Oracle Identity Manager Design Consoleの管理フォルダを使用して、Oracle Identity Managerを管理できます。
関連項目: Oracle Identity Manager Design ConsoleおよびOracle Identity Manager Design Consoleで使用可能なすべてのフォームに関する詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドを参照してください。 |
Oracle Identity Manager Design Consoleの管理フォルダを使用して、次のタスクを実行できます。
Oracle Identity Manager Design Consoleでパスワード・ポリシー・フォームを使用してパスワード・ポリシーを作成し、以下の操作を実行できます。
パスワードの制限の設定、たとえばパスワードの最小長と最大長の定義など
パスワード・ポリシーに関連付けられているルールおよびリソース・オブジェクトの参照
パスワード・ポリシーフォームを開きます。図14-1にパスワード・ポリシー・フォームを示します。
ポリシー名フィールドに、パスワード・ポリシーの名前を入力します。
ポリシー説明フィールドに、パスワード・ポリシーの簡単な説明を入力します。
「保存」をクリックします。
注意:
|
このフォームのタブは、パスワード・ポリシーを作成すると使用可能になります。これらのタブを使用して、パスワード・ポリシーに基準を設定し、現在のパスワード・ポリシーに関連付けられているルールとリソース・オブジェクトを表示します。次の各項では、これらのタブについて説明します。
ポリシー・ルール・タブを使用して、パスワード・ポリシーの基準(たとえばパスワードの最小長と最大長)を指定します。
パスワードの制限を設定するには、次のいずれか(または両方)の方法を使用できます。
適切なフィールドに情報を入力するか、必要なチェック・ボックスを選択します。たとえば、パスワードの最小長を4文字にする必要があることを指定するには、最小長フィールドに4を入力します。
「パスワード・ファイル」フィールドに、パスワード・ポリシー・ファイルのディレクトリ・パスと名前(たとえばc:\xellerate\userlimits.txt
)を入力します。このファイルには、パスワードとしての使用を避ける必要がある事前定義済の単語が含まれます。これらの単語は、パスワード・ファイル・デリミタフィールドに指定したデリミタで区切られます。このファイル内の事前定義済の単語は、パスワードとして使用できません。たとえば、このファイルにwelcomeという単語が含まれている場合、welcome、Welcomeおよびwelcome123は無効なパスワードになります。
図14-1に、パスワード・ポリシー・フォームのポリシー・ルール・タブを示します。
表14-1では、ポリシー・ルールタブのデータ・フィールドについて説明します。これらのフィールドでパスワード・ポリシーの基準を指定します。
注意: ポリシーのデータ・フィールドが空欄の場合、パスワードを有効にするために、このポリシーに適合するパスワードがそのフィールドの基準を満たす必要はありません。たとえば、最小英数字データ・フィールドが空欄の場合、Oracle Identity Managerでは、文字数に関係なくパスワードが受け入れられます。 |
表14-1 パスワード・ポリシー・フォームのポリシー・ルール・タブのフィールド
フィールド名 | 説明 |
---|---|
最小長 |
パスワードを有効にするために必要な最小文字数。 たとえば、最小長フィールドに4を入力した場合、パスワードは4文字以上にする必要があります。 このフィールドには0 - 999の値を入力できます。 |
有効日数 |
パスワードを使用できる日数。 たとえば、有効日数フィールドに30を入力した場合、パスワードを作成または最終変更したときから30日目までに変更する必要があります。 注意: 有効日数フィールドに指定された日数が経過すると、パスワードの変更を求めるメッセージが表示されます。 このフィールドには0 - 999の値を入力できます。 |
最近のパスワードを許可しない |
旧パスワードを再利用できる頻度。このポリシーにより、一連の共通パスワードが使い回されることのないようにします。 たとえば、最近のパスワードを許可しないフィールドに10を入力した場合、10個の異なるパスワードを使用した後にのみパスワードを再利用できます。 このフィールドには0 - 24の値を入力できます。 |
警告までの期間(日数) |
パスワードが指定の日付に期限切れになることをユーザーに通知するまでの経過日数。 たとえば、有効日数フィールドに30を入力し、警告までの期間(日数)フィールドに20を入力し、パスワードが11月1日に作成されたとします。11月21日に、パスワードが12月1日に期限切れになることがユーザーに通知されます。 このフィールドには0 - 999の値を入力できます。 |
パスワード・ポリシー・フォームのポリシー・ルール・タブでは、複雑なパスワードまたはカスタム・パスワード・ポリシーのいずれかを構成できます。複雑なパスワード・オプションを選択すると、カスタム・パスワード・オプション設定は使用できず、パスワードはポリシー・ルール・タブで入力した複雑なパスワードの基準に対して評価されます。
次の各項では、ポリシー・ルール・タブの残りのフィールドについて説明します。
複雑なパスワード
パスワードの長さは6文字以上であること。最小長フィールドに入力された値が6未満の場合、このパスワードの長さが最小長フィールドより優先されます。たとえば、最小長フィールドに2を入力した場合、複雑なパスワードの基準に従って最低6文字が必要であるため、パスワードには6文字以上が必要です。
パスワードには、次の5種類のうち3種類以上の文字が含まれていること。
英大文字(A - Z)
英小文字(a - z)
10進法の数字(0 - 9)
英数字以外の文字(!、$、#、%など)
Unicode文字
パスワードには、3文字以上のユーザーのラスト・ネーム、ファースト・ネーム、ユーザーIDを含めてはなりません。
名前は、カンマ、ピリオド、ダッシュ/ハイフン、アンダースコア、スペース、ポンド記号、タブをデリミタとして解析されます。これらのデリミタのいずれかが検出されると、名前は分割され、すべての部分がパスワードに含まれていないか検証されます。たとえば、ユーザー名がjohn-dの場合は、dは長さが2未満のため、パスワードでチェックされません。同様に、名前がJohn Richard Doeの場合は、john、richard、doeはパスワードに含めることはできません。
ユーザーの氏名に対するチェックでは、カンマ、ピリオド、ダッシュやハイフン、アンダースコア、スペース、ポンド記号、タブなどの文字は、名前を個別のキャラクタ・セットに区切るデリミタとして扱われます。3文字以上を含む各キャラクタ・セットが、パスワード内で検索されます。そのキャラクタ・セットがパスワード内に存在する場合、パスワード変更は却下されます。たとえば、名前John Richard-Doe
は、3つのキャラクタ・セット(John
、Richard
およびDoe
)に分けられます。このユーザーは、パスワード内のどの場所であっても、John
、Richard
またはDoe
からの連続した3文字で構成されるパスワードを持つことはできません。ただし、パスワードには部分文字列d-D
を含めることができます(ハイフン(-)は部分文字列Richard
とDoe
の間のデリミタとして扱われるため)。また、パスワード内のキャラクタ・セットの検索では、大文字と小文字は区別されません。
注意: ユーザーのフル・ネームの長さが3文字未満の場合、パスワードが拒否される確率が高すぎるため、パスワードはフル・ネームと照合されません。 |
カスタム・ポリシーオプションを選択すると、表14-2に示すフィールドを使用してカスタム・パスワード・ポリシーを設定できます。
表14-2 カスタム・パスワード・ポリシーを設定するためのポリシー・ルール・タブのフィールド
フィールド名 | 説明 |
---|---|
最大長 |
パスワードに含めることができる最大文字数 たとえば、最大長フィールドに8を入力した場合、9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
最大限の繰返し文字数 |
パスワードで文字を繰り返すことができる最大回数。 たとえば、最大限の繰返し文字数フィールドに2を入力した場合、文字が3回以上繰り返されているパスワードは使用できません。たとえば、 注意: この例では、文字 このフィールドには1 - 999の値を入力できます。 |
最小限の数字数 |
パスワードに含める必要がある最小限の数字の数。 たとえば、最小限の数字数フィールドに1を入力した場合、パスワードには少なくとも1つの数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。 |
最小限の英数字数 |
パスワードに含める必要がある文字または数字の最小数。 たとえば、最小限の英数字数フィールドに6を入力した場合、パスワードには少なくとも6つの文字または数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。 |
最小限のユニーク文字数 |
パスワードに含める必要がある、繰り返されない文字の最小数。 たとえば、最小限のユニーク文字数フィールドに1を入力した場合、パスワード内の少なくとも1つの文字が繰り返されていなければパスワードは受け入れられます。たとえば、 このフィールドには0 - 999の値を入力できます。 |
最小限の英字数 |
パスワードに含める必要がある最小限の文字数。 たとえば、最小限の英字数フィールドに2を入力した場合、2文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
特殊文字: 最小数 |
パスワードに含める必要がある英数字以外の文字(#、%、&など)の最小数。 たとえば、特殊文字: 最小数フィールドに1を入力した場合、パスワードには英数字以外の文字が少なくとも1つ含まれる必要があります。 このフィールドには0 - 999の値を入力できます。 |
特殊文字: 最大数 |
パスワードに含めることができる英数字以外の文字の最大数。 たとえば、特殊文字: 最大数フィールドに3を入力した場合、英数字以外の文字が4つ以上含まれるパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
最小限の大文字数 |
パスワードに含める必要がある大文字の最小数。 たとえば、最小限の大文字数フィールドに8を入力した場合、大文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
最小限の小文字数 |
パスワードに含める必要がある小文字の最小数。 たとえば、最小限の小文字数フィールドに8を入力した場合、小文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
Unicode文字: 最小数 |
パスワードに含める必要があるUnicode文字の最小数。 たとえば、Unicode文字: 最小数フィールドに3を入力した場合、Unicode文字が3文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
Unicode文字: 最大数 |
パスワードに含めることができるUnicode文字の最大数。 たとえば、Unicode文字: 最大数フィールドに8を入力した場合、Unicode文字が9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
必須の文字 |
パスワードに含める必要がある文字。 たとえば、必須の文字フィールドにxを入力した場合、文字xを含むパスワードのみ使用できます。 必須の文字フィールドに指定する文字は、許可される文字フィールドで指定する必要があります。「許可された文字」フィールドに存在しない文字を「必須の文字」フィールドに入力すると、必須の文字は許可された文字のリストに含まれている必要があること、および必須の文字は許可されない文字に含まれていてはいけないことを示すエラーが表示されます。 また、2文字以上を指定する場合は、デリミタを付けないでください。このフィールドではカンマとスペースも文字として解釈されます。たとえば、「a,x,c」などの文字を指定した場合、カンマを含まないパスワードは使用できません。 |
許可されない文字 |
パスワードに含めてはならない文字。 たとえば、許可されない文字フィールドに感嘆符(!)を入力した場合、感嘆符を含むパスワードは使用できません。 |
許可される文字 |
パスワードに含めることができる文字。 たとえば、許可される文字フィールドにパーセント記号(%)を入力した場合、他の基準をすべて満たしていれば、パーセント記号を含むパスワードを使用できます。 注意: パスワードに文字が含まれており、その文字が「許可される文字」フィールドにない場合、パスワードは拒否されます。たとえば、「許可される文字」フィールドでabcが指定されており、パスワードがdadの場合、dは「許可される文字」フィールドにないため、このパスワードは拒否されます。 許可される文字フィールドと許可されない文字フィールドに同じ文字を指定すると、パスワード・ポリシーの作成時にエラー・メッセージが返されます。 |
許可されない部分文字列 |
パスワードに含めてはならない英数字の連続文字列。 たとえば、許可されない部分文字列フィールドにIBMを入力した場合、文字I、B、Mの順に連続して含まれるパスワードは使用できません。 |
英字で開始 |
パスワードが英字で始まる必要があるかどうか。 たとえば、このオプションを選択した場合、パスワード123welcomeは、先頭が文字でないため使用できません。ただし、このオプションを選択しない場合、パスワードは英字、数字または特殊文字で始めることができます。 |
ユーザーIDを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーIDを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、「パスワードフィールドにユーザーIDが入力されると、パスワードは無効になります。また、パスワードフィールドにパスワードの一部としてユーザーIDが入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーIDが含まれているパスワードを使用できます。 |
ファースト・ネームを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーのファースト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、「パスワードフィールドにユーザーのファースト・ネームが入力されると、パスワードは無効になります。また、ユーザーのファースト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのファースト・ネームが含まれているパスワードを使用できます。 |
ラスト・ネームを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーのラスト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合は、「パスワード」フィールドにユーザーのラスト・ネームが入力されると、パスワードは無効になります。また、ユーザーのラスト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのラスト・ネームが含まれているパスワードを使用できます。 |
パスワード・ファイル |
パスワードとして許可されない事前定義済の用語が含まれるファイルのパスと名前。このファイルは、Oracle Identity Managerがデプロイされているホストに格納する必要があります。 注意: 「ポリシー・ルール」タブ上の設定は、パスワード・ファイル内の仕様よりも優先されます。たとえば、許可されない用語が「ポリシー・ルール」タブで指定されていないときに、パスワード・ファイルの許可されない用語がポリシー内で使用されることがあります。 |
パスワード・ファイル・デリミタ |
パスワード・ファイル内で用語を区切るために使用されるデリミタ文字。 たとえば、パスワード・ファイル・デリミタフィールドにカンマ(,)を入力した場合、パスワード・ファイル内の用語はカンマで区切られます。 注意: パスワード・ポリシー内で使用するエスケープ文字は定義されていません。 |
いずれかのパスワードフィールドを使用してプロセス・フォームをリソースにアタッチできます。リソースに対して入力されたパスワードは、そのリソースに関連付けられているパスワード・ポリシーと照合されます。
このタブは、現在のパスワード・ポリシーに関連付けられているルールおよびリソース・オブジェクトを表示するために使用します。
図14-2は、パスワード・ポリシー・フォームの使用状況タブを示しています。この例では、ルールはSolarisパスワード・ポリシー用に定義されています。
関連項目: パスワード・ポリシーとリソース・オブジェクト間の関係の詳細は、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのパスワード・ポリシー・ルール・タブに関する項を参照してください。 |