーションへのログオンを試行するよう指示されます(システム・トレイ・アイコン・メニューの「Log On Using」オプションと同じ機能)。
Logon Managerのタイトル・バー・ボタンをクリックすると、ドロップダウン・メニューを表示することもできます。
これら2つの設定は、「Display the Logon Manager button on all window title bars」および「Provide a dropdown menu from title bar button」というチェック・ボックスによって有効化できます。
Language
Logon Managerエージェントは、実行中のバージョンおよびインストールされている言語パックに応じて、様々な言語で実行できます。
「Language」ドロップダウンに使用可能な言語を表示できます。
Logon Managerエージェントの表示言語を選択します。Logon Managerエージェントのダイアログおよびヘルプ画面はすべて、選択した言語で表示されます。
表示設定の表示または変更
1. 「Logon Manager」を開きます。
2. 「Settings」パネルで、「Display」タブをクリックします。
3. 変更が完了したら、次のいずれかの操作を実行します。
· 「Apply」をクリックして変更を確認してから(Logon Managerを終了せずに)他の設定タブを選択します。
または
· 変更内容を破棄する場合は「Cancel」をクリックします。
「Exclusions」タブでは、Logon Managerに対して以前無視するよう指定したアプリケーション・ログオンの自動プロンプト機能を確認し、復元できます。
|
|
管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
Logon Managerアカウントを持っていない場合に、パスワードで保護されたアプリケーションを起動すると、Logon Managerはその状況を認識します。資格証明の自動取得を使用するように管理者がシステムを構成した場合、Logon Managerはユーザーが入力した資格証明を取得します。資格証明の自動取得が無効である場合、Logon Managerは新規アカウントを作成するかどうかをユーザーに確認します。次のオプションがあります。
· アカウントの資格証明を入力し、「Save」をクリックします。
· 今回は「Logon」ダイアログ・ボックスに入力しない場合は「Cancel」をクリックします。
· 「Logon」ダイアログ・ボックスが永続的に開かないようにするには、「Disable」をクリックします。この選択により、アプリケーションは「Exclusions」リストに追加されます。
以前除外したアプリケーションのアカウントを追加することを後で決めた場合は、「Exclusions」リストからアプリケーションを削除(該当するチェック・ボックスを選択解除)すると、アプリケーションの次回起動時に、Logon Managerはユーザーにアカウントの作成を求めるようになります。
これらの機能の詳細は、「自動プロンプトを使用したアカウントの設定」および「資格証明の自動取得」を参照してください。
1. Logon Managerを開きます。
2. 「Settings」パネルで、「Exclusions」タブをクリックします。
3. このパネルには、Logon Managerが現在無視するよう設定されているアプリケーションのリストが含まれます。
4. 自動プロンプトを復元するアプリケーションのチェック・ボックスをクリックして選択解除してから、「Apply」または「Cancel」をクリックして変更内容を破棄します。
ウィンドウをリフレッシュすると、選択解除したアイテムは「Exclusions」リストに表示されなくなります。パスワードで保護された選択解除済のアプリケーションを次回起動すると、Logon Managerはアカウントを作成するかどうかをユーザーに確認します。
この項では、Logon Managerおよびターゲットのアプリケーション内でパスワードを管理および変更する方法について説明します。
ほとんどのアプリケーションは、いつでもパスワードを変更できますが、一部のアプリケーションは、定期的に(たとえば30日ごとに)パスワードの変更が求められるものもあります。Logon Managerを使用して、これらの変更を適用したり追跡することができます。
Logon Managerの自動化されたパスワードの変更によって、パスワードの選択および管理がずさんになる可能性がなくなるため、セキュリティが向上します。また、パスワードを作成、変更および記憶する手間が省けるため、使い勝手が向上します。
Logon Managerは、アプリケーションがパスワードの変更をリクエストした場合に検出します。構成に応じてLogon Managerは次のいずれかを実行します。
· 管理者が設定するパスワード・ポリシー(有効なパスワードがどのようなものであるかを制御するルール)に準拠する新しいパスワードを自動的に生成します。
· 「Change Password」ダイアログ・ボックスが表示され、ここではパスワードを自動生成したり新しいパスワードを選択するオプションが提供されます。
パスワードは手動変更が可能であり、システム生成プロンプトに応じてパスワードを変更するようリクエストされる場合もあります。どちらの場合も、次のステップが適用されます(1つの例外についてステップ1で説明しています)。
1. アプリケーションがパスワードの変更をリクエストした場合、Logon Managerによって「Change Password」ダイアログが表示されます(ただし、管理者がLogon Managerによる変更の自動実行を構成していない場合)。
|
|
アプリケーションでログオンおよびパスワード変更のフィールドが同じウィンドウに表示されている場合、Logon Managerのアクション・チューザでは、アプリケーションの起動時にログオンするかパスワードを変更するかを選択するようプロンプトが表示されます。Logon Managerには、選択に基づいて適切な画面が表示されます。 |
2. パスワードを変更するには、次のいずれか1つを実行します。
· パスワードを手動で入力して確認します。
|
|
新しいパスワードを入力すると、「Password policy status」が変更されます。新しいパスワードを有効にするには、これらの各ルールに準拠する必要があります。パスワードを入力すると、それが準拠するルールが自動的にチェックされます。すべてのルールがチェックされると、パスワードは有効になります。すべてのパスワード・ポリシーを満たしていると、「Submit」ボタンがアクティブになります。 |
|
|
「許可される特殊文字」ポリシーは、パスワードでの使用が許可される特定の特殊文字を示します。特殊文字が許可されない場合、このポリシーは「許可される特殊文字: なし」と表示します。 |
または
· 「Generate」ボタンをクリックして、Logon Managerでパスワードが自動的に生成されるようにします。
· パスワードを表示するには、「Reveal」をクリックします。
· 「Submit」をクリックします。
· アプリケーションがパスワードの変更を受け入れた場合、パスワードが受け入れられたことを示すメッセージが表示されます。「OK」ボタンをクリックすると、Logon Managerでパスワードが保存されます。
アプリケーションによってパスワードが拒否された場合、それを通知するメッセージが表示されます。別のパスワードに変更して再送信するか、または「Cancel」ボタンをクリックできます。
|
|
管理者が設定したパスワード・ポリシーをパスワードが満たしているにもかかわらず、アプリケーションによって拒否された場合、システム管理者に連絡してください。 |
作業環境によっては、エージェント構成にKiosk Managerが含まれている場合があります。Kiosk Managerは、キオスク環境で求められる従来のシングル・サインオンに対応する、セキュアで使いやすく、管理が容易なソリューションです。Kiosk Managerには、非アクティブなセッションを一時停止または終了して、すべてのアプリケーションをシームレスに停止できるクライアントサイド・エージェントが用意されています。
Kiosk Managerを終了できるのは管理者のみです。
|
|
ユーザーが自分のセッションにログオンするには、管理者がそのユーザーの同期を設定しておく必要があります。Logon Managerを使用して初めてKiosk Managerにログオンすると、Logon Managerの設定ウィザード(FTU)が表示されます。プロンプトに従います(サポートが必要な場合は「Help」をクリックします)。プライマリ・ログオン方法として適切な認証方法を選択します。 |
デスクトップ・マネージャは、Kiosk Managerセッションを管理するログオン・ダイアログ・ボックスです。エンド・ユーザーはセッションを起動およびロック解除でき、管理者はセッションの終了、Kiosk Managerの停止、再起動および終了が可能です。
デスクトップ・マネージャには、次の情報および選択肢が含まれます。
「Administration」メニュー
デスクトップ・マネージャの上部にある「Administration」メニューをクリックします。これらのメニュー・オプションは、システム構成によっては使用できないことがあります。
|
Shutdown Computer |
このオプションはキオスクを停止します。このコンピュータを停止するかどうかを確認するウィンドウが表示される場合があります。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示される場合があります。 |
|
Restart Computer |
このオプションはキオスクを再起動します。このコンピュータを再起動するかどうかを確認するウィンドウが表示される場合があります。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示される場合があります。 |
|
Terminate Sessions |
このオプションは、開いているセッションの終了を管理者に許可します。このアクションを実行する前に、資格証明の入力を管理者に求める「Terminate Sessions」認証ダイアログが表示されます。 |
|
Exit Kiosk Manager |
このオプションは、Kiosk Managerの終了を管理者に許可します。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示されます。 |
|
Reset Password |
システムの構成によっては、このオプションが表示される場合があります。このオプションによってPassword Reset Webアプリケーションが起動し、パスワードをリセットできます。後述の「パスワードのリセット」を参照してください。 |
セッション・ログオン
デスクトップ・マネージャには、開いているすべてのセッションが表示されたリストが含まれます。自分の名前がリストに表示されない場合は、名前を入力して新規セッションを開始します。セッションが開始された後、パスワードの入力を求める「Connect to Server」ダイアログ・ボックスが表示されます。パスワードを入力し、「OK」をクリックします。
|
「Log On」テキスト・フィールド |
自分の名前が「Open sessions」リストに表示されない場合は、このフィールドにユーザー名を入力し、「Log On」をクリックします。新規セッションが自動作成されます。このフィールドは編集可能です。 |
|
「Log On」ボタン |
フィールドにユーザー名を入力してからこのボタンをクリックします。「Open sessions」リストでユーザー名をダブル・クリックすると、自動的にこの機能が開始されます。 |
|
「Cancel」ボタン |
このボタンで処理中のログオンを終了できます。このボタンは、ログオンの開始後に有効になります。 |
|
「Open sessions」リスト |
「Open sessions」リストには、このワークステーション上に開いているセッションがあるすべてのユーザーの名前が含まれます。リスト内をシングルクリックすると、ユーザー名が「Log On」フィールドに移動します。ダブルクリックすると、セッションのオープンが試行されます。 |
システムの構成によっては、パスワードのリセット・バナーがデスクトップ・マネージャの上部に表示される場合があります。
このバナーをクリックすると、Password Reset Webインタフェースが起動します。「User name」を入力して「OK」をクリックし、プロンプトに従ってパスワードをリセットします。
管理者は、「Administration」メニューから「Terminate Sessions」をクリックして、デスクトップ・マネージャからKiosk Managerユーザー・セッションを終了できます。
クリックすると、このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示されます。
「Username/ID」、「Password」および「Domain」を入力します。「OK」をクリックします。
終了するセッションの選択を求める「Terminate Sessions」ダイアログが表示されます。
一度に選択できるセッションは1つのみです。「Open sessions」リスト・ボックスからセッションを選択し、「Terminate session」をクリックします。セッションは「Open sessions」リストから削除されます。
「Cancel」をクリックしてこのダイアログを閉じます。
|
|
システムの構成によっては、セッション中に「Session Owner」ウィンドウがデスクトップの右上隅に表示される場合があります。 このウィンドウからセッション所有者の表示またはセッションのロックを行うことができます。 |
セッションをロックするには次のいずれかを実行します。
· 「Desktop Status」ウィンドウの「Lock Session」ボタンをクリックします。
· Kiosk Managerのトレイ・アイコン・メニュー、「Lock Session」の順にクリックします。
· スマート・カード、近接型カードなどの存在をセンスする方式のオーセンティケータに対応するように構成されている場合、厳密なオーセンティケータが(リーダーから取り外されたか識別範囲外により)検出されなくなると、Kiosk Managerはセッションを自動的にロックします。
· スクリーン・セイバー・タイマー。キオスクのスクリーン・セイバーが正常に起動すると、Kiosk Managerはセッションをロックします。
· Logon Managerを停止します。
· デスクトップを正常にロックするアクティビティが発生すると、Kiosk Managerはセッションをロックします。
· [Ctrl] + [Alt] + [Delete]
アプリケーションでダイアログ(「Save As」ダイアログなど)を開いている間に、ユーザーがセッションをロックするか、またはキオスクを終了すると、Kiosk Managerはそのダイアログを閉じることができなくなり、アプリケーションが強制終了される場合がありますので注意してください。セッションをロックするかまたはキオスクを終了する前に、データを保存することを強くお薦めします。
セッションのロックを解除するには、次のいずれかを実行します。
· マート・カード、近接型カードなどの存在をセンスする方式のオーセンティケータに対応するように構成されている場合、厳密なオーセンティケータが(リーダーに挿入されるか識別範囲内になり)検出されると、Kiosk Managerはセッションを自動的に開始します。
· 名前の選択と資格証明の再入力によって、現行のセッションは、Desktop Managerのロックから解除されます。
第II部: Oracle Enterprise Single Sign-On Anywhereについて
Anywhereは、シングル・サインオン(SSO)テクノロジにおける最新の技術革新であり、MicrosoftのClickOnceテクノロジを使用してOracle Enterprise Single Sign-On Logon Manager (Logon Manager)およびOracle Enterprise Single Sign-On Provisioning Gateway (Provisioning Gateway)をエンド・ユーザーのデスクトップにデプロイします。
管理者は、Anywhereコンソールを使用して、社内ユーザーが必要とするOracle製品で構成されたデプロイメント・パッケージを作成し、それをWebサーバーまたはファイル共有で使用可能にします。ユーザーは、管理者がカスタマイズしたAnywhereパッケージに含まれるHTMLインタフェースから、デプロイメント・パッケージをダウンロードします。続いて、ユーザーがボタンをクリックすれば、自分のワークステーションにOracle製品スイートがインストールされて、構成が正しく行われ、実行可能な状態になるので、管理者の介入は不要です。
ローカル・ワークステーションにAnywhereをインストールする前に、該当する場合は、必要になる認証用のハードウェアを受け取っているはずです。インストーラを起動すると、1回のクリックで、Logon ManagerおよびProvisioning Gateway (該当する場合)の実行に必要なすべてのソフトウェアおよび設定が自動的にインストールされます。管理者によってAnywhereのインストーラの場所が通知され、次のようなAnywhereのランディング・ページが表示されます。
1. 「Install Oracle」ボタンをクリックしてインストール・パッケージを起動します。Anywhereは、ワークステーションをスキャンして、すべての前提条件が満たされているかどうかを確認します。
ワークステーションがすべての前提条件を満していると確認されると、次にインストール証明書が有効かどうかの確認を求められる場合があります。2つの可能性があります。
証明書は有効です。「Install」をクリックして続行します。
証明書の発行元が不明です。先に進む前に管理者に確認してください。
2. 証明書の正統性を確認したら、「Install」をクリックしてインストールを開始します。
これでAnywhereのインストールは完了です。「First Time Use (FTU)」ウィザードをまだ実行していない場合は、インストールの完了後にウィザードの実行を促すプロンプトが表示されます。システムに資格証明がすでに入力されている場合は、その資格証明がすぐに使用可能になります。これでLogon Managerを使用する準備が整いました(Anywhereのインストールに含まれている場合はProvisioning Gatewayも使用可能になります)。
様々な時点で、Anywhereの更新が利用可能であることを知らせる通知を受け取ります。通知の頻度や、更新のインストールが必須かどうかは管理者が決定します。
更新が利用可能になると、次の画面が表示されます。
管理者がオプションを設定している場合は、「Skip」をクリックして、更新をインストールしないことを選択できます。オプションが設定されていない場合や更新をインストールする場合は、「OK」をクリックします。
管理者がAnywhereの旧バージョンへのロールバックを決定すると、ユーザーは通知を受け取ります。
ロールバックを実行するには次の手順を実行します。
1. 「コントロール パネル」→「プログラムの追加と削除」の順に選択します。
2. プログラム・リストから「Anywhere」を選択し、「変更と削除」をクリックします。
3. 「アプリケーションを以前の状態に復元します。」を選択します。次に、「OK」をクリックします。Anywhereによってロールバックがインストールされます。
4. 「アプリケーションは復元されました」ウィンドウが表示されたら「OK」をクリックします。
Anywhereをアンインストールするには次の手順を実行します。
1. 「コントロール パネル」→「プログラムの追加と削除」の順に選択します。
2. プログラム・リストから「Anywhere」を選択し、「変更と削除」をクリックします。
3. 「このコンピュータからアプリケーションを削除します。」を選択します。
4. 「OK」ボタンをクリックします。
第III部: Oracle Enterprise Single Sign-On Password Resetについて
Password Resetを使用すると、パスワードを紛失したり忘れた場合にWindowsユーザー・アカウントにアクセスできます。ヘルプ・デスクまたはテクニカル・サポートに連絡する必要がなく、管理者がパスワードをリセットするまで待機することもありません。Password Resetは、Oracle Enterprise Single Sign-On Suite内の個別のコンポーネントであり、パスワードを紛失したり忘れた場合にユーザーがWindowsの管理者に依頼することなく、リセットできることを目的に設計されています。
必要なのは、ユーザーが本人であることを確認する簡単な予告なしのクイズにパスすることのみであり、パスワードは自分でリセットできます。Password Resetの登録インタビュー中に自分でクイズの回答を作成しているため、パスできるはずです。
登録インタビューの完了後は、パスワードを紛失したり忘れた場合にいつでもPassword Resetのリセット・クイズを要求できます。クイズの回答が登録インタビューで指定した回答と一致すると、新しいWindowsパスワードを作成してログオンすることができます。
Password Resetは、シンプルで簡単かつ安全であるため、組織のテクニカル・サポートはその他の優先事項に専念できます。最大のメリットは、登録インタビューにかかる数分の方が、Windowsパスワードを紛失した場合の時間と労力を取り返すための時間よりも短いということです。
パスワードを忘れた場合に、他の誰も推測できないようなパスワードにしておくことは、少なくとも有効な選択方法です。
最良のパスワードは、ランダムな文字と数字で構成された、最も憶えにくいパスワードです。さらに、優れたネットワーク・セキュリティによって数週間ごとにパスワードの変更が要求されます。Password Resetのリセット・クイズと同じくらい高速かつ容易ですが、パスワードを使用してネットワークにアクセスする方がより高速です。パスワードの作成および管理のヒントを次にいくつか示します。
· 意味のない文字列が最適です。大文字と小文字を混在させ、数値を使用します。
· 親戚、友人またはペットの名前は使用を避けます。
· 言語に関係なく、意味のある語句はすべて避けます。辞書にある語句をパスワードに使用すると、他のユーザーが推測できてしまいます。
· パスワードは他人と共有しないでください。
· 特にワークステーションの近くの「付箋紙」などに、パスワードを書き留めたり貼り付けないようにしてください。
憶えやすく意味のないパスワードを素早く作成するコツは、使い慣れたフレーズまたは引用句の先頭の文字を使用することです。この方法では、"Self trust is the first secret of success"(エマーソン)は"stitfsos"となります。
Password Resetでの登録は、一連の質問への回答で構成され、それぞれの質問には、管理者が正解と不正解のポイント値を設定します。パスワードをリセットするには、十分な数の質問に回答して、リセット・クイズにパスするためのポイントを獲得する必要があります。
登録の際には不正解はありませんが、リセット・クイズを受けることになった場合、ここで入力する回答は設定した回答と一致する必要があるので、簡単に覚えることができる回答を選択することが重要です。登録の進行中、Password Resetは、パスワードのリセット条件を満たすポイントしきい値に到達するまで質問を出し続け、必要な回答を取得します。管理者は、いくつかの質問に回答する必要があり、オプションで別の回答を作成することもできます。登録の際に設定した回答を忘れてしまった場合に備えて、できるだけ多くの質問(オプションの質問の場合でも)に回答しておくと、他の質問に答えてリセット・クイズにパスできるという利点があります。
質問の重み付けは、本人または他人にとっての正解の見つけやすさで決まります。質問の中には、即座に失格になるものも含まれています。たとえば、リセット・クイズで、本人の目の色を正しく回答しても多くのポイントを得ることができませんが、これを間違えるということは、クイズを受けているのは他人であることを示しているので、即座に失格になります。それとは反対に、本人かどうかに関係なく、高いポイントが得られない質問もあります。本人以外の多くの人は、本人のペットや子供の名前、運転している自動車の車種を知っている可能性があるので、このタイプの質問は、ポイントしきい値の達成には貢献しても、その比重は高くありません。
実際にPassword Resetが必要となったときに、これを使用して新しいWindowsパスワードを作成するには、その前にリセット・クイズの質問に正しく回答する必要があります。これが登録インタビューの目的です。
登録を開始するには、管理者が指定したURLをブラウザに入力し、登録インタビューにアクセスします。登録画面で、電子メール・アドレス(必要な場合)を入力し、登録に使用する言語を選択し、「Start」をクリックします。
登録インタビューの質問は、パスワードなしでログオンする必要がある場合に利用するリセット・クイズを作成する目的で使用され、指定した回答は、リセット・クイズを利用するときに確かに本人であることを確認するために使用される回答となります。
|
|
リセット用の質問は、登録時に使用した言語と同じ言語で表示されます。 |
登録インタビューには、次の2つのタイプの質問があります。
· 「Required Questions」。必須質問が設定されている場合、登録を完了するにはこれらの質問に回答する必要があります。
· 「Optional Questions」。オプション質問が使用可能な場合、回答することもスキップすることもできます。登録インタビューを完了するために、特定数の質問への回答が必要な場合があります。
|
|
質問に対する回答は、できるだけ短く覚えやすいものにしておくことが重要です。 |
登録インタビューには、2つのタイプの質問があります。
必須質問
各必須質問に対して回答を指定する必要があります。これらの質問は、リセット・クイズの作成に使用されます。次の理由から、できるだけ単純で短い回答を入力します。
· 入力した回答を覚えておく必要があります。
· リセット・クイズには、ここで入力した回答とまったく同じ回答を入力する必要があります。
大文字と小文字の使い分けに注意し、スペルおよび空白には特に注意してください。できるだけ句読点の使用は避けます。質問で指定されている書式に関する指示または例があれば、注意して従ってください。
テキスト・ボックスに回答を入力したら、「Next」をクリックします。
オプション質問
これらの質問には、回答することもスキップすることもできます。回答するよう選択した質問数が多いほど、クイズがより安全なものになります。
登録インタビューで表示されるプログレス・バーは、登録レベルのしきい値を満たすことに関する進捗(パーセント)を示します。プログレス・バーが100%に達するまでは質問に回答する必要があります。
管理者によるインタビューの設定方法によっては、すべての質問に対する重み付けが均等でない可能性があるため、プログレス・バーがあるパーセントまで飛び越える場合があります。このパーセントは、インタビューの完了までに回答が必要な質問数を示しているわけではありません。
各質問に回答後、「Next」をクリックしてインタビューを続行します。この先のオプション質問に回答しないと決定した場合はいつでも、または提示されたすべての質問に回答した際には、「Finish」をクリックします。
ポイント不足のため登録レベルのしきい値を満たさない状態で質問セットの最後に到達した場合は、最小登録しきい値に到達しておらず、追加の質問に回答する必要があることを示す次のメッセージがPassword Resetによって表示されます: 「You have not answered enough questions to satisfy the enrollment requirement. Please answer more questions until the progress bar reaches 100%.」
Password Resetはオプション質問セットを開始し、以前スキップした質問に回答するようユーザーに求めます。プログレス・バーが100%に達するまでは質問に回答する必要があります。
インタビューの最終画面で、「Finish」をクリックします。
パスワードを紛失したり忘れた場合、リセット、つまり忘れた古いパスワードを消去して新しいパスワードを指定する必要があります。リセット・クイズは、パスワードをリセットする必要がある場合に、Password Resetによってユーザーの身元を確認する手段です。
リセット・クイズは、銀行員が電話で本人のみが知っていると思われる情報(母親の旧姓が一般的な例です)を尋ねることで身元を確認するのに似ています。このようなアイテムは、異なるソースから複数尋ねられる場合があり、出生地、現住所などの本人のみが知り得る情報となります。Password Resetでも、1つの質問のみでなく、身元を確認できるひとまとまりの質問を尋ねるという同じ概念が使用されています。
パスワードをリセットする必要がある場合、Windowsのログオン・ダイアログ・ボックスにある「Password Reset」ボタンをクリックします。「Password Reset」リセット・ログオン・ダイアログ・ボックスで、ユーザー名を入力して「Reset Quiz」を開始します。
Password Resetでは、登録インタビューのいずれかの質問が表示されます。質問に対して、登録インタビューで入力したものとまったく同じ回答を入力し、「Answer」をクリックします。「New Password」ダイアログ・ボックスが表示されるまでこのプロセスを繰り返します。
リセット・クイズでは、インタビューのすべての質問が使用されない場合があります。クイズの質問数は、管理者がどのように設定したかによって異なります。質問には様々なポイント値があり、パスワードのリセットを認可するためにPassword Resetで使用されるのは総合スコアです。
|
|
管理者によるPassword Resetの構成方法によっては、リセット・クイズにパスした後に、パスワードをリセットするか、またはアカウントをロック解除するかどうかを選択できます。 リセット用の質問は、登録時に使用した言語で表示されます。 |
自分のワークステーションで、Windowsログオンからリセット・クイズを使用してパスワードをリセットするか、または、すでにログオンしている他のワークステーションで、Internet Explorerを使用してリセット・クイズを受けることができます。
リセット・クイズの際に、Password Resetは登録インタビューで回答した質問と同じものを出題します。インタビューで回答したものとまったく同じ回答を入力してください。空白と句読点を一致させる必要がありますが、大文字と小文字は区別されません。
Windowsログオンでのリセット・クイズの開始(自分のワークステーション上)
1. ウィンドウの右上隅の「Password Reset」ボタンをクリックします。Password Resetでは、ユーザー名の入力を求めるログオン・プロンプトが表示されます。
2. ユーザー名を入力して「OK」をクリックします。Password Resetでリセット・クイズが開始されます。
|
|
この方法を使用するには、Password Resetリセット・クイズの開始ページのWebアドレスが必要です。このアドレスは、組織のイントラネットまたはInternet Explorerのお気に入りリストでリンクとして使用できる場合があります。 |
1. Internet Explorerを開き、ブラウザでPassword Resetリセット・クイズの開始ページを表示します。Password Resetでは、ユーザー名の入力を求めるログオン・プロンプトが表示されます。
2. ユーザー名を入力して「OK」をクリックします。Password Resetでリセット・クイズが開始されます。
3. 質問が表示されたら回答を入力します。十分な数の質問に正しく回答して、しきい値スコアに到達すると、「Reset Password」画面が表示されます。
4. 新しいパスワードを入力して確認します。「Submit」ボタンをクリックします。パスワードがリセットされます。
管理者によるPassword Resetの構成方法によっては、リセット・クイズにパスした後に、パスワードをリセットするか、またはアカウントをロック解除するかどうかを選択できます。
· パスワードのリセットを選択すると、「Reset Password」ページに移動します。
· アカウントのロック解除を選択すると、Password Resetのパスワード変更サービスによりアカウントがロック解除され、「Finish」ページが表示されます。
· もう一度実行してください。Password Resetでは、クイズの質問がランダムな順序で選択および表示されます。次回の実行時には、確実に別の質問が出されます。
· 回答を注意深く入力します。クイズの回答は、登録インタビューで入力した回答と完全に一致する必要があります。大文字と小文字の使い分けは重要ではありませんが、スペル、空白および句読点は重要です。
· 普段とは別のワークステーションを使用している場合、正しい(つまり、自分の)ユーザー名/IDを指定したかどうかを確認します。この指定に誤りがあると、別のユーザーの回答に対してクイズが出題されている可能性があります。
それでもパスできない場合は、管理者にパスワードのリセットを要求してください。この最後の手段を利用する場合は、登録インタビューを再度受けて、回答を単純で憶えやすいものに修正する必要があります。
管理者は、ユーザーがリセット・クイズにパスした後に一時パスワードを提供するようPassword Resetを構成している可能性があります。この場合、Password Resetにより一時パスワードが提供され、これを使用してWindowsにログオンします。Windowsのパスワードの変更機能を使用して、Windowsの一時パスワードを永続的なパスワードに変更できます。