| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの管理 11g リリース2 (11.1.2.3) E61949-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの管理 11g リリース2 (11.1.2.3) E61949-01 |
|
前 |
次 |
この章では、管理コンソールでのPassword Resetの設定と、これらを使用してリポジトリ、接続およびエンド・ユーザー向けの登録インタビューとリセット・クイズを構成する方法について説明します。
この項では、次の手順について説明します。
Password Resetサーバー・アプリケーションのインストール後、最初のタスクは、ディレクトリ・サーバーまたはリレーショナル・データベースとWebサービスで使用するサービスを構成することです。「System」タブのダイアログ・ページで、この初回設定を実行します。
「Reset Service」タブでは、匿名ログオン・アカウント(Password Resetのユーザーおよび管理者がサービスへのアクセスに使用するユーザー・アカウント)を設定します。
「Storage」タブでは、システム質問およびユーザー・データ用のPassword Resetリポジトリが作成されるようにディレクトリまたはデータベースを構成します。
「Reset Service」タブでは、サービス・アカウント(Password Resetがサーバーにログオンする際に使用するユーザー・アカウント)を設定します。
これらの手順の終了後、リセット・サービス自体の構成を開始できます。次のようなタスクがあります。
一連のシステム質問および関連ポイント値を指定して、登録インタビューを設定します。
一般的なリセット・サービス・オプションを設定します。これらのオプションには、合格および不合格のスコアのしきい値、ユーザー・ロックアウト・パラメータおよび管理者が含まれています。
「Storage」タブ(「System」ノードの下)は、Password Resetシステム質問およびユーザー登録のリポジトリとして使用するデータベース(SQL ServerやOracle Database)またはディレクトリ・サービス(Active DirectoryやAD LDS (ADAM))の接続設定を表示または変更するために使用します。これを行うには、「Storage Configuration」グループの設定を使用します。変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
また、Password Resetで初回設定(登録およびリセットのサービスに使用するデータベースやディレクトリ・サーバー・リポジトリを準備する)タスクを実行する場合も、「Storage」タブを使用します。次のようなタスクがあります。
ディレクトリ・タイプ/データベース表を含めるためのスキーマの拡張
主要なコンテナまたはデータベースの作成
Webサービス・アカウントへの読取り/書込みアクセス権の付与
必要な子オブジェクトまたは表の作成
これらのタスクを実行するには、「Initialize Storage」グループのコントロールを使用します。
「Initialize storage for Password Reset」を選択します。
「Connect as User Name」に、ディレクトリ・サーバーの管理者のユーザー名を入力します。
管理者パスワードを入力します。
「Submit」をクリックして変更を保存します。「Storage」タブを閉じる前に「Submit」ボタンをクリックしないと、変更が失われます。
次の表に、記憶域に使用されるサービスのタイプに関する情報を示します。
| 記憶域の構成 | |
|---|---|
| Storage type | 使用するサービスのタイプです。このグループのその他の設定は、ここでの選択に基づいて変更されます。
オプションは次のとおりです。 |
次の表に、Active DirectoryとAD LDS (ADAM)の接続設定の構成に関する情報を示します。
次の表に、LDAPの接続設定の構成に関する情報を示します。
|
注意: Oracle Internet Directory (OID)をリポジトリとして使用する場合に「Enrollments」タブと「Resets」タブが正しく機能するには、OIDに含まれるCatalog Management Toolを使用して、createTimestamp属性を索引付けする必要があります。 |
次の表に、Oracle Databaseの接続設定の構成に関する情報を示します。
次の表に、SQL Serverの接続設定の構成に関する情報を示します。
次の表に、初期設定でデータベースまたはディレクトリ・サーバー・リポジトリを準備するための情報を示します。
| 記憶域の初期化 | |
|---|---|
| Initialize storage for ESSO-PR | 初めて行う構成タスクを有効にします。このオプションが選択されている場合は、Password Resetによってリスト内の新しい接続が検索され、順次初期化が試行されます。ある接続の初期化が正常に実行されなかった場合、初期化はその時点で停止し、リスト内のそれ以降の接続は初期化されません。このような状況が発生した場合は、問題を解決してから、初期化を再試行します。
Oracle Databaseに関する注意: 「Database Connections」セクションで実行した手順により、この設定は不要で、Oracle Databaseには使用できません。次の2つの設定のみ入力する必要があります。 |
| Connect as (User Name) | ディレクトリまたはデータベースの管理者のユーザー名。 |
| Password | 管理者のパスワード。 |
サーバーを追加するには、次を実行します。
パスワードのリセット情報(ユーザー、パスワードのリセット・ポリシー、登録の質問および回答)を保持するサーバーの名前またはIPアドレスとポート番号を入力します。
終了したら、「OK」をクリックして「Storage Configuration」タブに戻ります。
フェイルオーバーのサポート用に複数のサーバーを使用できます。2つ以上のサーバー・アドレスを入力すると、Password Resetは、正常に接続されるか、またはすべての接続に失敗するまでリストに示された順序で接続の試行を繰り返します。
パスワードのリセット情報(ユーザー、パスワードのリセット・ポリシー、登録の質問および回答)を保持するサーバーへの接続文字列を入力する必要があります。これは、データベース・サーバーに対する完全な接続文字列である必要があります。次に例を示します。
Oracle DBの場合:
Provider=OraOLEDB.ORACLE;Data Source=XE;User ID=system;Password=password
SQL Serverの場合:
Provider=SQLOLEDB.1;Integrated Security=SSPI;Initial Catalog=SSPR;Data Source=Servername;Trusted_Connection=Yes
フェイルオーバーのサポート用に複数のサーバーを使用できます。2つ以上のサーバー・アドレスを入力すると、Password Resetは、正常に接続されるか、またはすべての接続に失敗するまでリストに示された順序で接続の試行を繰り返します。
接続文字列を追加するには、次の手順を実行します。
パスワードのリセット情報を保持するサーバーへの接続文字列を入力します(ユーザー、パスワードのリセット・ポリシー、登録の質問および回答)。
終了したら、「OK」をクリックして「Storage Configuration」タブに戻ります。
「Reset Service」タブ(「System」ノードの下)を使用して、Internet Information Services (IIS) Webサービスの匿名ログオンを設定するか、変更します。これは、すべてのエンド・ユーザーがPassword Resetインタフェースへのアクセスに使用するドメイン・アカウントです。
次の図に、「Reset Service」タブで値が入力されている「Status」、「Account」、「Listening Port」および「Domain」フィールドを示します。
このダイアログで指定した匿名ログオン・アカウントは、コンピュータ管理サービス・ツールの「Log On As」列に表示されます。アカウントには、次のタスクを実行する権限を含むローカル管理者権限が付与されている必要があります。
サービスの開始、停止および変更
Active Directory、AD LDS (ADAM)インスタンスまたはデータベース・サーバーからの読取り、またはそれらへの書込み
ローカル・マシンのレジストリ(HKLM)への書込み
|
注意: 管理者権限を持つ新しいユーザー・アカウントを作成するには、Windowsの「コンピューターの管理」コンソールの「ユーザーとグループ」ツールを使用します。 |
匿名ログオンを設定または変更するには、次の手順を実行します。
使用するアカウントのユーザー名およびパスワードを入力します。
確認のため再度パスワードを入力します。
「Submit」をクリックします。
| 設定 | 機能 |
|---|---|
| Status | リセット・サービス・アカウントを起動するかどうかを表示します。このフィールドは、情報のみです。 |
| Account | 現在のリセット・アカウントを表示します。このフィールドは、情報のみです。 |
| User name | リセット・サービス・アカウントに指定したユーザー名。 |
| Password and Confirm password | リセット・サービス・アカウントのパスワード。両方のフィールドにパスワードを入力します。 |
| Listening Port | パスワードのリセット・アクティビティの検出に使用されるポートの番号(デフォルトは 45000)。 |
| Domain | ユーザー・アカウントが配置されている信頼できるドメイン。この設定は、ユーザー・アカウントがPassword Resetマシンのドメイン以外のドメインにある場合にのみ必要です。
注意: この設定への変更は、すぐに有効になり、IISまたはパスワード・リセット・サービスの再起動は必要ありません。 |
ユーザーが登録プロセスを起動すると、Password Resetによって登録インタビューが表示されます。
登録インタビューは、次の2つのグループの質問で構成されます。
必須質問
オプション質問
必須質問およびオプション質問は、システム質問と呼ばれます。システム質問は、管理者が管理コンソールの「Questions」タブを使用して、事前定義し、管理するものです。詳細は、「システム質問の編集」および「質問の例」を参照してください。
エンド・ユーザーが質問に回答して、定義された登録レベルを満たすと、登録インタビューは終了します。
ユーザーがオプション質問をスキップすると、登録レベルのしきい値を満たさない場合があります。この場合、Password Resetはオプション質問セットを再度開始し、スキップされた可能性のある質問に回答するようにユーザーに求めます。
登録レベルは「Settings」タブで指定します。管理者は、この機能を使用して、エンド・ユーザーが登録インタビュー・プロセスを完了するために蓄積する必要がある合計ポイント値(認証しきい値)を設定できます。以前は、認証成功レベル(「Settings」 > 「Authentication thresholds」)を満たすために十分な合計ポイント値を持つ必須質問を、管理者は構成する必要がありましたが、しきい値によってこの要件はなくなります。
図pr_settings_stngs_crop.pngの説明
Password Resetでは、必須質問およびオプション質問の両方をカウントして登録レベルを満たすように、十分なポイントを持つ質問を構成できます。登録レベルは、認証成功レベル以上である必要があります。登録レベルと認証成功レベルの両方のしきい値によって、ユーザーは質問プールから回答する質問を柔軟に選択できます。
登録インタビュー中の質問の開始は、オプションまたは必須にできます。プログレス・バーに、ユーザーが登録レベルのしきい値をどの程度満たしたかが(パーセントで)表示されます。
ユーザーが質問セットの最後に達しても、ポイントが登録レベルに満たない場合は、Password Resetに「You have not answered enough optional questions to satisfy the enrollment requirement. In order to complete the enrollment process, you must continue to answer questions until the progress bar reaches 100%.」というメッセージが表示されます。Password Resetは、オプション質問セットを開始して、前にスキップした質問に回答するようにユーザーに求めます。
最初に表示される登録ダイアログは、各国語サポート(NLS)によって、必要に応じてビジネス単位ごとの優先言語で表示できます。NLSは、Password Resetでサポートされるすべての言語で必要になります。
英語の登録インタビューの最初のページに表示される「ようこそテキスト」は、UserText.xmlというXMLファイルに格納されます。ローカライズされたようこそページのXMLファイルの名前は、UserText.language_code.xmlという形式になり、language_codeは.NETで使用するRFC 1766フォーマットで示されている言語コードに置き換えられます。たとえば、ドイツ語のXMLファイルはUserText.de.xml、フランス語のXMLファイルはUserText.fr-ca.xmlという名前になります。これらのファイルは、\WebServicesフォルダに格納されます。Password Resetは、前述の名前付けパターンを使用しているファイルすべてをロードし、適切なバージョンを使用して登録ページのようこそ画面を表示します。
クライアント側のWindowsインタフェースは、ユーザーがインストールした言語をURL内で渡して、その言語で登録ページを表示するようにPassword Resetに伝えます。
すべての言語コードのリストについては、第7.3.4項「Password Resetのクライアント側レジストリ設定」を参照してください。
「Questions」タブを使用して、システム質問の現在のセットを確認し、変更します。新しい質問の作成、その言語の設定、そのポイント値の設定、必須/任意のステータスの設定、エンド・ユーザーの回答の回答ソースと妥当性チェックの設定、アクセスを許可または拒否する「Users and Groups」の選択を実行できます。
テキスト、言語および既存の質問の重み付けを変更できます。システム質問を無効化(つまり、登録インタビューから削除)することもできます。登録インタビューで無効した質問は、無効にした質問に対してすでに回答しているエンド・ユーザーがリセット・クイズを受ける場合はリセット・クイズに表示されますが、質問を無効にした後に登録または再登録したユーザーがリセット・クイズを受ける場合は表示されなくなります。
詳細は、「システム質問の作成」、「システム質問の編集」および「登録インタビュー」を参照してください。
「System Questions」タブ(「Questions」ノードの下)を使用して、登録インタビューのシステム質問を作成します。質問の重み付けの有効化/無効化および変更を含めて、質問の編集手順については、「システム質問の編集」を参照してください。推奨されているテキストおよび設定については、「質問の例」も参照してください。
|
注意: Password Resetは、1方向のSHA-1ハッシュ・アルゴリズムを使用して、登録インタビューの回答を暗号化された形式でリポジトリに格納します。また、ハッシュする前に、16乱数バイトのエントロピが登録回答に追加されます。 |
新しいシステム質問を作成するには、次の手順を実行します。
「System Questions」タブで、質問を入力する言語を選択します。デフォルトの言語は常に使用可能です。Password Resetでは、次の言語オプションが提供されています。
|
|
|
同じ質問を複数の言語で入力および構成できます。このタブに移動し、ドロップダウン・リストから言語を選択すると、選択した言語で質問が表示されます。
このリストに質問を追加すると、ウィンドウの直下の行では、ユーザーが正しい回答と間違った回答で蓄積できるポイントの集計が行われます。「Settings」タブで指定した認証しきい値に達するために十分なポイントを持つ質問を追加するまで、その行は赤字で表示されます。
「Add」をクリックして、「Edit Question」ダイアログを起動し、質問の入力および構成を開始します。
セルフ・サービス・リセットのセキュアな実装は、個々のシステム質問の選択および重み付けによって異なります。各質問に関する主要な考慮事項を次に示します。
回答の機密性。あるユーザーの回答を知っている(または推測できる)他のユーザーの数(理想的には0)。回答の機密性が高い場合、リセット・クイズで回答が正しかった場合に質問に割り当てることができるポイント値も高くなります。
回答の個人性。誤った回答によって、リセット・クイズを受けているユーザーが認証ユーザーではないことを確認できるレベル。たとえば、「左利きですか、右利きですか、両利きですか。」などの質問。個人的な回答を求める質問は、リセット・クイズでエリミネータとして使用できます。回答が正しい場合は数ポイントまたは0ポイントが加算され、回答が正しくない場合は多くのポイントが減算されます。
回答の覚えやすさおよび不変性。これによって、ユーザーは、登録時に入力した回答を正確に思い出すことができます。好みに関連する質問(「一番好きなアイスクリームは何ですか。」など)は、回答が正しい場合も正しくない場合も低いポイント値にする必要があるため、任意の質問に最適です。対照的に、簡単に思い出すことができる不変の事実に基づいた質問(「最後に通った高校の名前は何ですか。」など)は、回答が正しい場合または正しくない場合に高いポイント値にすることができます。これらの質問は、必須の質問に最適です。
リセット・クイズに合格する(または明示的に不合格になる)ために回答する必要がある質問の最小数。これは、合格/不合格のスコアのしきい値、および正しい回答をした場合および正しくない回答をした場合に応じて各質問に割り当てるポイント値から導出されます。
詳細は、「質問の例」を参照してください。
システム質問を作成した後に、「Edit Question」タブでその構成を編集および調節できます。このタブにアクセスするには、「System Questions」タブで「Edit」ボタンをクリックします。
このタブを使用すると、次の操作を実行できます。
新しい質問の作成(必要に応じて、複数の言語で)。
ポイント値の割当て。
必須/任意のステータスの設定。
回答のソースの指定。
エンド・ユーザーの回答に対する妥当性チェック。
質問へのアクセスを許可または拒否するユーザーとグループの選択。
システム質問の無効化、つまり、登録インタビューからの削除。
登録インタビューで無効した質問は、無効にした質問に対してすでに回答しているエンド・ユーザーがリセット・クイズを受ける場合はリセット・クイズに表示されますが、質問を無効にした後に登録または再登録したユーザーがリセット・クイズを受ける場合は表示されなくなります。
詳細は、「登録インタビュー」を参照してください。推奨されているテキストおよび設定については、「質問の例」も参照してください。
次の表に、「Question Text」の設定に関する情報を示します。
| 質問のテキスト | 説明 |
|---|---|
| 質問のテキスト | 質問のテキストがそのままの状態でエンド・ユーザーに対してデフォルトの言語で表示されます。
大/小文字の区別を指定した場合、リセット・クイズで入力する回答は、「Enrollment Interview」での回答と厳密に同じスペル、句読点、大/小文字の区別および空白が使用されている必要があります。したがって、書式に関する指示または例を含めることをお薦めします。たとえば、電話番号を尋ねる場合は、(333) 555-1234などの例を示して登録インタビューとリセット・クイズ間での一貫性を保持します。「社会保障番号は何ですか。」という質問の場合は、その回答の数字セグメント間にダッシュが必要かどうかを明記します。 |
| <言語>テキスト | 2つ以上の言語でPassword Resetを使用している場合、このフィールドに翻訳した質問テキストを入力します。 |
次の表に、「Question Properties」の設定に関する情報を示します。
| 質問のプロパティ | |
|---|---|
| Correct response weight | 質問に対する回答が正しい場合にエンド・ユーザーのスコアに加算されるポイントの数を指定します。このフィールドを変更する場合は、「質問の重み付けの変更」を参照してください。 |
| Wrong response weight | 質問に対する回答が正しくない場合にエンド・ユーザーのスコアから減算されるポイントの数を示す負の数を指定します。このフィールドを変更する場合は、「質問の重み付けの変更」を参照してください。 |
| Enabled | 選択した場合: 対象となっている質問は、登録インタビューおよびリセット・クイズで使用されます。
選択を解除した場合: 対象となっている質問は、登録インタビューでは使用されなくなります。1)以前に有効にされた場合および2)エンド・ユーザーが登録インタビューでこの質問に回答した場合にのみ、リセット・クイズで使用されます。 |
| Required | 選択した場合: 必須の質問になります。エンド・ユーザーは、登録を終了するために質問に回答する必要があります。必須の質問は、リセット・クイズで常に使用されます。
選択を解除した場合: 任意の質問になります。エンド・ユーザーは、登録インタビューでこの質問をスキップできます。スキップした場合、この質問は、このエンド・ユーザーのリセット・クイズでは使用されなくなります。 エンド・ユーザーが任意の質問に回答すると、その質問は、すべての必須の質問が終了した後でのみリセット・クイズで使用されます。 |
次の表に、「Answer Constraints」の設定に関する情報を示します。
| 回答の制約 | |
|---|---|
| Answer source | 対象となっている質問に対する回答のソースを指定します。ユーザーが登録インタビュー中に正しい回答を入力する場合、デフォルトの「User Supplied」を選択します。
ユーザーがソースを指定しない場合、ドロップダウン・リストから、外部バリデータの場所を選択します。詳細は、「外部バリデータ」を参照してください。 |
| Minimum answer length | エンド・ユーザーが有効な回答として入力する必要がある文字の最小数を指定します。 |
| Answer format | 正規表現を使用して回答の書式および句読点を指定します。たとえば、日付書式12/1/1983は次の式で指定できます。
\d*\d/*\d\d/\d{4}
(月日には 1桁または 2桁のエントリを使用できます。年は 4桁にする必要があります)。エンド・ユーザーに社会保障番号をダッシュ付きで入力させる場合は、次の式を使用します。
\d{3}-\d{2}-\d{4}
この設定はオプションです。 注意: 正規表現の詳細は、 |
| Case sensitive | 選択した場合。エンド・ユーザーの回答で大/小文字の使用に一貫性が保持されているかどうかが確認されます。
選択を解除した場合。エンド・ユーザーの回答で大/小文字の使用に一貫性が保持されているかどうかが確認されません。 |
次の表に、「Access Control」の設定に関する情報を示します。
| アクセス制御 | |
|---|---|
| Allow | 「Add」ボタンをクリックして、この質問を受信するユーザーおよびグループを選択するためのウィンドウを起動します。「質問を割り当てるユーザーおよびグループの選択」を参照してください。 |
| Deny | 「Add」ボタンをクリックして、この質問を受信しないユーザーおよびグループを選択するためのウィンドウを起動します。
注意: デフォルトでは、アクセスを拒否されたユーザーまたはグループが存在する場合は、「Allow」リストに指定されているユーザーおよびグループ以外のすべてのユーザーおよびグループによるアクセスが拒否されます。 |
「Access Control」設定の「Add」ボタンをクリックすると、「Edit Users and Groups」ダイアログが表示されます。
このダイアログを使用するには、次の操作を実行します。
必要に応じて、検索フィルタを入力して、ドロップダウン・リストからドメインを選択します。
グループだけでなく個々のユーザーもリストに表示する場合、画面下部にある「Show Users」ボックスを選択します(リストが非常に長くなることがあります)。検索を実行する前または後に、このボックスを選択できます。
「Search」ボタンをクリックします。
左側の「Users and Groups」リストをスクロールして、構成中の質問を受信する人物を指定するために、グループ(および下部のボックスを選択した場合はユーザー)を見つけます。
次のいずれかを行います。
一方のリストでアイテムをダブルクリックして、もう一方のリストに移動します。
右向きの二重矢印(>>)をクリックして、ユーザーまたはグループを右側の「Selected」リストに移動します。左向きの二重矢印(<<)をクリックすると、エントリが削除されます。
「OK」をクリックして選択内容を保存して、「Edit Question」ダイアログに戻ります。
システム質問をユーザーおよびグループに割り当てる方法の詳細は、「ロール/グループのサポート」を参照してください。
質問のテキストまたはポイント値の変更、ユーザーおよびグループへのその割当てまたは割当て解除、登録インタビューからの完全削除を実行できます。これらのタスクを実行するには、次の手順を実行します。
「Questions」タブで、質問を変更する言語を選択します。
次のいずれかを行います。
質問をダブルクリックします。
質問を選択して、「Edit」をクリックします。
「Edit Question」ダイアログで、次のいずれかまたはすべてを実行します。
テキストを編集してから、「OK」をクリックします。
重み付けを編集してから、「OK」をクリックします。
|
注意: 「Correct Response Weight」または「Wrong Response Weight」フィールドの値を変更した場合、「Response Weights Changed」ダイアログが表示されます。「質問の重み付けの変更」を参照してください。 |
質問を登録インタビューから削除する場合は、「Enabled」の選択を解除します。
|
注意: 質問の作成後、必須にするかどうかまたは回答の制約設定を変更できません。 |
この質問を割り当てるユーザーおよびグループを選択または選択解除します。
|
注意: リポジトリにデータベース(Microsoft SQL ServerまたはOracle Databaseなど)を使用している場合、ユーザーまたはグループに質問を割り当てることはできません。設定は、編集に使用できますが、割当ては、データベースに書き込まれません。 |
「OK」をクリックして変更を保存するか、または「Cancel」をクリックして変更を破棄して、「System Questions」タブに戻ります。
質問の重み付けの変更は、リセット・クイズで多少効果があると判断された場合に行うことができます。質問の作成後に正しい回答の重み付けを変更した場合に発生する可能性がある影響として、登録しているユーザーが、すべての質問に対して正しく回答した場合でもスコアが不十分なためリセット・クイズに合格できなくなる可能性があることがあげられます。このような状況が発生しないようにするために、正しい回答の重み付けを変更するとダイアログが表示され、次のオプションが提供されます。
Modify this question: このオプションを選択すると、対象となっている質問に対して変更が行われます。登録時にこの質問に回答したユーザーは、正しい回答の重み付けの設定が低すぎる場合、パスワードをリセットできない可能性があることに注意してください。
または
Disable this question and create a new question: 対象となっている質問を無効にし、変更を反映して新しい質問を作成します。このオプションには、現在登録しているユーザーは変更の影響を受けないというメリットがあります。無効にした質問は、「System Questions」リストに無効として(グレーアウトされて)表示されることに注意してください。
次の表に、必須、エリミネータまたは任意の質問として推奨されているシステム質問のいくつかの例を、-100から100ポイントのデフォルトのスコアのしきい値に基づいた推奨ポイント値とともに示します。
次に示す質問は、必須の質問に最適です。これらのすべての質問では、レコードに基づいた事実が回答となることに注意してください。できるかぎり多くの異なるソースからの回答が含まれるように必須の質問を選択することをお薦めします。たとえば、一部の州では、運転免許証に社会保障番号および生年月日が示されている場合があります。
| 質問 | 必須かどうか | 回答が正しい場合のポイント | 回答が正しくない場合のポイント |
|---|---|---|---|
| 社会保障番号は何ですか(番号のみで空白は入れない)。 | Y | 10 | -75 |
| 生年月日はいつですか(mmddyy)。 | Y | 25 | -50 |
| 出生地はどこですか。 | Y | 25 | -50 |
| お母さんの旧姓は何ですか。 | Y | 25 | -75 |
| 最初に通った学校の名前は何ですか(または最初に通ったことを覚えている学校の名前は何ですか)。 | Y | 25 | -25 |
| 最後に通った高校の名前は何ですか。 | Y | 25 | -25 |
|
注意: この手順でWindows統合認証方式を使用するには、Password ResetサーバーのURLがすべてのエンド・ユーザーのInternet Explorerローカル・イントラネット・ゾーンに追加されている必要があります。このURLがないと、パススルー認証が失敗し、そのユーザーはcheckenrollment.aspxページへの権限を持っているにもかかわらず、強制登録を求められません。 |
ユーザーを強制登録から除外するには、次の手順を実行します。
Internet Information Services (IIS) Managerツールを開きます。
vGOSelfServiceReset仮想Webディレクトリを検索して、展開します。
vGOSelfServiceResetのResetClient仮想ディレクトリの直下のCheckEnrollment.aspxファイルを探します。
CheckEnrollment.aspxを右クリックして、「Properties」を選択します。
CheckEnrollmentStatus.aspxのプロパティで、「File Security」タブをクリックしてから、「Authentication and access control」セクションで「Edit」をクリックします。
「Authentication Methods」ダイアログで、「Integrated Authentication」のみを選択するように、「Anonymous Access」の選択を解除します。
C:\Program Files\Passlogix\v-GO SSPR\ResetClientにナビゲートして、CheckEnrollment.aspxファイルに権限を設定します。「Deny」権限を選択した状態で除外グループを追加します。次の例では、除外グループはUniversal_Group_SSPRです。
エンド・ユーザーがパスワードのリセットをリクエストすると、Password Resetによってリセット・クイズが表示されます。
リセット・クイズは、エンド・ユーザーが登録インタビューで回答したシステム質問から導出された一連の質問です。リセット・クイズでは、すべての必須の質問が一度に1つずつランダムに表示され、エンド・ユーザーはそれらに回答を入力していきます。必須の質問が設定されていない場合、Reset Quizによって、オプションの質問のみが表示されます。各回答に対して、回答が正しい場合は事前設定されたポイント値が合計スコアに加算され、回答が正しくない場合はポイント値が減算されます。
すべての必須の質問が表示された後、リセット・クイズは次のいずれかが行われるまで続行します。
すべての任意の質問が表示される。
エンド・ユーザーが2つのスコアのしきい値のいずれかを満たす十分な数の質問に回答する。
エンド・ユーザーのスコアが、事前設定された合格スコアのしきい値以上の場合は、「New Password」ダイアログが表示されます。次に、エンド・ユーザーは、新しいパスワードを入力および確認してから、最初のログオン・ダイアログに戻ります。
エンド・ユーザーのスコアが、事前設定された不合格スコアのしきい値以下の場合は、リセット・クイズがパスワードのリセットなしで終了し、エンド・ユーザーは最初のログオン・ダイアログに戻ります。このテスト・セッションは、Password Resetによって、エンド・ユーザーが質問に正しく回答しなかったことによってテストに合格しなかったことを示す明示的な不合格として記録されます。
エンド・ユーザーがいずれのスコアのしきい値にも到達せずにすべての質問への回答を終了した場合は、リセット・クイズがパスワードのリセットなしで終了し、エンド・ユーザーは最初のログオン・ダイアログに戻ります。このテスト・セッションは、Password Resetによって、エンド・ユーザーが合格または明示的な不合格という結果を出すための十分なスコアを取得できずにテストに合格しなかったことを示す暗黙的な不合格として記録されます。
合格および不合格のスコアのしきい値は、管理コンソールのPassword Resetノードの「Settings」ページで管理者が設定します。個々のシステム質問のテキストおよびポイント値は、「System Questions」ページで設定します。
詳細は、「リセット・サービスの設定」も参照してください。
スコアのしきい値は、エンド・ユーザーがリセット・クイズに合格か不合格かを決定するポイント値です。
合格値は、パスワードのリセットのためにエンド・ユーザーが取得する必要があるスコア(テストで取得したポイント値の合計)を示します。
不合格値は、リセット・クイズの質問に正しく回答しない場合にエンド・ユーザーが取得可能な最小(負)のスコアを示します。エンド・ユーザーのスコアがこの設定を下回ると、リセット・クイズは、パスワードのリセットなしで終了します。
詳細は、「登録レベルの設定」を参照してください。
「Settings」タブ(「Settings」ノードの下)を使用して、リセット・クイズの一般設定を変更します。変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
次の表に、「Authentication Threshold」の設定(次に示す)に関する情報を示します。
| 認証しきい値 | |
|---|---|
| Authentication Success Level | パスワードのリセットのためにエンド・ユーザーが取得する必要があるスコア(テストで取得したポイント値の合計)。デフォルト値は100です。 |
| Authentication Failure Level | エンド・ユーザーが取得可能な最小(負)のスコア。エンド・ユーザーのスコアがこの設定を下回ると、リセット・クイズは、パスワードのリセットなしで終了します。デフォルト値は-100です。 |
| Enrollment Level | 登録インタビューを完了するためにエンド・ユーザーが取得する必要があるスコア(登録インタビューで取得したポイント値の合計)。デフォルト値は100です。「Enrollment Level」は、「Authentication Success Level」以上である必要があります。 |
次の表に、「Reset Lockout」の設定(次に示す)に関する情報を示します。
| リセットのロックアウト | |
|---|---|
| Lockout threshold (attempts) | リセットの試行を連続して失敗できる許容回数。エンド・ユーザーは、このフィールドに指定された回数連続してリセット・クイズに不合格になると、「Lockout Duration」に指定されている期間はリセット・クイズを試行できなくなります。 |
| Lockout duration (hours) | エンド・ユーザーがリセット・クイズを受けることができない期間(時間単位)。ロックアウト期間は、エンド・ユーザーが「Lockout Thresholds」に指定された回数連続してリセット・クイズに不合格になると開始されます。
注意: 個々のエンド・ユーザーのロックアウトを無効にするには、「Users」タブをクリックし、リストからエンド・ユーザーを選択してから、「Unlock」をクリックします。 |
次の表に、「Forced Enrollment」の設定(次に示す)に関する情報を示します。
| 強制登録 | |
|---|---|
| Deferrals allowed | ユーザーがPassword Resetの登録を遅延させることができる最大回数。ユーザーは、最大遅延回数を超えると、ログオンを許可されるために、登録プロセスを完了する必要があります。
注意: 必要に応じて、特定のユーザーを強制登録から除外できます。手順の詳細は、「強制登録からのユーザーの除外」を参照してください。 |
次の表に、「User E-mails」の設定(次に示す)に関する情報を示します。
| ユーザー電子メール | 機能 |
|---|---|
| Required during enrollment | 登録時にユーザーが電子メール・アドレスを入力する必要があるかどうかを制御します。 |
| E-mail format (正規表現) | ユーザー電子メール・アドレスの有効な形式を制御します。デフォルト設定で、ほとんどの許容範囲の電子メール書式を使用できます。 |
次の表に、「Reset Experience」の設定(次に示す)に関する情報を示します。
| リセットの経験 | 機能 |
|---|---|
| Show "Unlock account only" option | ユーザーが、パスワードのリセットではなくアカウントのロック解除を行うオプションを使用できるかどうかを制御します。このオプションは、ユーザーがリセット・クイズに合格した後に表示されます。 |
| Enable "Display temporary password" mode | Password Resetで、エンド・ユーザーがActive Directoryのパスワード・ポリシーにかかわらず、パスワードをリセットすることを許可するかどうかを制御します。このチェックボックスを有効にすると、Password Resetでは、設定されているすべてのActive Directoryの制限事項をオーバーライドし、ユーザーに一時パスワードを提供します。ユーザーは、その一時パスワードでログオンし、Windowsを介して変更できます。 |
詳細は、「リセット認証の構成」も参照してください。
Password Resetを構成して、Windowsパスワードをリセットし、そのドメイン内または信頼されていると指定したドメイン内のWindowsアカウントのロックを解除できます。
マルチドメインのサポートには、次の条件があります。
Password Resetドメインとその他のドメイン間で有効な双方向の信頼関係を持つ必要があります。
Password Resetのリセット・サービス・ユーザー・アカウントは、信頼できるドメインのローカル管理者グループのメンバーである必要があります。
すべてのドメインで、Password Resetサーバーと同じ設定(パスワードの複雑性、アラート、質問など)を共有する必要があります。
管理コンソールで、マルチ・ドメイン・サポートを設定するには、信頼できると指定するドメインを次の画面のいずれかから選択します。
「Edit Users/Groups」ダイアログのドロップダウン・メニュー。
「Questions」タブ(既存の質問を編集する場合または新しい質問を作成する場合)。
「Users」タブ。
これらの画面のいずれかでドメインの選択を行うと、変更は、他のすべての画面に反映されます。選択したドメインは、レジストリ値HKLM\SOFTWARE\Passlogix\SSPR\SSPRService\DisplayDomainに保存されます。
|
注意: 信頼できるドメインに対して問合せを実行すると、エラー・メッセージ「The server is not operational.」が表示される場合があります。これは、信頼されたドメインで、ゲスト・アカウントがオンになっている場合、そのアカウントは、ユーザーを列挙する権限を持っていないために発生します。このエラーをなくすためには、次のいずれかを実行します。
|
「Password Complexity」タブ(「Settings」ノードの下)は、パスワード制約を調整して、それらがWindowsドメインのグループ・ポリシーに一致しているか、またはWindowsドメインのグループ・ポリシーの制約内に収まっていることを確認する場合にのみ使用します。この設定は、エンド・ユーザー・パスワードには適用されません(次の注意を参照)。通常の使用方法(通常のグループ・ポリシー)では、これらの設定を変更する必要はありません。
次の表で、「Password Complexity」の設定のオプションについて説明します。変更が完了したら、「Submit」をクリックして、Password Resetに新しい設定を適用します。
|
注意: Password Resetでエンド・ユーザー・パスワードをリセットするには、リセット・サービス・アカウントで、ユーザーのプロキシとして中間パスワードのリセットを実行します。リセット・サービス・アカウントはパスワードを内部的に生成します(これはドメインのグループ・ポリシーに準拠する必要がありますが、ドメインのパスワードの最短経過期間ポリシーの対象ではありません)。このダイアログでのパスワードの複雑度の設定は、その中間パスワードのみに適用され、エンド・ユーザー・パスワードには適用されません。パスワードをリセットすると、Active Directory内のユーザーのパスワード履歴に2つのエントリが追加されます。 |
| 制約 | |
|---|---|
| Minimum Length | 内部パスワードの最小長: 1から63 (デフォルトは16) |
| Maximum length | 内部パスワードの最大長: 1から63 (デフォルトは16) |
| Number of times characters can repeat | 0から62 (デフォルトは7) |
| 英字 | |
|---|---|
| Allow uppercase characters | 大文字を許可する場合に選択します(デフォルト: 許可) |
| Allow lowercase characters | 小文字を許可する場合に選択します(デフォルト: 許可) |
| 数字 | |
|---|---|
| Allow numeric characters | 数字(0から9)を許可する場合に選択します(デフォルト: 許可) |
| Minimum Occurrences | 1から63 (デフォルトは1) |
| Maximum Occurrences | 1から63 (デフォルトは1) |
| 特殊文字 | |
|---|---|
| Allow special characters | 特殊文字(英数字以外)を許可する場合に選択します(デフォルト: 許可されていません) |
| Minimum Occurrences | 1から63 (デフォルトは1) |
| Maximum Occurrences | 1から63 (デフォルトは1) |
| Special characters list | 使用可能な文字(デフォルト: !@#$%^&*()_-=+[]\|.?) |
「Alerts」タブ(「Settings」ノードの下)を使用して、Password Resetを構成し、管理者またはユーザー(あるいはその両方)に、重大なユーザー生成イベントの通知を電子メール送信します。ディレクトリC:\program files\Passlogix\v-GO SSPR\WebServicesで製品に含まれているUserText.xmlテンプレートで、このアラートを構成します。
次の表に、UserText.xmlファイルの変数の一覧を示します。
| 電子メール・テンプレート変数 | 説明 |
|---|---|
| $USER | Active Directoryで定義されたユーザーの表示名(フルネーム) |
| $ACCOUNT | domain\username形式のユーザーのユーザー名。 |
| $ADMIN | 管理者の名前(管理コンソールの「Alerts」タブで入力したもの) |
| $DATETIME | イベントが発生した日時(例: 7/23/2012 3:24 PM) |
| $ATTEMPTS | ユーザーがリセット・クイズに失敗した回数 |
| $PRODUCT | ESSO-PR |
| $FULLPRODUCT | Oracle Enterprise Single Sign-On Password Reset |
「Send Test E-mail to Admin」をクリックすると、サンプル・アラートを表示できます。結果が適切である場合、「Submit」をクリックして、Password Resetに新しい設定を適用します。
次の表に、電子メール・テンプレート変数に関する情報を示します。
| 電子メールの設定 | 説明 |
|---|---|
| Enable e-mail alerts | 電子メール・アラートを有効化する場合に選択します。 |
| "From" e-mail address | アラートの送信元の電子メール・アドレス。このアドレスには、後で指定するSMTPメール・サーバーで有効な任意の電子メール・アドレスを指定できます。 |
| Admin e-mail address | アラートの送信先の管理者の電子メール・アドレス。 |
| Admin name(電子メールに表示される) | アラートの送信先の管理者の名前。この名前は、電子メールに表示されます。 |
| SMTP mail server | 送信メール・サーバーの名前。 |
次の表に、「Alert Conditions」に関する情報を示します。
| アラート条件 | 説明 |
|---|---|
| User fails a reset attempt | ユーザーがリセットの試行に失敗した場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。 ロックアウト・コントロールについては、「リセット・サービスの設定」も参照してください。 |
| User successfully resets password | ユーザーがパスワードを正常にリセットした場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。 |
| User is locked out of Reset Quiz | ユーザーがリセット質問に、許容されるしきい値以上の回数失敗した場合に電子メール・アラートを受信する受信者(「Admin」または「User」あるいはその両方)を選択します。
このフィールドは、「Enable e-mail alerts」が選択されている場合にのみアクティブになります。 |
「Logging」タブ(「Settings」ノードの下)を使用して、ロギングを有効化し、syslogサーバーおよびポートを指定して、syslogメッセージを生成するイベントのタイプを選択します。Password Resetにより、これらのメッセージはsyslogリスナーに送信され、管理者にユーザー登録およびリセット・イベントを知らせる通知が生成されます。
次の情報を入力し、「Submit」をクリックして、Password Resetに新しい設定を適用します。
| Syslogの設定 | 機能 |
|---|---|
| Enable | チェックすると、syslogロギングが有効になります。 |
| Server Name/IP Address | syslogサーバーの名前またはIPアドレス。 |
| Server port | syslogサーバーがSyslogメッセージをリスニングするポート(デフォルト・ポートは514)。 |
| イベント・フィルタ | 機能 |
|---|---|
| Start | チェックすると、ユーザーが登録またはリセット・セッションを開始した場合に、Password Resetによってメッセージが送信されます。 |
| Cancel | チェックすると、ユーザーが登録またはリセット・セッションをキャンセルした場合に、Password Resetによってメッセージが送信されます。 |
| Success | チェックすると、ユーザーが登録またはリセット・セッションを正常に完了した場合に、Password Resetによってメッセージが送信されます。 |
| Fail | チェックすると、ユーザーが登録またはリセット・セッションに失敗した場合に、Password Resetによってメッセージが送信されます。 |
| Locked out | チェックすると、ユーザーが(リセット・クイズに失敗し続け)Password Resetシステムからロックアウトされた場合に、Password Resetによってメッセージが送信されます。 |
「Reporting」タブ(「Settings」ノードの下)を使用して、ユーザー・アクティビティのレポート生成を構成します。このツールの使用の詳細は、このガイドの「レポーティング」を参照してください。
このタブの設定では、Reportingツールおよびデータベースを構成します。「Submit」をクリックして、新しい設定を適用します。
次の表に、「Reporting」の設定に関する情報を示します。
| レポーティングの設定 | 機能 |
|---|---|
| Enable | このボックスをチェックして、レポーティングを有効にします。 |
| Retry Interval | イベントをデータベースにオフロードするレポーティング・サービスのキャッシュの順次処理間のタイムアウトを分単位で定義します。デフォルトは30です。間隔はデータベースの接続負荷を減らすために必要です。 |
| Batch Size | データベースのストアド・プロシージャに一度に送信されるイベントのグループ・サイズを定義します。デフォルトは100です。たとえば、Reporting Serviceのキャッシュに1000個のイベントがあり、バッチ・サイズが100の場合、データベースのストアド・プロシージャを10回コールすることになります。 |
| Cache Limit | キャッシュされるレポーティング・イベントの数。この数に達した場合、最も古いイベントが破棄されます。デフォルトは4,294,967,295です。
たとえば、バッチ・サイズが100で、エンド・ユーザーのシステムがReporting Serviceに接続できない場合、イベントは記録され続けます。 |
次の表に、データベースの設定に関する情報を示します。
| データベースの設定 | 機能 |
|---|---|
| Connection String | Database connection string: OLE DB形式で入力します。
"Provider=sqloledb; Data Source=myServerName; Initial Catalog=myDatabaseName; User Id=myUsername; Password=myPassword" または Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=<Database>;Data Source=<DBServer> |
| Stored Procedure | データベースのストアド・プロシージャの名前です。エンコード済イベントがデータベースに送信されると、XMLファイルをデコードするためにストアド・プロシージャがコールされ、イベントがデータベースに格納されます。 |
「Enrollment UI」タブ(「Settings」ノードの下)を使用して、登録インタビューのユーザー・インタフェースをカスタマイズします。
Password Resetクライアントのすべてのページのルック・アンド・フィールを編集できます(登録インタビューおよびリセット・インタビューは含まれますが、管理コンソールは含まれません)。このページで、登録ユーザー・インタフェースの色、フォントおよびロゴを調整できます。
このタブで行った選択は、デフォルトのスタイル設定になります。次の手順を実行すると、追加のスタイルを作成できます。
管理コンソールを停止します。
C:\Program Files\Passlogix\v-GO SSPR\WebServices\Templatesで、default.xmlを選択して、コピーします。
コピーを同じディレクトリへ貼り付けます。
コピーしたファイルを選択して、名前を変更します。管理コンソールを再起動すると、新しいスタイルがドロップダウンで使用可能になります。選択すると、デフォルトのスタイルを保持しながら、全体的に異なるルック・アンド・フィールを作成および保存できます。
次の情報を入力し、「Submit」をクリックして、Password Resetに新しい設定を適用します。
| ステータス・パネル | 機能 |
|---|---|
| Text color | ステータス・パネルのテキストの色を選択します。
または
|
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。
注意: このイメージにサイズ要件はありません。参考までに、Oracleのステータス・パネルの背景イメージは、408x28です。 |
| サイド・パネル | 機能 |
|---|---|
| Normal Text Color | サイド・パネルのハイライト表示されていないカテゴリ・テキストのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| Current Step Text Color | サイド・パネル内の現行の手順のテキストに使用される色を選択します。上述と同じ手順に従い、色を選択します。 |
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
注意: このイメージにサイズ要件はありません。 |
| ページ | 機能 |
|---|---|
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
注意: このイメージにサイズ要件はありません。 |
| Border Color | ページの枠線の色を選択します。上述と同じ手順に従い、色を選択します。 |
| Text Font | 登録UIに使用するフォントを選択します。省略記号(…)ボタンをクリックして、「Font」ウィンドウを起動します。目的のフォントをハイライト表示して、「OK」をクリックします。
注意: サーバーにインストールされたフォントからフォント・リストが生成されます。リストにフォントを追加するには、サーバーにそのフォントをインストールします。 |
| ボタン | 機能 |
|---|---|
| Enable style | このボックスをチェックすると、この項で作成したボタン・スタイルをアクティブ化します。 |
| Normal Color | 登録UIのボタンの通常の色を選択します。上述と同じ手順に従い、色を選択します。 |
| Hover Color | 登録UIのボタンポイント時の色を選択します。上述と同じ手順に従い、色を選択します。 |
| Text color | 登録UIのボタンのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| トップ・パネル | 機能 |
|---|---|
| Text Color | 登録UIのトップ・パネルのテキストに表示されるテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
注意: このイメージにサイズ要件はありません。参考までに、Oracleのステータス・パネルの背景イメージは、408x47です。 |
| ロゴ | 機能 |
|---|---|
| Image | 登録UIの左上の領域に表示するロゴ・イメージを選択します。上述と同じ手順に従い、背景イメージを選択します。このリストにイメージを表示するには、%SSPR%\Imagesフォルダに存在する必要があります。
注意: このイメージにサイズ要件はありません。参考までに、Oracleの登録ロゴは146x47です。 |
| メイン・パネル | 機能 |
|---|---|
| Text Color | メイン・パネルのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
注意: このイメージにサイズ要件はありません。参考までに、Oracleのメイン・パネルの背景イメージは、408x273です。 |
「Reset UI」ダイアログ(「Settings」タブの下)を使用して、リセットのユーザー・インタフェースをカスタマイズします。
Password Resetクライアントのすべてのページのルック・アンド・フィールを編集できます(登録インタビューおよびリセット・インタビューは含まれますが、管理コンソールは含まれません)。このページで、リセット・ユーザー・インタフェースの色、フォントおよびロゴを調整できます。
必要に応じて次の設定を構成し、「Submit」をクリックしてPassword Resetに変更を適用します。
| ロゴ | 機能 |
|---|---|
| Image | リセット・ウィンドウに表示するロゴ・イメージを選択します。省略記号(…)ボタンをクリックしてウィンドウを開き、サーバーの%SSPR%\Imagesフォルダのすべてのイメージの中から選択します。
注意: このイメージの最大サイズは448x45です。参考までに、Oracleのリセット・ロゴは342x24です。 |
| ウィンドウ | 機能 |
|---|---|
| Border Color | リセット・ボックスの枠線の色を選択します。
|
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。
注意: このイメージにサイズ要件はありません。参考までに、Oracleのリセット・ウィンドウの背景イメージは、450x350です。 |
| Normal Text Color | リセット・プロセス中に表示されるエラー・メッセージのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| Error Color | サイド・パネルのハイライト表示されていないカテゴリ・テキストのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| Version info color | リセット・ウィンドウに表示されるバージョン情報のテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| ボタン | 機能 |
|---|---|
| Enable style | このボックスをチェックすると、この項で作成したボタン・スタイルをアクティブ化します。 |
| Normal Color | 登録UIのボタンの通常の色を選択します。上述と同じ手順に従い、色を選択します。 |
| Hover Color | 登録UIのボタンポイント時の色を選択します。上述と同じ手順に従い、色を選択します。 |
| Text color | 登録UIのボタンのテキストの色を選択します。上述と同じ手順に従い、色を選択します。 |
| ページ | 機能 |
|---|---|
| Background | ドロップダウン・リストから、無地または背景イメージのいずれを使用するかを選択します。上述と同じ手順に従います。
注意: このイメージにサイズ要件はありません。 |
| Text Font | リセットUIに使用するフォントを選択します。省略記号(…)ボタンをクリックして、「Font」ウィンドウを起動します。目的のフォントをハイライト表示して、「OK」をクリックします。
注意: サーバーにインストールされたフォントからフォント・リストが生成されます。リストにフォントを追加するには、サーバーにそのフォントをインストールします。 |
一部のユーザー・インタフェースの設定は、レジストリ設定を介してのみ構成可能です。次に例を示します。
デフォルトでは、リセット・ユーザー・インタフェースは、フィールドに、最後にワークステーションにログオンしたWindowsアカウントのユーザー名およびドメインが事前移入されています。これらのフィールドの上部に「To reset your network password, please type in your user name, choose the domain, and click OK to continue.」というプロンプトを表示するメッセージを設定できます。
デフォルトでは、登録およびリセット・ウィンドウのタイトル・バーに、「Oracle ESSO-PR」と表示されます。会社のニーズに応じて、このウィンドウ・タイトルを変更できます。
デフォルトのパスワード・リセット・リンク・メッセージは、「Forgot your password? Click here to reset it.」です。このリンクのメッセージを変更できます(この構成のレジストリ設定は、Windows 7でのみ適用されます)。
ユーザーのデフォルトのWindows 7ログオン・タイルの下にある「パスワードを忘れた場合」リンクを非表示にし、別のパスワード・リセット・タイルとテキストをログオン画面に作成できます。この設定は、リセット・ユーザー・インタフェースをMicrosoftパスワード資格証明プロバイダにアタッチすると重複するタイルが表示される一部のWindows 7環境で役立ちます。
前述のオプションを構成するための具体的なレジストリ設定については、第7.3.4項「Password Resetのクライアント側レジストリ設定」を参照してください。
ユーザーがパスワード変更を試行し、設定したアカウントまたはパスワード・ポリシーのいずれかの制限により、実行できない場合、ユーザーは、試行に失敗した理由を説明するエラー・メッセージを受信します。管理者は、管理コンソールで最も一般的なこれらのエラー・メッセージをカスタマイズして、ユーザーによるエラー修正を支援することができます。
表示を確認するカスタマイズ可能なエラー・メッセージおよびインスタンスは、次のとおりです。
| メッセージ | メッセージ・コード | 説明 |
|---|---|---|
| Password has been successfully reset. | Text_ResetSuccess |
パスワード・リセットの試行に成功しました。 |
| Your account has been successfully unlocked. | Text_UnlockSuccess |
アカウントのロック解除の試行に成功しました。 |
Your temporary password is "<b>{0}</b>". |
Text_TempPassword |
リセット・クイズの完了後、ユーザーに一時パスワードを指定します。
注意: このメッセージには{0}構文を含めるようにしてください。Password Resetは、この文字列を一時パスワードで置換します。 |
<p>Thank you for using $PRODUCT.</p>
|
Text_Success |
前述の各成功メッセージの後に続く情報メッセージです。
注意: Password Resetは |
| Access Denied | Error_AccessDenied |
ユーザーが続行するには、管理者による修正が必要な構成エラーがあります。 |
| Bad Password | Error_BadPassword |
ユーザーは、パスワード・ポリシー要件を満たしていないパスワードを入力しました。 |
| Click here to reset the enrollment session. | Text_ResetSession |
このテキストでは、ユーザーに、クリックしてリセット・セッションへリンクするURLへ移動するよう支持します。 |
| Session is invalid. | Error_SessionInvalid |
ユーザーは、リセット・クイズを受けている間に、非アクティブ状態が可能な期間を超えました。 |
| The answers provided failed to satisfy the requirements necessary to continue with the reset. | Error_FailQuiz |
ユーザーは、失敗のしきい値に達する不正な回答を提供しました。 |
| The reset service is currently not available.Please contact your administrator for more information. | Error_ServiceNotRunning |
Password ResetサーバーでSSPRChangePasswordSvcサービスが実行されていません。 |
| Error retrieving user data.Please make sure the specified user is enrolled. | Error_UnknownUser |
ログオンを試行しているユーザーが、Password Resetに登録されていません。 |
| User Cannot Change | Error_UserCannotChange |
ユーザーは、管理者が定義したポリシーに反した方法で期間および方法で、パスワード変更を試行しています。 |
| User Not Found | Error_UserNotFound |
アカウントを登録してから、現在のこのアカウントへのアクセス試行までの間に、このユーザー・アカウントがActive Directoryから削除されています。 |
| Your account has been locked out. | Error_LockedOut |
ユーザーは、リセット・クイズを受けることができる回数を超えており、Password Resetからロックアウトされています。ユーザーは、管理者がアカウントのロックを解除するか、または、ロックアウト期間が経過するまで、待機する必要があります。 |
例
次の例では、「Bad Password」エラー・メッセージを変更します。ユーザーが、パスワード・ポリシーに準拠しないパスワードを入力した場合、ユーザーは、標準のエラー・メッセージ「The password did not meet password policy requirements.」を受信します。
ユーザーに、ポリシー準拠のパスワードを選択する方法を知らせるために、このメッセージにさらに情報を追加するとします。このメッセージを変更するには、次の手順を実行します。
「スタート」メニューで、「ファイル名を指定して実行」を選択します。
regeditと入力して、レジストリを開きます。
レジストリ・キーHKLM > SOFTWARE > Passlogix > SSPR > SSPRServiceを選択します。
SSPRServiceフォルダを右クリックして、「New」 > 「DWORD value」をクリックして、新しいDWORD値を作成します。
レジストリ設定にReset_CustomizedErrorMsgと名前を付け、値1を割り当てて、アクティブ化します。この設定では、サーバーがエラー・メッセージを取得するディレクトリC:\Program Files|Passlogix\v-GO SSPR\ResetClient\App_CustomizedResourcesを指定します。
編集する.iniファイルを選択して、テキスト・エディタで開きます。
|
注意: サーバーは、ユーザーが登録時に選択した言語でエラー・メッセージを取得します。ユーザーが英語を選択した場合、サーバーはResetErrorStrings.iniファイルを使用します。それ以外の場合、対応する言語の.iniファイルを使用します。編集できるメッセージは、この.iniファイルに含まれています。 |
ノートパッドまたは他のテキスト・エディタで、.iniファイルを開きます。
エンド・ユーザーに表示するメッセージを変更します。
|
注意: メッセージは、必ず1行で入力してください。エンド・ユーザーへのメッセージを複数のパラグラフで表示する場合、<br>タグを使用します。 |
変更を保存してファイルを閉じます。次にユーザーが許容できないパスワードを入力した場合、編集されたメッセージが表示されます。例: 「The password did not meet password policy requirements. Please enter a password at least seven characters long.」
システム質問は、特定のロールまたはユーザー・グループに割り当てられています。ロール/グループの割当ては、ユーザーが登録インタビュー中に尋ねられる質問を決定します。
|
注意: リポジトリにデータベース(Microsoft SQL ServerまたはOracle Databaseなど)を使用している場合、ユーザーまたはグループに質問を割り当てることはできません。設定は、編集に使用できますが、割当ては、データベースに書き込まれません。 |
アクセス制御パネルにより、質問権をユーザーおよびグループに割り当てられるよう、ユーザーおよびグループが使用可能になります。「Users and Groups」リストは、「Show Users」ボックスをチェックするまで、移入されていません。ドメイン・ユーザーおよびグループは、特定の質問への「Allow」または「Deny」アクセスをはじめから割り当てられているわけではありません。
ユーザーまたはグループが選択されると、矢印ボタン(<< および >>)が有効になります。矢印ボタンをクリックして、「Users and Groups」リストと「Allow」および「Deny」リスト間で、ユーザーを移動します。「Create」または「Modify」をクリックすると、ロール・アクセス権/グループ・アクセス権がシステム質問用のバックエンド記憶域に書き込まれます。
アクセス制御のルールは次のとおりです。
「Allow」/「Deny」リストが空の場合: すべてのユーザーおよびグループが質問を受信します。
「Allow」リストが空で、「Deny」リストが移入済の場合: 「Deny」リストのすべてのユーザーおよびグループは、質問を受信しません。その他のすべてのユーザーおよびグループは、質問を受信し、「Allow」は暗黙的です。
「Deny」リストが空で、「Allow」リストが移入済の場合: 「Allow」リストのすべてのユーザーおよびグループが質問を受信します。他のすべてのユーザー/グループは受信しません。「Deny」は暗黙的です。
両方のリストが移入されている場合: 「Deny」リストにない「Allow」リストのユーザーおよびグループは、質問を受信します。「Allow」リストのユーザーまたはグループが「Deny」リストにもある場合または「Deny」リストのグループに属している場合、そのユーザーまたはグループは、質問を受け取りません。「Deny」は「Allow」をオーバーライドします。
「Deny」リストでのユーザーまたはグループの存在は、「Allow」リストでの存在よりも常に優先されます。
次の表に、ユーザーとグループの権限に関する情報を示します。
| シナリオ番号 | 説明 | 許可 | 拒否 | 結果 |
|---|---|---|---|---|
| 1 | 「Allow」および「Deny」リストにユーザーまたはグループが指定されていません。 | Ø |
Ø |
全員が質問を受信します。 |
| 2 | 「Allow」リストには、Dr. Baxterが指定されており、「Deny」リストにはだれも指定されていません。 | Dr. Baxter | Ø |
Dr. Baxterのみが質問を受信します。他のすべてのユーザーは拒否されます。 |
| 3 | 「Deny」リストには、Dr. Baxterが指定されており、「Allow」リストにはだれも指定されていません。 | Ø |
Dr. Baxter | Dr. Baxter以外の全員が質問を受信します。 |
| 4 | 「Allow」リストにはDoctorsグループが指定されており、「Deny」リストにはDoctorsグループのDr. Loomisが指定されています。 | Doctors | Dr. Loomis | 質問を拒否したDr. Loomis以外のDoctorsグループのすべてのメンバー(Doctorsグループのメンバーのみ)が質問を受信します。 |
| 5 | 「Deny」リストにはDoctorsグループが指定されており、「Allow」リストにはDr. Loomisが指定されています。 | Dr. Loomis | Doctors | Dr. Loomisを含む全員が質問を拒否します。「Deny」リストは、「Allow」リストより優先されます。 |
次のシナリオは、これらのルールの適用方法を説明します。
メンバーDr. BaxterおよびDr. Loomisを含むグループDoctorsを設定します。
シナリオ1: 「Allow」および「Deny」リストが移入されていない場合、すべてのユーザーおよびグループが質問を受信します。
シナリオ2: 「Deny」リストが移入されておらず、「Allow」リストが移入されている場合、「Allow」リストのユーザーおよびグループのみが質問を受信します。
シナリオ3: 「Deny」リストにユーザーまたはグループがあり、「Allow」リストは移入されていない場合、「Deny」リストのユーザーまたはグループのみ質問を受信しません。
シナリオ4: 「Allow」リストにグループがあるが、そのグループのメンバーが「Deny」リストにある場合、「Deny」リストにあるメンバーを除く、そのグループのメンバー全員が質問を受信します。
シナリオ5: 「Deny」リストにグループがあるが、そのグループのメンバーが「Allow」リストにある場合、そのメンバーは質問を受信しません。
「Manage Users」タブ(「Users」ノードの下)を使用して、エンド・ユーザーの登録ステータスのレポートを生成します。このレポートは、ユーザーが登録インタビューを完了したかどうか、登録の日時およびユーザーが現在ロックアウトされているかどうかを示します。
レポートを生成するには、適切な表示オプションを選択します。「Search」をクリックして、画面にレポートを生成および表示するか、または「Export」をクリックして、レポートをCSVファイルとして保存します。
| フィールド | オプション |
|---|---|
| Show users whose username contains | 一致するレポート検索のためのテキストを入力します。 |
| Domains | 使用可能なドメインから選択します。 |
| Show users that are: | レポートを生成するユーザー登録ステータスを選択します。
|
| Show date/time of enrollment | 登録の日時を表示する場合に選択します。(これを有効にすると、レポート生成に時間がかかる場合があります。) |
| Perform SID to name translations | リポジトリ・キャッシュから取得するのではなく、Active Directoryを使用してユーザーのSIDに基づいてユーザー名を取得する場合は、このボックスを選択します。
この設定を有効にするとパフォーマンスが低下しますが、ユーザーが初回登録以降にユーザー名を変更したことのあるインスタンスで役立ちます。 |
このタブには、ユーザー・アカウントに関する次の情報が表示されます。
User Name。このアカウントに関連付けられている名前。
Enrolled。このアカウントの現在の登録ステータス。
Locked Out。リセット・クイズに繰り返し失敗したため、エンド・ユーザーがリセット・サービスからロックアウトされたかどうか。許容される連続失敗の回数とロックアウトの期間は、「Settings」タブ(「Settings」ノードの下)で指定されます。
E-mail。エンド・ユーザーの電子メール・アドレス。
アカウントのロックが解除されているユーザーの情報フィールドの下には「Lock」ボタンがあり、アカウントがロックされているユーザーの情報フィールドの下には「Unlock」ボタンがあります。必要に応じて「Lock」または「Unlock」をクリックすることによってユーザーのロックアウト・ステータスを変更できます。
このタブには、指定したユーザーの登録ステータスに関する情報が表示されます。
各登録試行の日時。
登録の現在のステータス。3つのステータスが可能です。
Started。ユーザーが登録インタビューを開始しましたが、まだ完了していません。
Finished。ユーザーは登録インタビューを完了しました。
Canceled。ユーザーは登録インタビューを開始しましたが、認証しきい値に達する十分な質問に回答する前に取り消しました。
ユーザーが回答した質問で累積された合計ポイント数。
このタブには、指定したユーザーのリセット・ステータスに関する情報が表示されます。
各リセット試行の日時
リセットの現在のステータス(つまり、成功したかどうか)
ユーザーがリセット・クイズで獲得したスコア
ユーザーがリセット・クイズを受けたワークステーションのIPアドレス
「Manage Enrollments」タブ(「Enrollments」ノード)を使用して、指定した日付範囲内の登録ログ・エントリを表示、エクスポートまたは削除します。
ポップアップ・カレンダから、日付範囲の開始日および終了日を選択します。
アクションを選択します。
「View Log」を選択すると、「Search Results」ウィンドウが開き、ユーザー、ユーザーのステータス、スコア、アクティビティの時間を表示できます。
「Export to file」を選択すると、指定した日付範囲内のすべてのログ・エントリをカンマ区切り形式でファイルに保存します。ファイルへの保存後に、エクスポートしたログ・エントリを削除する場合は、「Delete entries after successful export」チェックボックスを選択します。
「Delete entries」を選択すると、指定した日付範囲内のすべてのログ・エントリを保存せずに削除します。
「Submit」をクリックします。「Save As」ダイアログで、「Export to File」を選択した場合、ファイル名を入力し、「OK」をクリックします。
詳細は、「登録インタビュー」を参照してください。
「Search Results」画面(「Manage Enrollments」タブ)を使用して、登録ログを表示します。
このログには、指定した期間内に登録インタビューを受けた(少なくとも開始した)すべてのユーザーの登録アクティビティが記録されています。
登録インタビューを開始したすべてのユーザーの名前。
各ユーザーの現在の登録ステータス。
エンド・ユーザーが登録中に回答するすべてのシステム質問(必須およびオプション)の合計ポイント値。
各登録アクティビティの日時。
詳細は、「登録インタビュー」および「登録の管理」を参照してください。
「Manage Resets」タブ(「Resets」ノードの下)を使用して、指定した日付範囲内のリセット・ログ・エントリを表示、エクスポートまたは削除します。
ポップアップ・カレンダから、日付範囲の開始日および終了日を選択します。
アクションを選択します。
「View Log」を選択すると、「Search Results」ウィンドウが開き、ユーザー、ユーザーのステータス、スコア、アクティビティの時間を表示できます。
「Export to File」を選択すると、指定した日付範囲内のすべてのログ・エントリがカンマ区切り形式でファイルに保存されます。ファイルへの保存後に、エクスポートしたログ・エントリを削除する場合は、「Delete entries after successful export」チェックボックスを選択します。
「Delete」を選択すると、指定した日付範囲内のすべてのログ・エントリが保存されずに削除されます。
「Submit」をクリックします。「Save As」ダイアログで、「Export to File」を選択した場合、ファイル名を入力し、「OK」をクリックします。
詳細は、「リセット認証の構成」を参照してください。
「View Resets」ダイアログ(「Resets」タブの下)を使用して、リセット・ログを表示します。行われた各リセット・クイズのレコードには、ユーザー名、テストの日時、テストのスコア、現行のリセット・ステータスおよびテストを受けるために使用したワークステーションのIPアドレスが表示されます。
特定の日付範囲内のログ・エントリを表示するには、開始日および終了日を入力(または「Choose」をクリックしてポップアップ・カレンダから日付を選択)し、「Submit」をクリックします。
詳細は、「リセット認証の構成」を参照してください。
「Search Results」ウィンドウ(「Manage Resets」タブの下)を使用して、リセット・ログを表示します。このログには、指定した期間内にリセット・クイズを受けた(少なくとも開始した)すべてのユーザーのリセット・アクティビティが記録されています。
リセット・クイズを開始したすべてのユーザーの名前
各ユーザーの現在のリセット・ステータス
ユーザーがリセット・クイズで獲得したスコア
ユーザーがパスワードのリセットを試みた日時
ユーザーがリセット・クイズを受けたワークステーションのIPアドレス
図pr_reset_srch_rslts_crop.pngの説明
詳細は、「システム質問の作成」および「登録の管理」を参照してください。
この表には、「Manage Users」タブで定義した検索基準を満たすユーザーが、その登録ステータスとロックアウト・ステータスとともにリストとして表示されます。このリストから、次のことができます。
「User Name」の横にあるボックスを選択し、「Unenroll」をクリックしてユーザーの登録を解除できます。即座にリストのすべての名前を選択したり、選択を解除するには、「Check All」および「Uncheck All」ボックスを使用します。
「User Name」(チェック・ボックスではない)をハイライト表示し、ページ下部にある「Details」ボタンをクリックして「User Details」画面を起動すると、ユーザーの履歴を詳しく確認することができます。
|
注意: ユーザー・アカウントに「User Name」以外の情報が含まれる場合、「Details」ボタンのみが使用可能になります。 |
Password Resetは、デフォルトで、管理者にはリセットで使用するすべての質問と重み付けを作成して構成するように要求し、ユーザーには登録時にこれらの質問に回答することを要求します。また、Password Resetでは、このプロセスを簡略化するために外部バリデータ・ソースも使用されます。組織は、外部バリデータによって、Password Resetで受入れ可能なバックエンドにインタフェースを記述することができます。また、このバリデータは、事前定義された回答が含まれている様々なソース(HRデータベースなど)からデータをコールできます。
たとえば、リセットのための質問の1つが「社会保障番号は何ですか。」であるとします。デフォルトでは、ユーザーは、登録時に登録インタビューで社会保障番号の入力を求められます。その後、ユーザーは、パスワードのリセット時に社会保障番号の入力を求められます。外部バリデータが備えられている場合、管理者は、事前定義された社会保障番号のリストが含まれている外部データ・ソースに、Password Resetを送信できます。ユーザー登録時にバリデータによって前述の質問に対する回答が提供されるため、ユーザーは、この質問を確認する必要もなくなります。パスワードのリセットの試行時にのみこの質問に回答する必要があります。システム質問が外部バリデータによって回答された場合は、ユーザーを自動的に登録できます。
外部バリデータの使用を実装するには、次の基本手順を実行します。
外部バリデータは、.NET 4.0で記述する必要があります。実装を記述するには、ライブラリPasslogix.PasswordReset.dllへの参照を追加します。アセンブリ内に、インタフェースを実装するクラスISSPRValidatorを記述する必要があります。このインタフェースには、次の5つのメソッドを含めます。
Initialize
Cleanup
IsValidQuestion
IsValidAnswer
FriendlyName
|
注意: ISSPRValidatorインタフェースを実装しないバリデータまたは起動時に正常に実装されないバリデータは無視されます。 |
バリデータ・インタフェースの定義は次のとおりです。
public interface ISSPRValidator
{
// Called by ESSO-PR on first use of validator.
void Initialize();
// Called once by ESSO-PR when the service shuts down.
void Cleanup();
// Returns true/false if question is valid for a given user
bool IsValidQuestion(ISSPRQuery iquery);
// Returns true/false if question/answer pair is correct
bool IsValidAnswer(ISSPRQuery iquery, string strAnswer);
// The friendly name for SSPR to display
string FriendlyName { get; }
}
ISSPRQueryインタフェースは、SSPRサービスによって提供され、次のプロパティが含まれています。
interface ISSPRQuery
{
// The guid of the question
Guid QuestionGuid { get; }
// The user's identity (in SID format)
string UserIdentity { get; }
}
このインタフェースの実装後、その実装を参照して次の属性を宣言する必要があります。
[assembly: ISSPRValidatorType("<Validator class>")]
文字列<Validator class>は、このインタフェースを実装するクラスのフルネーム(ネームスペースを含む)に置き換えます。
validator.dllの記述後、次の手順を実行します。
INSTALL_DIR\VgoSelfServiceReset\WebServicesの下にValidatorsというディレクトリを作成します。実際のバリデータ・ディレクトリはweb.configで定義されていて、別のフォルダのほうが検出に適している場合は変更できます。
このディレクトリにバリデータをコピーします。
Password Reset Webサービスを再起動します。
バリデータがインストールされた後、次の手順を実行します。
管理コンソールの「Password Reset」ノードを開きます。
トップ・メニューで「Questions」をクリックしてから、「System Questions」を選択します。既存の質問を選択するか、または、新しい質問を作成します。
「Answer Source」ドロップダウン・フィールド・リストに使用可能な外部バリデータが表示されます。デフォルトは、登録時にユーザーが質問に回答する必要があることを示す「User Supplied」です。バリデータがインストール済で、検出された場合は、そのフレンドリ名がここに表示されます。適切なバリデータを選択し、質問の設定を保存します。
外部バリデータを削除するには、次の手順を実行します。
.dllが配置されているディレクトリから.dllを削除します。
管理コンソールに戻り、外部バリデータに依存する質問を編集するために個別に選択します。
次のエラー・メッセージが表示されます。「The validator <validator details> cannot be found. Answer Source will default to User Supplied.」
「Modify」ボタンをクリックします。
|
注意: 外部バリデータを削除すると、ユーザーがクイズのリセットに失敗しますが、再登録は強制されません。再登録を強制するには、外部バリデータから独立した登録のユーザーを削除する必要があります。 |
