組織管理者はパスワード・ポリシーを組織に関連付けることができます。すべてのパスワード・ポリシーはシステム管理者のみによって作成されます。組織管理者は、システム管理者によって作成されたパスワード・ポリシーから関連するパスワード・ポリシーを選択できます。組織に設定されたパスワード・ポリシーは、その組織とすべての下位組織に適用されます。下位組織レベルの管理者が、その組織に別のパスワード・ポリシーを設定すると、親組織のパスワード・ポリシーが新しいポリシーでオーバーライドされ、この組織のすべての下位組織に新しいポリシーが適用されます。ユーザーが複数の組織のメンバーである場合、そのユーザーのパスワード・ポリシーは、ホーム組織とホーム組織階層に応じて異なります。
また、ユーザーが複数の組織のメンバーである場合、そのユーザーに適用されるパスワード・ポリシーはパスワード・ポリシーの優先度で決まります。組織が階層内にある場合は、親組織に関連付けられたパスワード・ポリシーの方が優先度が高い場合にも、ユーザーに最も近い組織のパスワード・ポリシーが適用されます。ユーザーの作成時に、Oracle Identity Managerは最上位の組織にアタッチされたデフォルトのパスワード・ポリシーに対して手動で指定された、または自動生成されたパスワードを検証します。ユーザーが最初にログインしてパスワードを変更する場合、ユーザーの組織に適用される優先度が最も高いパスワード・ポリシーが適用されます。
この章では、次の各項でパスワード・ポリシー管理について説明します。
パスワード・ポリシーを検索するには:
Oracle Identity System Administrationにログインします。
左ペインの「ポリシー」で、「パスワード・ポリシー」をクリックします。「パスワード・ポリシー」ページが表示されます。
「ポリシー名」フィールドに対して、リストから検索演算子を選択します。
「ポリシー名」フィールドに、検索するポリシー名を入力します。既存のパスワード・ポリシーをすべて表示する場合は、このフィールドを空白のままにします。
「検索」をクリックします。検索条件に一致するパスワード・ポリシーが表示されます。
パスワード・ポリシーの作成によって可能なことは、次のとおりです。
パスワードの制限の設定、たとえばパスワードの最小長と最大長の定義など
パスワード・ポリシーに関連付けられているルールの参照
注意: LDAP同期が有効になっている環境の場合、次のいずれかにする必要があります。
|
「パスワード・ポリシー」ページの「アクション」メニューから、「作成」を選択します。または、ツールバーにある「作成」をクリックします。図4-1に示すように、「パスワード・ポリシーの作成」ページが表示されます。
ポリシー名フィールドに、パスワード・ポリシーの名前を入力します。
ポリシー説明フィールドに、パスワード・ポリシーの簡単な説明を入力します。
「ポリシー・ルール」タブで、フィールドに値を指定してパスワード・ポリシーのルールを設定します。「ポリシー・ルール」タブの各フィールドの説明は、「パスワード・ポリシー・ルールの設定」を参照してください。
注意: 「ポリシー・ルール」タブのフィールドを空白のままにして「適用」をクリックして、パスワード・ポリシーを保存できます。後でパスワード・ポリシーを開き、「パスワード・ポリシー・ルールの設定」の説明に従ってポリシー・ルールを設定できます。 |
「適用」をクリックします。
注意: パスワード・ポリシーは、信頼できるソース・リコンシリエーションによるOracle Identity Managerユーザーの作成時には適用されません。 |
パスワード・ポリシー・ルールを設定する場合は、パスワードの最小長と最大長など、パスワード・ポリシーの基準を指定する必要があります。
パスワードの制限を設定するには、次のいずれか(または両方)の方法を使用できます。
適切なフィールドに情報を入力するか、必要なチェック・ボックスを選択します。たとえば、パスワードの最小長を4文字にする必要があることを指定するには、「最小長」フィールドに4を入力します。
「パスワード・ファイル」フィールドに、パスワード・ポリシー・ファイルのディレクトリ・パスと名前(たとえば、c:\Xellerate\userlimits.txt)を入力します。このファイルには、パスワードとしての使用を避ける必要がある事前定義済の単語が含まれます。これらの単語は、「ファイル・デリミタ」フィールドで指定したデリミタによって区切られます。ファイル内の事前定義済の単語はパスワードとして使用できません。たとえば、このファイルにwelcomeという単語が含まれている場合、welcome、Welcomeおよびwelcome123は無効なパスワードになります。
パスワード・ポリシーにルールを設定するには:
「パスワード・ポリシー」ページで、開くパスワード・ポリシーを検索し、選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。パスワード・ポリシーの詳細ページが表示されます。
注意: パスワード・ポリシーの作成時にパスワード・ポリシー・ルールを設定することもできます。 |
「ポリシー・ルール」セクションで、表4-1に示すフィールドに値を入力します。
注意: ポリシーのデータ・フィールドが空欄の場合、パスワードを有効にするために、このポリシーに適合するパスワードがそのフィールドの基準を満たす必要はありません。たとえば、最小英数字データ・フィールドが空欄の場合、Oracle Identity Managerでは、文字数に関係なくパスワードが受け入れられます。 |
表4-1 「ポリシー・ルール」セクションのフィールド
フィールド名 | 説明 |
---|---|
最小長 |
パスワードを有効にするために必要な最小文字数。 たとえば、最小長フィールドに4を入力した場合、パスワードは4文字以上にする必要があります。 このフィールドには0 - 999の値を入力できます。 |
最小パスワード期間(日数) |
パスワードを使用できる最小日数。 たとえば、「最小パスワード期間(日数)」フィールドに2を入力した場合、ユーザーはパスワード作成から2日経過するまでパスワードを変更できません。 このフィールドの値は「有効期限切れまで(日数)」フィールドの値よりも小さくする必要があります。たとえば、「有効期限切れまで(日数)」フィールドに30を入力し、「最小パスワード期間(日数)」フィールドに31を入力した場合、エラーが表示されます。 |
警告までの期間(日数) |
パスワードが指定の日付に期限切れになることをユーザーに通知するまでの経過日数。 たとえば、「有効期限切れまで(日数)」フィールドに30を入力し、「警告までの期間(日数)」フィールドに20を入力し、パスワードが11月1日に作成されたとします。11月21日に、パスワードが12月1日に期限切れになることがユーザーに通知されます。 このフィールドには0 - 999の値を入力できます。 |
過去のパスワードの禁止 |
旧パスワードを再利用できる頻度。このポリシーにより、一連の共通パスワードが使い回されることのないようにします。 たとえば、「過去のパスワードの禁止」フィールドに10を入力した場合、10個の異なるパスワードを使用した後にのみパスワードを再利用できます。 このフィールドには0 - 24の値を入力できます。 |
有効期限切れまで(日数) |
パスワードを使用できる最大日数。 たとえば、有効日数フィールドに30を入力した場合、パスワードを作成または最終変更したときから30日目までに変更する必要があります。 このフィールドには0 - 999の値を入力できます。 注意: 有効日数フィールドに指定された日数が経過すると、パスワードの変更を求めるメッセージが表示されます。 |
次のオプションのいずれかを選択します。
複雑なパスワード: このオプションを選択すると、次の複雑なパスワードの基準が設定されます。
パスワードの長さは6文字以上であること。最小長フィールドに入力された値が6未満の場合、このパスワードの長さが最小長フィールドより優先されます。たとえば、最小長フィールドに2を入力した場合、複雑なパスワードの基準に従って最低6文字が必要であるため、パスワードには6文字以上が必要です。
パスワードには、次の5種類のうち3種類以上の文字が含まれていること。
- 英大文字(A - Z)
- 英小文字(a - z)
- 10進法の数字(0 - 9)
- 英数字以外の文字(!、$、#、%など)
- Unicode文字
パスワードには、2文字を超えるユーザーID、名または姓を含めることはできません。
名前は、カンマ、ピリオド、ダッシュ/ハイフン、アンダースコア、スペース、ポンド記号、タブをデリミタとして解析されます。これらのデリミタのいずれかが検出されると、名前は分割され、すべての部分がパスワードに含まれていないか検証されます。たとえば、ユーザー名がjohn-dの場合は、dは長さが2未満のため、パスワードでチェックされません。同様に、名前がJohn Richard Doeの場合は、john、richard、doeはパスワードに含めることはできません。
ユーザーの氏名に対するチェックでは、カンマ、ピリオド、ダッシュやハイフン、アンダースコア、スペース、ポンド記号、タブなどの文字は、名前を個別の文字セットに区切るデリミタとして扱われます。3文字以上を含む各文字セットが、パスワード内で検索されます。その文字セットがパスワード内に存在する場合、パスワード変更は却下されます。たとえば、名前John Richard-Doeは、3つの文字セット(John、RichardおよびDoe)に分けられます。このユーザーは、パスワード内のどの場所であっても、John、RichardまたはDoeからの連続した3文字で構成されるパスワードを持つことはできません。ただし、パスワードには部分文字列d-Dを含めることができます(ハイフン(-)は部分文字列RichardとDoeの間のデリミタとして扱われるため)。また、パスワード内の文字セットの検索では、大文字と小文字は区別されません。
注意: ユーザーのフル・ネームの長さが3文字未満の場合、パスワードが拒否される確率が高すぎるため、パスワードはフル・ネームと照合されません。 |
カスタム・ポリシー: 「カスタム・ポリシー」オプションを選択すると、表4-2に示すフィールドを使用してカスタム・パスワード・ポリシーを設定できます。
表4-2 「カスタム・ポリシー」セクションのフィールド
フィールド名 | 説明 |
---|---|
最大長 |
パスワードに含めることができる最大文字数 たとえば、最大長フィールドに8を入力した場合、9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
最大限の繰返し文字数 |
パスワードで文字を繰り返すことができる最大回数。 たとえば、「最大限の繰返し文字数」フィールドに2を入力した場合、文字が3回以上繰り返されているパスワードは使用できません。たとえば、RL112211は、文字 注意: この例では、文字 このフィールドには1 - 999の値を入力できます。 |
最小限の数字数 |
パスワードに含める必要がある最小限の数字の数。 たとえば、「最小限の数字数」フィールドに1を入力した場合、パスワードには少なくとも1つの数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。 |
最小限の英数字数 |
パスワードに含める必要がある文字または数字の最小数。 たとえば、「最小限の英数字数」フィールドに6を入力した場合、パスワードには少なくとも6つの文字または数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。 |
最小限のユニーク文字数 |
パスワードに含める必要がある、繰り返されない文字の最小数。 たとえば、「最小限のユニーク文字数」フィールドに1を入力した場合、パスワード内の少なくとも1つの文字が繰り返されていなければパスワードは受け入れられます。たとえば、1a23321では、文字 このフィールドには0 - 999の値を入力できます。 |
最小限の英字数 |
パスワードに含める必要がある最小限の文字数。 たとえば、「最小限の英字数」フィールドに2を入力した場合、2文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
最小限の大文字数 |
パスワードに含める必要がある大文字の最小数。 たとえば、「大文字: 最小」フィールドに8を入力した場合、大文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
最小限の小文字数 |
パスワードに含める必要がある小文字の最小数。 たとえば、「最小限の小文字数」フィールドに8を入力した場合、小文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
必須の文字 |
パスワードに含める必要がある文字。 たとえば、「必須の文字」フィールドにxを入力した場合、文字xを含むパスワードのみ使用できます。 「必須の文字」フィールドに指定する文字は、「許可される文字」フィールドで指定する必要があります。「許可された文字」フィールドに存在しない文字を「必須の文字」フィールドに入力すると、必須の文字は許可された文字のリストに含まれている必要があること、および必須の文字は許可されない文字に含まれていてはいけないことを示すエラーが表示されます。 また、2文字以上を指定する場合は、デリミタを付けないでください。このフィールドではカンマとスペースも文字として解釈されます。たとえば、「a,x,c」などの文字を指定した場合、カンマを含まないパスワードは使用できません。 注意: 指定する文字では大文字と小文字が区別されます。 |
許可される文字 |
パスワードに含めることができる文字。 たとえば、「許可される文字」フィールドにパーセント記号(%)を入力した場合、他の基準をすべて満たしていれば、パーセント記号を含むパスワードを使用できます。 注意: パスワードに文字が含まれており、その文字が「許可される文字」フィールドにない場合、パスワードは拒否されます。たとえば、「許可される文字」フィールドでabcが指定されており、パスワードがdadの場合、dは「許可される文字」フィールドにないため、このパスワードは拒否されます。 「許可される文字」フィールドと「許可されない文字」フィールドに同じ文字を指定すると、パスワード・ポリシーの作成時にエラー・メッセージが返されます。 注意: 指定する文字では大文字と小文字が区別されます。 |
許可されない文字 |
パスワードに含めてはならない文字。 たとえば、「許可されない文字」フィールドに感嘆符(!)を入力した場合、感嘆符を含むパスワードは使用できません。 注意: 指定する文字では大文字と小文字が区別されます。 |
許可されない部分文字列 |
パスワードに含めてはならない英数字の連続文字列。 たとえば、「許可されない部分文字列」フィールドにoracleを入力した場合、文字o、r、a、c、l、eの順に連続して含まれるパスワードは使用できません。 |
特殊文字: 最小 |
パスワードに含める必要がある特殊文字の最小数。 たとえば、「特殊文字: 最小」フィールドに2を入力した場合、特殊文字が2文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
特殊文字: 最大 |
パスワードに含めることができる特殊文字の最大数。 たとえば、特殊文字: 最大フィールドに5を入力した場合、特殊文字が6つ以上含まれるパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
Unicode文字: 最小 |
パスワードに含める必要があるUnicode文字の最小数。 たとえば、Unicode文字: 最小数フィールドに3を入力した場合、Unicode文字が3文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。 |
Unicode文字: 最大 |
パスワードに含めることができるUnicode文字の最大数。 たとえば、Unicode文字: 最大数フィールドに8を入力した場合、Unicode文字が9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。 |
英字で開始 |
パスワードが英字で始まる必要があるかどうか。 たとえば、このオプションを選択した場合、パスワード123welcomeは、先頭が文字でないため使用できません。ただし、このオプションを選択しない場合、パスワードは英字、数字または特殊文字で始めることができます。 |
ユーザーIDを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーIDを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、パスワード・フィールドにユーザーIDが入力されると、パスワードは無効になります。また、「パスワード」フィールドにパスワードの一部としてユーザーIDが入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーIDが含まれているパスワードを使用できます。 |
ファースト・ネームを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーのファースト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、パスワード・フィールドにユーザーのファースト・ネームが入力されると、パスワードは無効になります。また、ユーザーのファースト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのファースト・ネームが含まれているパスワードを使用できます。 |
ラスト・ネームを許可しない |
このチェック・ボックスは、パスワードの全部または一部としてユーザーのラスト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合は、「パスワード」フィールドにユーザーのラスト・ネームが入力されると、パスワードは無効になります。また、ユーザーのラスト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのラスト・ネームが含まれているパスワードを使用できます。 |
パスワード・ファイル |
パスワードとして許可されない事前定義済の用語が含まれるファイルのパスと名前。このファイルは、Oracle Identity Managerがデプロイされているホストに格納する必要があります。 注意: 「ポリシー・ルール」タブ上の設定は、パスワード・ファイル内の仕様よりも優先されます。たとえば、許可されない用語が「ポリシー・ルール」タブで指定されていないときに、パスワード・ファイルの許可されない用語がポリシー内で使用されることがあります。 |
パスワード・ファイル・デリミタ |
パスワード・ファイル内で用語を区切るために使用されるデリミタ文字。 たとえば、パスワード・ファイル・デリミタ・フィールドにカンマ(,)を入力した場合、パスワード・ファイル内の用語はカンマで区切られます。 注意: パスワード・ポリシー内で使用するエスケープ文字は定義されていません。 |
「適用」をクリックし、パスワード・ポリシーを保存します。
注意: パスワード・ポリシーの作成後、ポリシーを組織に関連付ける必要があります。ポリシーのルールがその組織のユーザーと下位組織に適用されます。組織へのパスワード・ポリシーの関連付けの詳細は、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』の組織の作成に関する説明を参照してください。 |
パスワード・ポリシーを削除する手順は、次のとおりです。
「パスワード・ポリシー」ページで、削除するパスワード・ポリシーを検索し、選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
「はい」をクリックして削除を確認します。
組織のパスワード・ポリシーの設定の詳細は、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』の組織の作成に関する説明を参照してください。