| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの管理 11g リリース2 (11.1.2.3) E61949-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteの管理 11g リリース2 (11.1.2.3) E61949-01 |
|
前 |
次 |
この項では、Oracle Enterprise Single Sign-On Suiteコンポーネントの構成および使用についての重要な補足情報を説明します。
この項では、Oracle Enterprise Single Sign-On Suiteのすべての製品に該当する情報について説明します。
|
注意: 32ビットと64ビットのオペレーティング・システムのレジストリ・パスの違いに留意してください。32ビットOSのレジストリ・キーのパスは、 同じレジストリ・キーのパスについて、64ビットOSの場合は |
AD LDS (ADAM)をインストールするには、次の手順を実行します。
ADAMSetup.exeを起動します。
「一意のインスタンス」を選択して「次へ」をクリックします。
インスタンス名を入力し、「次へ」をクリックします。
ポート番号10000と10001(簡単に覚えられるように10,000の範囲)を指定して、「次へ」をクリックします。
root DN (たとえばOU=SSPR, DC=Oracle,DC=Com)を指定し、「次へ」をクリックします。
見つけやすいベースの場所(%RootDrive%\ADAM\Instanceなど)を指定し、「Next」をクリックします。
実行権限を指定して「次へ」をクリックします。
管理権限を指定して「次へ」をクリックします。
「このAD LDS (ADAM)インスタンス用にはLDIFファイルをインポートしない」を選択して、「次へ」をクリックします。
要求のとおり「次へ」をクリックして続行します。
「Finish」をクリックします。
SSL接続のためにアプリケーションを構成する前に、信頼できる認証局からX.509証明書を取得する必要があります。この信頼できるCAを、信頼できるルートCAのリストにインストールする必要があります。証明書は、現在の日付において有効である必要があり、そのサブジェクトは、様々なアプリケーション・インスタンスが、対応するサーバー・インスタンスへの接続時に使用するネットワーク名(ホスト名またはホスト名とドメイン接尾辞を含む完全修飾URL)と正確に一致している必要があります。
証明書のインストールとSSLの設定の詳細は、Microsoft Webサイトの次の記事を参照してください。
「How to: Obtain an X.509 Certificate」(http://msdn2.microsoft.com/en-us/library/ms819929.aspx)
「How to: Set Up SSL on a Web Server」(http://msdn2.microsoft.com/en-us/library/aa302411.aspx)
Microsoft証明書サービスを使用してX.509証明書を取得する場合、サーバー認証証明書を選択してください。また、「キーのオプション」セクションで、「エクスポート可能なキーとしてマークする」および「ローカル コンピュータ ストアを使用する」オプションを選択します。
Logon ManagerはSecure Sockets Layer (SSL)の使用をサポートしており、デフォルトで有効になっています。SSLを使用するかどうかを決めるには、次のことを考慮します。
Logon Managerは、ユーザーに構成された認証方式を使用してすべての資格証明をローカルに暗号化し、それらの資格証明を暗号化された形式で送信して格納します。
パススルー認証(たとえば、Active DirectoryまたはAD LDS (ADAM))を使用するリポジトリの場合、Logon Managerはすべてのトランザクションを中央リポジトリ(リポジトリへの認証を含む)で保護するため、クリア・テキストで送られる資格証明はありません。
LDAPリポジトリまたはパススルー・リポジトリをKiosk Managerとともに使用する際にSSLが有効ではない場合、リポジトリ認証は、クリアテキストのLDAPトランザクションになります。この認証をセキュアにする必要がある場合は、クライアントとリポジトリ間のトランザクションでSSLを有効にします。
SSL証明書の設定に関する詳細な手順については、次のドキュメントを参照してください。
Microsoft Active Directory Server: Microsoft MSDN
Oracle Directory Server Enterprise Edition: Oracle Directory Server Enterprise Edition管理者ガイド
Novell eDirectory: eDirectory 8.5管理ガイド
SSLは、レジストリ・キーUseSSLとSSLFallbackで構成されます。
この項では、特にLogon Managerに該当する情報について説明します。
Logon Managerでは、通常は各ユーザーの%AppData%\Passlogixディレクトリ(C:\Documents and Settings\username\Application Data\Passlogixなど)に格納されているaelist.iniという名前のファイルに、アプリケーション・ログオンの指示が保存されます。aelist.iniファイルは、エージェントによって次の2つのコンポーネント・ファイルがマージされて作成されます。
entlist.ini: Windows、Webサイトおよびメインフレーム/ホスト・アプリケーション用にカスタマイズされたログオンを組織に導入するために、管理コンソールを使用して作成します。エージェントのシンクロナイザ拡張によって、%AppData%\Passlogixにentlist.iniが配置されます。
applist.ini: エージェントのインストール・パッケージに含まれ、ネットワークおよびWebポップアップ・ログオン・ダイアログ用、および多数のオンライン・サービス・プロバイダ用に事前定義されたログオンが含まれます。applist.iniファイルは、エージェントのインストール・ディレクトリに格納されています。
|
注意: 管理コンソール・テンプレートでは、多くのWindowsアプリケーションおよびWebアプリケーションに事前構成されたログオンが提供されます。すべての管理コンソール構成ファイル( |
%AppData%\Passlogixディレクトリにaelist.iniを作成するために、エージェントによってentlist.iniとapplist.iniがマージされます。エージェントでは、定期的(エージェントの起動時など)にaelist.iniが上書きされます。その後、エージェントはaelist.iniを使用して、既知のアプリケーションを検出します。
シンクロナイザ拡張(ディレクトリ・サーバーやファイル・システムなど)を使用する場合は、リモート・オブジェクトによって任意のローカルentlist.iniファイルがオーバーライドされ、その後にapplist.iniとマージされます。
リモート・オブジェクトまたはローカルentlist.iniファイルがない場合、エージェントではaelist.iniファイルは作成されずにapplist.iniが使用されます。
|
注意: エージェントが動作している間は、entlist.iniまたはSSOentlistオブジェクトを変更できます。新規aelist.iniを作成するためにエージェントで再度マージを強制的に実行するには、Logon Managerで「Refresh」を選択します。 |
アプリケーション・ログオンの作成および配布の詳細は、次の項を参照してください。
テンプレートからのログオンの作成:
ログオンの配布:
グローバル・エージェント設定オプションの詳細は、第2章の「グローバル・エージェント設定(詳細)」を参照してください。
マージャから生成されたファイルaelist.iniには、すべての構成済アプリケーションに対するログオンおよびパスワード変更のイベントの識別や応答に必要な情報がすべて含まれています。次の情報が含まれます。
「Error Loop」設定などのアプリケーション・タイプの設定(指定された期間内にエージェントがログオンを再試行する回数など)
アプリケーション固有の構成情報(アプリケーション実行可能ファイル名またはWebサイトのURL、パスワード変更の動作、パスワード・ポリシー、エラー・ループ設定、データ・ファイル拡張など)
ログオンおよびパスワード変更のシナリオに関するシナリオ固有の構成情報(ウィンドウ・ダイアログのタイトル文字列、フォーム名、資格証明の場所など)
ダイアログ固有のマッチング設定(文字列や制御が存在するかどうかなど)
その他の設定(3番目または4番目のフィールドの名前など)
マージされたファイルaelist.iniには、構成する各アプリケーションのログオンおよびパスワード変更のイベントを一意に識別し、それに応答するために必要な情報がすべて含まれている階層構造があります。ログオンは、次のように構成されています。
| 構造 | 参照 |
|---|---|
[*Other Apps]
|
このセクションは、管理者が定義した2つのWindowsアプリケーションを示します(このアプリケーションは、ファイルの後半で定義されます)。詳細は、第2章「Windowsアプリケーションの追加」を参照してください。 |
[*Mainframe]
|
このセクションは、2つのホスト/メインフレーム・アプリケーションを示します(このアプリケーションは、ファイルの後半で定義されます)。詳細は、第2章「ホスト/メインフレーム・アプリケーションの追加」を参照してください。 |
[*Shared Groups]
|
このセクションは、資格証明の共有に使用される2つのグループを示します。詳細は、第2章「資格証明共有グループの使用」を参照してください。 |
[*PasswordPolicies]
|
このセクションは、パスワード・ポリシーを有効にします。詳細は、第2章「パスワード・ポリシーの設定」を参照してください。 |
entlist.iniでのアプリケーション構成によって、エージェントは、ログオン・リクエストやパスワード変更リクエストを組織に固有のアプリケーションから自動的に認識し、応答できます。
これがローカル・ファイルとして存在するか、またはリモート・オブジェクトからダウンロードされる場合、エージェントは、entlistオブジェクト(使用可能な場合)をentlist.iniファイルにダウンロードし、ダウンロードしたentlist.iniファイルまたはローカルのentlist.iniファイルをapplist.ini(ユーザーが使用できる事前定義されたアプリケーションの完全リスト)に指定されたファイルと結合して、aelist.iniを作成します。(entlist.iniファイルが存在しない場合、エージェントはapplist.iniを使用します。)
|
注意: applist.iniはOracleによって更新されるため、このファイルを変更しないようにしてください。今後のリリースのLogon Managerでは、変更が上書きされる可能性があるため、applist.iniに行った変更が将来のリリースでサポートされることをOracleは保証できません。 |
CitrixでのLogon Managerのデプロイにはいくつかの戦略がありますが、どの方法も、Citrixファーム(1つまたは複数)のデプロイ方法およびエンド・ユーザーへのアクセス権の配布方法に依存します。デスクトップでのCitrix ICAクライアントを使用した場合とCitrix Webポータルを使用した場合のアプリケーションの配布で、それ以外を指定した場合を除き、これらの方法は変わりません。
基本的に、3つのオプションがあります。
ユーザーごとのLogon Managerのデプロイ。Logon Managerをすべてのサーバーおよびすべてのアプリケーションにデプロイでき、かつそれらのサーバーおよびアプリケーションでそれを使用するユーザーを制限できます。
アプリケーションごとのLogon Managerのデプロイ。Logon Managerをすべてのサーバーおよびユーザーに、ただしアプリケーションごとにのみ、デプロイできます。
サーバーごとのLogon Managerのデプロイ。Logon Managerを個別のサーバーにデプロイできます。
この項では、これらのオプションを詳細に説明します。
最終的な構成に関係なく、最初のエージェントのインストール・プロセスは、すべてのデプロイ・オプションで同じです。
開始する前に、グローバル・エージェント設定を正しく構成したこと、Logon Managerを正しく理解していることおよびエージェントのインストールに必要な拡張を決定していることを確認します。通常、これらは、同じ拡張で、使用する環境のユーザー・ワークステーションでGASが非常に類似しています。CitrixでのLogon Managerのインストールの手順の詳細は、第2章の「エージェントの構成(Citrix環境)」を参照してください。
Citrix MetaFrameでLogon Managerをインストールするには、次の手順を実行します。
ターミナル・サーバーに管理者としてログオンし、すべてのアプリケーションを閉じます。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。「ファイル名を指定して実行」ウィンドウが表示されます。
cmdと入力して、[Enter]を押します。コマンド・プロンプト・ウィンドウが表示されます。
change user/installと入力して、[Enter]を押します。
環境に適したインストール・オプションを選択して、Logon Managerをインストールします。
インストールの完了後、コマンド・プロンプトでchange user/executeと入力します。
ユーザーごとのLogon Managerのデプロイでは、Logon Managerを使用するためのアクセスを付与されるおよびされないユーザー/グループへのアクセスを制御できます。
ユーザーごとへのLogon Managerのデプロイに関する手順は、次のとおりです。
Logon Managerユーザーのドメインでグループを作成します。Citrix公開アプリケーションにLogon Managerを使用するすべてのユーザーを、使用する環境に含めます。
各Citrixサーバーで、C:\Program Files\Passlogix\v-GO SSOdirectoryにあるssoshell.exeファイルの「Security」プロパティを編集します。
前の手順で作成したSSOユーザー・グループをディレクトリのACLに追加します。このグループに、このファイルへの読取り権限と読取り実行権限を付与しておいてください。ユーザー、ドメイン・ユーザーまたはこのファイルへの読取りアクセスを持つその他のグループを削除します。これを実行するには、「inherit permissions from parent」を選択解除する必要がある場合があります。
この方法での権限設定では、すべての管理者がこのファイルにフル・アクセスできるままであるため、Logon Managerを使用できます。他にも、これらの権限を設定する多数の可能な組合せまたは方法があります。目的は、Logon Managerへのアクセスを必要とするユーザーに、ssoshell.exeの読取り/実行権限を付与し、その他のすべてのユーザーがそれにアクセス/読取りできないようすることです。
Citrixでのユーザーごとのデプロイの使用では、すべてのアプリケーションをすべてのユーザーに公開したままにできるため、ssolauncher.exeを使用して、公開済の各アプリケーションを構成する必要がないということです。
Logon Managerをすぐに起動しない場合は、WindowsレジストリHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon\AppSetupkeyキーから、ssolauncher.exeの値を削除します。
このキーがない場合、Logon Managerは、いずれのアプリケーションにも応答しません。応答を導出するには、このキーを置換するか、または、公開済のアプリケーション・コマンドを変更して、ssolauncher.exeを含めます。
アプリケーションごとのLogon Managerのデプロイでは、アプリケーションでLogon Managerを有効にできます(アプリケーション単位)。
アプリケーションごとへのLogon Managerのデプロイに関する手順は、次のとおりです。
シングル・サインオンが有効なアプリケーションをホストするすべてのサーバーに、Logon Managerをインストールします。
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetupからssolauncher.exeの値を削除し、HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\UserInitキーからssoshell.exeの値を削除することで、Logon Managerが自動的に起動しないようにします。この詳細な手順については、SSO Consoleヘルプ・ファイルで、キーワード「Citrix」を使用してください。
Logon Managerを使用する公開済のアプリケーションを、SSOLauncher.exeをコールするコマンド行ラッパーを含めるように変更し、その後元のコマンド行をコールします。手順の詳細は、第2章の「エージェントの構成(Citrix環境)」を参照してください。
CitrixサーバーごとのLogon Managerデプロイでは、サーバー単位でエージェントを有効にできます。これは、完全にデプロイするために3つの方法の中で一番簡単な方法です。
シングル・サインオンを有効にするCitrixサーバーにLogon Managerをインストールします。
Logon Managerユーザーを、シングル・サインオン可能なサーバーに移動します。
公開済のアプリケーションの変更、権限の設定またはレジストリ・キーの削除の必要はありません。このサーバーのすべてのユーザーでLogon Managerが自動的に起動します。この方法は、ユーザーがCitrixサーバーを介してリモート・デスクトップにアクセスする場合に有効です。
ほとんどの場合、Citrixサーバーは、他のすべてのLogon Managerクライアント・マシンにデプロイされたものと非常に類似したグローバル・エージェント設定を使用します。通常のデプロイメントでは、Citrixの起動前に、クライアント・ワークステーションを完全に構成およびテストします。グローバル・エージェント設定を構成および検証した後、それらを管理コンソールにインポートし、Citrix環境で使用するために名前を変更します。
Citrixサーバー用に、次のグローバル・エージェント設定を構成する必要があります。
暗号化形式でのディスクのEnd-User\Experience\Advanced\Storeユーザー・データ: 「Do not store data in user disk file」に設定します。
Synchronization\Deleteローカル・キャッシュ: 「Delete」に設定します。
グローバル・エージェント設定でのドライブ文字のハードコードの排除: これらは、シンクロナイザおよびイベント・ログ設定にあります。C:をCitrixでLogon Managerをインストールしたドライブの文字と一致する文字に変更します。異なるCitrixサーバーが異なるドライブの文字を使用する場合、各サーバーに別々の設定を指定する必要があります。これは、Logon Managerはこのドライブの文字を使用して、コンポーネントを特定するため、重要です。
前述の手順を完了すると、CitrixサーバーでLogon Managerを使用することができます。公開済アプリケーションの一部またはすべての有効化を開始できます。アプリケーションに対してLogon Managerを有効化するには、ssolauncher.exeを使用して、コマンド行を変更する必要があります。手順の詳細は、第2章の「エージェントの構成(Citrix環境)」を参照してください。
オラクル社では、テンプレートを提供しているアプリケーションのみを公式にテストおよびサポートしていますが、Windows、Web、Javaアプリケーションおよびメインフレーム/AS400エミュレータ用のビジネス・アプリケーションおよび生産性アプリケーションの大多数は、非常に高い確率で使用できます。サポート・チームは、あるアプリケーションが現状のままではLogon Managerと互換性がないと判別されないかぎり、あるいは互換性がないと決定されるまで、アプリケーション・テンプレートの構成を支援します。
次の表には、Logon Managerにサポートの問題があることが知られているアプリケーションの特徴を示します。
| 高リスク | 中リスク |
|---|---|
| アプリケーション・テンプレートの構成がほとんどの場合で失敗してしまうアプリケーションの特徴 | SSOの機能が不完全になってしまうことがあるか、サインオンまたはパスワードを変更するためにエンド・ユーザー側でアクションが必要な場合があるアプリケーションの特徴 |
|
|
Logon Managerには、組込みのHLLAPI(高水準言語アプリケーション・プログラミング・インタフェース)サポートを使用する、次のホスト/端末エミュレータのシングル・サインオン機能があります。次の項では、各エミュレータでHLLAPIサポートを有効にする方法について説明します。
|
注意: HLLAPIサポートを実装していないエミュレータの場合は、(ウィンドウ・タイトルでフォームが検出されるように、)ユーザー資格証明を指定するSendKeysを使用して、Windowsアプリケーションとしてホスト/メインフレーム・アプリケーションを構成できる場合もあります。詳細は、第2.12.3項「Windowsアプリケーションの追加」を参照してください。 |
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Attachmate EXTRA!の各セッションをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
セッションを開きます。
「Options」メニューから「Global Preferences」を選択します。
「Advanced」、「Short name」(Aなど)、「Browse」、セッション・ドキュメントの順に選択し、「OK」をクリックします。
|
注意: この設定は、各セッションの構成ファイルとともに保存する必要があります。メインフレームまたはホスト・セッションの終了後も、バックグラウンド・プロセスが実行されたままになる場合があります。これにより、自動ログオン・プロセスが中断され、セッションが再開できない場合があります。 |
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
BlueZone Web-to-Hostエミュレータをインストールして構成するには、次の手順を実行します。
BlueZone Web-to-Hostのセットアップを起動します。
「Setup Type」セクションで、「Install BlueZone Web-to-Host」を選択し、「Next」をクリックします。
エンド・ユーザー・ライセンス契約をよく読みます。条件に同意する場合は、「Yes, I agree with the terms of this software license」の横にあるボタンを選択し、「Next」をクリックします。
ソフトウェアをインストールする場所を選択します。インストーラのデフォルトは、C:ドライブのProgram Filesディレクトリです。
Seagull Activation File (SAF)の場所をインストーラに指示するか、SAFがインストールされていない場合は、空白のままにします。
使用するプログラム・グループをインストーラで作成するかどうか、およびBlueZone Web-to-Hostウィザードのデスクトップ・ショートカットを作成するかどうかを選択して、「Next」をクリックします。
「Sites」ダイアログ・ボックスで、ドロップダウン・メニューからサイトの言語を選択します。
次の内の1つを実行します。
「Create」をクリックして、パスとフォルダ名を入力します。
「Import」をクリックして、インポートするサイトに移動します。
「Copy」をクリックして、コピーするサイトに移動します。
「Upgrade」をクリックして、アップグレードするサイトに移動します。
既存のサイトを削除する場合は、サイトを選択して「Delete」をクリックします。
「Launch Folders」ダイアログ・ボックスで既存の起動フォルダを選択するか、「Create」をクリックして新しいフォルダを作成します。「Next」をクリックします。
「New BlueZone Launch Folder」ダイアログ・ボックスで、フォルダ名前を入力し、標準のWeb-to-Hostとして配布するか提供されているデスクトップとして配布するかを、フォルダ・オプションから選択します。「OK」をクリックします。
「Launch Folders」ダイアログ・ボックスに戻ると、新しい起動フォルダが表示されているので、「Next」をクリックします。
「Sessions」ダイアログ・ボックスで、「Create」をクリックします。
「New BlueZone Session」ダイアログ・ボックスで、ドロップダウン・メニューから「Mainframe Display」を選択し、「OK」をクリックします。
セッションの名前を入力し、既存のプロファイルを使用するかどうかを指定します。既存のプロファイルを選択します(該当する場合)。ローカルへの保存を許可するかどうかを選択します。「OK」をクリックします。
「Define New Connection」ダイアログ・ボックスで、接続情報を入力し、「OK」をクリックします。
「Session Properties」ウィンドウで情報を確認します。変更する情報を編集します。終了したら「OK」をクリックします。
「BlueZone Mainframe Display」で「Session」を選択し、「Connect」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、BOSaNOVAエミュレータがサポートされています。BOSaNOVAがLogon Managerで動作するための設定手順は必要ありません。
|
注意: Logon ManagerでのBOSaNOVAエミュレータの使用には既知の問題があります。エミュレーションを閉じるとき、次の警告メッセージが表示されます。「There are active applications connected to the emulation via the HLLAPI/DDE interface. Closing the emulation now may cause unpredictable results. Are you sure?」「Yes」をクリックすると、Logon ManagerはBOSaNOVAエミュレータへの応答を停止するため、エミュレータを再起動する必要があります。再起動には、さらに数秒かかる場合があることに注意してください。この問題は、エミュレーションを閉じる前にLogon Managerを停止し、エミュレータを閉じた後、Logon Managerを再起動することによって解決することもできます。 |
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Ericom PowerTermをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
「Setup」メニューから「Terminal」を選択します。
「General」タブを選択します。
「HLLAPI Names」で「Short」を一意の値に設定します。
「OK」をクリックします。
PowerTerm InterConnect、PlusおよびLite版でLogon Managerサポートを有効にするには、エージェントのホスト/メインフレーム構成ファイルMfrmList.iniにエミュレータへの完全で正確なパスを指定する必要があります。メインフレーム構成のデフォルト・パスは、C:\Program Files\Ericom Software\PowerTermです。
これらのいずれかのバージョンのPowerTermエミュレータが他のディレクトリやドライブにインストールされている場合は、MfrmList.iniでこのデフォルト・パスを変更する必要があります。このファイルは、管理コンソールを使用してのみ編集できます。
「Tools」メニューで「Modify Configuration」を選択し、「MfrmList」をクリックします。
INIエディタで、「Section」ドロップダウン・リストからEricom PowerTerm Lite/Plus/InterConnectを選択します。
ValueName=では、必要に応じてエミュレータへのパスを編集します。
「Save」をクリックし(エージェントを再起動するように求められた場合は「OK」をクリックし)、「Close」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
G&R Glinkを、Logon Managerで動作するように設定するには、次の手順を実行します。
G&R Glinkインストール・パス内のGLWin\WHLLAPIディレクトリにあるglHLLAPI.iniファイルで短縮名を構成します。このファイルを有効にするには、ユーザーの%WinDir%ディレクトリにコピーする必要があります。短縮名を参照する値(次の形式を参照)を除き、デフォルト値は変更しないことをお薦めします。
A]Name=HLLAPI long nameConfig=config file name
Aは短縮名を表します。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Hummingbird Host ExplorerをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
「Options」メニューから「API Settings」を選択します。
「HLLAPI Options」で、「Update screen after PS update」を選択します。
「EHLLAPI Compatibility」で、「Attachmate」を選択します。
「OK」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、IBM Client Accessがサポートされています。IBM Client AccessがLogon Managerで動作するための設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、IBM Client Access Expressがサポートされています。IBM Client Access ExpressがLogon Managerで動作するための設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
IBM Host On-DemandのLogon Managerサポートは、Microsoft Windows、Microsoft Internet ExplorerまたはMozilla Firefox、および更新されたJVM (Java Virtual Machine)を使用してテスト済です。Microsoft Internet Explorerがインストールされている場合は、JVMを更新しないでください。
これらの方法に関して、構成されたセッションをクライアントが保存できない場合があるという問題があり、セッションを使用するたびに自動起動名を入力するのは非常に面倒です。かわりに、次に説明するように、管理者はクライアントが使用できる既存のセッションを複製し、複製したセッションをHLLAPI対応にできます。これにより、クライアントは標準とHLLAPI対応の両方のセッションを使用できるようになります。
IBM Host On-DemandをLogon Managerで動作するように設定するには、次の手順を実行します。
Microsoft Internet ExplorerまたはMozilla Firefoxで次の手順を実行します。:
ブラウザを起動します。
IBM FixCentralに移動し、IBM Host On-Demandの特定のバージョンのHost On-Demand EHLLAPI Bridge Downloadをダウンロードします。
ダウンロードしたファイルをLogon Managerインストール・ディレクトリに解凍します。
Ehllapibridge.exeをインストールします。
「ツール」メニューから「インターネット オプション」を選択します。
「詳細設定」タブを選択します。
「Microsoft VM」で、「Java console enabled (requires restart)」を選択します。
「適用」をクリックし、次に「OK」をクリックします。必要に応じて、ブラウザを終了します。
コンピュータを再起動します。
Host On-Demandの場合
個々のセッションをHost On-DemandアプレットによってHLLAPIイネーブラを実行するように構成します。
メニューから「Properties」を選択します。
「Advanced」タブを選択します。
「Auto-Start」ドロップダウン・リスト・ボックスから「Applet」を選択します。
「Name」テキスト・ボックスにcom.ibm.eNetwork.hllbridge.HLLAPIEnablerと入力します。
「Parameter (Optional)」テキスト・ボックスにENABLE_PCSAPI=YESと入力します。
「Auto-start HLLAPI Enabler」チェック・ボックスで「Yes」を選択します。
または、「Assist」、「Run applet」の順に選択してセッションを開始した後、このアプレットを実行します。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
IBM Personal CommunicationsをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータの「Edit」メニューから、「Preferences」、「API Settings」の順に選択します。
「DDE/EHLLAPI」チェック・ボックスを選択します。
「OK」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Jolly Giant QWS3270 PLUSエミュレータがサポートされています。Jolly Giant QWS3270 PLUSがLogon Managerで動作するための設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
エミュレータでのNetManageの設定
「Options」メニューからAPIを選択します。
「Identification」タブを選択します。
「Session Short Name」を設定します。
「OK」をクリックします。
|
注意: NetManage Rumbaには、HLLAPIが不完全に実装されている可能性があります。NetManage Rumbaでは、Presentation Space (エミュレータ画面)に接続して表示させることはできますが、2つ以上のセッションの接続はサポートされていません。Logon Managerでは、最後に起動されたセッションへのシングル・サインオン・サポートのみが提供されています。 |
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Net SoftのNS/Eliteがサポートされています。NS/EliteがLogon Managerで動作するための設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Newhart Systems BLUES 2000エミュレータがサポートされています。Newhart Systems BLUES 2000がLogon Managerで動作するための設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Novell LAN Workplace Proに対するLogon Managerサポートを有効にするには、エージェントのホスト/メインフレーム構成ファイルMfrmList.iniにエミュレータへの完全で正確なパスを指定する必要があります。メインフレーム構成のデフォルト・パスは、c:\Program Files\Novell\LAN Workplace\Terminals\Binです。
Novell LAN Workplaceエミュレータが他のディレクトリやドライブにインストールされている場合は、MfrmList.iniでこのデフォルト・パスを変更する必要があります。このファイルは、管理コンソールを使用してのみ編集できます。
「Tools」メニューで「Modify Configuration」を選択し、「MfrmList」をクリックします。
INIエディタで、「Section」ドロップダウン・リストからNovell LAN Workplace Pro 5.2を選択します。
ValueName=では、必要に応じてエミュレータへのパスを編集します。
「Save」をクリックし(エージェントを再起動するように求められた場合は「OK」をクリックし)、「Close」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
PuTTYおよびPuTTYのサポートについてLogon Managerで想定された方法により、PuTTYを介してアクセスするアプリケーションのテンプレートを作成する際に、次の内容を考慮する必要があります。
|
注意: PuTTYベースのテンプレートを作成する場合は、PuTTYのCopy All to Clipboard機能を使用します。 |
PuTTYは固定画面アプリケーションをスクロール画面として扱う
PuTTYはすべてのアプリケーションをスクロール画面として扱うため、対象のアプリケーションが固定画面であっても、スクロール画面テンプレートを作成する必要があります。
PuTTYはカーソル位置の検出または設定をサポートしない
PuTTYはカーソル位置の検出も設定もできないため、テンプレートを作成する際は、次の手順を実行する必要があります。
固定画面アプリケーション。タブや空白などの適切なキーボード文字を送信することによって、目的の行と列に手動でカーソルを配置するようにテンプレートを構成します。
スクロール画面アプリケーション。カーソルが常に画面の最終行の最後の文字の後の空白を1つ追加した場所にあると仮定してテンプレートを構成します。
PuTTYの画面はすぐに更新されない
ホスト・エコー(入力した文字は最初にサーバーに送信され、その後、ターミナルに戻されて表示されます)によって、PuTTYはすぐに画面を更新しないため、フィールドの変更時または資格証明の送信時(あるいはその両方)に、エコーの待機時間に応じて遅延を追加することが必要です。送信アクションで遅延が必要な場合は、自動送信機能を無効にする必要があります。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Scanpak Aviva for Desktops (以前の Eicon Aviva)がサポートされています。Scanpak Aviva for DesktopsをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
「Settings」を選択し、メニューから「Properties」を選択します。
「Automation」を選択します。
「Choose first available short name」チェック・ボックスが選択されていることを確認します。
|
注意: セッション・パラメータおよび宛先パラメータのみを構成する必要があります。 |
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Seagull BlueZoneがサポートされています。設定手順は必要ありません。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
WRQ ReflectionをLogon Managerで動作するように設定するには、次の手順を実行します。
エミュレータで:
「Setup」を選択し、メニューから「Terminal」を選択します。
「Short」および「Long」の「HLLAPI names」を設定します。(「Short」は一意である必要があり、「Long」はプログラムで使用できる任意の名前を設定できます。)
「OK」をクリックします。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Passportを、Logon Managerとともに動作するように設定するには、次の手順を実行します。
エミュレータで:
「Communication」を選択し、メニューから「Setup」を選択します。
HLLAPIを選択します。「Automatically Select」が選択されている場合、追加の手順は必要ありません。「Manually Specify」が選択されている場合、「Short Name」または「Long Name」も選択されている必要があります。
|
注意: サポートされるすべてのバージョンの一覧については、Oracleサポートを確認してください。 |
Logon Managerでは、Passport Web to Hostがサポートされています。Web to HostがLogon Managerで動作するための設定手順は必要ありません。
Logon Managerでは、SAPアプリケーションがサポートされています。Logon ManagerがSAPアプリケーションと連携するには、スクリプトを有効にする必要があります。(ご使用の環境では、スクリプトがデフォルトで無効になっている場合があることに注意してください。)次の構成変更は、Logon Managerを実行するすべてのSAPデスクトップに対して行う必要があります。構成変更を行わない場合は、Logon Managerを停止しないかぎり、エンド・ユーザーはSAPエラーを受け取ります。
SAPをLogon Managerで動作するように設定するには、次の手順を実行します。
クライアントを構成します。
SAPクライアントをオープンし、ログオンします(SAPGUI Front End)。
「SAP Easy Access」画面で、「Options」ダイアログ・ボックスを開きます。([Alt]を押しながら[F12]を押すか、または任意のSAP画面の標準ツールバーから「Customizing of local layout」を選択します)。
「Scripting」タブを選択します。
「User Settings」で、「Enable Scripting」が選択されていること、および「Notify when a script attaches to a running GUI」が選択されていないことを確認します。
「Apply」をクリックします。
サーバーを構成します。
SAPアプリケーション・サーバーをオープンします。
トランザクションRZ11を開始します。
「Maintain Profile Parameters」画面の「Param.Name」でsapgui/user_scriptingと入力し、「Display」をクリックします。
「Display Profile Parameter Attributes」画面で、「Application」ツールバーから「Change Value」を選択します。
「Change Parameter Value」画面で、「New Value」フィールドにTRUEと入力します。
「Save」(左下隅)をクリックします。
レジストリを編集します。
レジストリを開きます。
HKCU\software\SAP\SAPGUI Front\SAP Frontend Server\Security:WarnOnAttachにドリルダウンします。
WarnOnAttach値に0(ゼロ)(0)を設定します。
Logon ManagerでSAPアプリケーションを使用するすべてのデスクトップにこの変更を適用します。
|
注意: このプロセスにはSAP Helperが必要です。Logon Managerエージェントのインストーラを実行し、「Advanced Setup」を選択して「Extensions」ツリーを展開し、「Logon Manager」にドリルダウンします。「SAP Helper」を選択し、「This Feature will be installed on the local hard drive」を選択します。「Next」を選択し、画面の指示に従ってインストールを完了します。 |
「Feedback Color」の値は、カスケード・スタイル・シート(CSS)のborder属性の標準に従います。次の表には、有効な色とそのRGB値が示されています。これらの値が使用される「Feedback Color」設定については、第2.17.3.4項「Webアプリケーションのレスポンス」を参照してください。
| 属性 | 使用可能な値 |
|---|---|
| Width |
|
| Style |
|
| Color | 色のキーワードまたはRGB値。一般的な例を次に示します。 |
| キーワード | 対応するRGB | キーワード | 対応するRGB |
|---|---|---|---|
| aqua | #00FFFF | navy | #000080 |
| black | #000000 | olive | #808000 |
| blue | #0000FF | purple | #800080 |
| fuchsia | #FF00FF | red | #FF0000 |
| gray | #808080 | silver | #C0C0C0 |
| green | #008000 | teal | #008080 |
| lime | #00FF00 | white | #FFFFFF |
| maroon | #800000 | yellow | #FFFF00 |
セカンダリ認証APIを使用すると、サード・パーティ・アプリケーションがプログラムによってパスフレーズをWindows Authenticator v2 (別名MSAuth)およびLDAPオーセンティケータv2(LDAPv2)に対し、認証セッションの中で提供できます。これによって、ユーザーと対話する必要がなくなり、認証プロセスが自動化されます。
このAPIには、次の機能が含まれています。
SecondaryAuthKey。パスフレーズへの応答のバッファを割り当て、このバッファにパスフレーズへの応答を書き込み、ポインタを応答バッファに戻します。
Free SecondaryAuthKey。サード・パーティのコードで応答が必要なくなると、応答バッファはクリアされます。
|
注意: カスタム・セカンダリ認証ライブラリは、オラクル社によって検証され、デジタル署名が付加される必要があります(そうでないと、Logon Managerで受け入れられません)。このプロセスのサポートが必要な場合は、Oracleサポートに連絡してください。 |
このメソッドは、ユーザーのパスフレーズ応答(ユーザーのディレクトリSIDなど)を取得し、メモリーの指定アドレスに格納して後で取得できるようにする場合に使用します。
BOOL SecondaryAuthKey( LPBYTE* pbAnswer, LPDWORD pdwSize ){
BOOL fRetVal = FALSE;
// check for invalid parametersif ( NULL != pbAnswer ) {
// obtain user's SID - it will be used as passphrase answer CSid sid; CString strSid( sid.Sid() );
// allocate the memory buffer LPBYTE pByte = new BYTE[strSid.GetLength() + 1];
// copy the SID to the buffer::memcpy( pByte, strSid.GetBuffer(), strSid.GetLength() );
// save the address of the buffer to the passed pointer*pbAnswer = pByte;
// save the size of the buffer to the passed pointerif ( NULL != pdwSize ) {
*pdwSize = strSid.GetLength() + 1;
}
// set successful return code fRetVal = TRUE;
}
return fRetVal;
}
このメソッドは、SecondaryAuthKeyが正常にコールされた後に、パスフレーズ応答のバッファをクリアするために使用します。
void FreeSecondaryAuthKey( LPBYTE pbAnswer )
{
// free the memory bufferdelete[] pbAnswer;
}
カスタム・セカンダリ・オーセンティケータをテストするためのドライバ・コードのコード例を示します。
BOOL CResetDlg::SecondaryAuth( LPCTSTR pszDllPath ){
BOOL fRetVal = FALSE;
// load SecondaryAuth.dll HMODULE hSecondaryAuth = LoadLibrary( pszDllPath );
If ( NULL != hSecondaryAuth ) {
SECONDARYAUTHKEY pfnSecondaryAuthKey = (SECONDARYAUTHKEY) GetProcAddress( hSecondaryAuth, "SecondaryAuthKey" );if ( NULL != pfnSecondaryAuthKey ){
LPBYTE pbByte = NULL;DWORD dwAnswerSize = 0;
// call SecondaryAuthKey to get the passphrase answer BOOL bAnswerResult = pfnSecondaryAuthKey( &pbByte, &dwAnswerSize );
// use the returned answer - pbByte// ...
// call FreeSecondaryAuthKey to let the library free the memory FREESECONDARYAUTHKEY pfnFreeSecondaryAuthKey = (FREESECONDARYAUTHKEY) GetProcAddress( hSecondaryAuth, "FreeSecondaryAuthKey" ); if ( NULL != pfnFreeSecondaryAuthKey ) {
pfnFreeSecondaryAuthKey( pbByte );
}
// set successful return code fRetVal = TRUE;
}
// unload SecondaryAuth.dll FreeLibrary( hSecondaryAuth );
}
return fRetVal;
}
Windows Authenticator v2 (WinAuth v2)またはLDAPオーセンティケータv2 (LDAPAuth v2)でユーザーのアイデンティティの確認に使用するオーセンティケータを、必要に応じて別の方式に変更できます。次のシナリオがサポートされています。
WinAuth v2/LDAPAuth v2組込みセカンダリ認証を、外部セカンダリ認証に
外部セカンダリ認証を、WinAuth v2/LDAPAuth v2組込みセカンダリ認証に
外部セカンダリ認証ライブラリを、別の外部セカンダリ認証ライブラリに
カスタム・セカンダリ認証ライブラリを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2 or LDAP v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSIDまたはセキュア・ランダム・キーを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(これによって、このオプションはデフォルト値の「User passphrase」に戻ります。)
次のディレクトリに、カスタム・ライブラリのGUIDと同一の名前のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
|
注意: <oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、次のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\{B623C4E7-A383-4194-A719-7B17D074A70F}
カスタム・ライブラリ・ファイルを、手順4で作成したディレクトリに配置します。
カスタム・ライブラリのGUIDと同一の名前のキーを作成することによって、Logon Managerのセカンダリ認証方式のリストに、カスタム・ライブラリのGUIDを追加します。次の位置を使用します。
32ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\
64ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\AUI\MsAuth\ RecoveryMethods\
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、32ビット・システムでは次のキーを作成します。
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\{B623C4E7-A383-4194-A719-7B17D074A70F}
Logon Managerのリカバリ方法を、カスタム・セカンダリ認証ライブラリに設定します。まだ存在しない場合は、ResetMethodGUIDunderHKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MsAuth\RecoveryMethods\という名前の文字列値を作成し、それをカスタム・ライブラリのGUIDに設定します。
WinAuth v2の設定を、新しく選択した構成で再初期化します。
Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2 or LDAP v2」が選択された状態であることを確認します。
ウィザードの残りのステップを完了します。
Logon Manager組込みのセカンダリ認証方式のいずれかを使用し、リカバリ用のWinAuth v2またはLDAPAuth v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2 or LDAP v2」にナビゲートします。
「Recovery Method」オプションの横のチェック・ボックスを選択し、次のいずれかを実行します。
セカンダリ認証にユーザー提供のパスフレーズを使用する対話型のパスフレーズ・プロンプトを使用するには、ドロップダウン・リストから「User passphrase」を選択します。
ユーザーのディレクトリSIDをパスフレーズ応答として使用するサイレント・セカンダリ認証を使用するには、ドロップダウン・リストから「Passphrase suppression using user's SID」を選択します。
セキュア・ランダム・キーをパスフレーズ応答として使用するサイレント・セカンダリ認証を使用するには、ドロップダウン・リストから「Passphrase suppression using secure key」を選択します。
サイレント・セカンダリ認証にentryUUIDを使用するには、ドロップダウン・リストから「Passphrase suppression using entryUUID」を選択します。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
WinAuth v2またはLDAP v2の設定を、新しく選択した構成で再初期化します。
Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2 or LDAP v2」が選択された状態であることを確認します。
ウィザードの残りのステップを完了します。
外部セカンダリ認証ライブラリを現在使用中で、別の外部ライブラリに切り替える場合は、「組込みセカンダリ認証から外部セカンダリ認証への切替え」の手順を実行します。
この項では、このドキュメントで前述のセカンダリ・オーセンティケータごとに、Windows Authenticator v2のインストールおよび構成方法について説明します。内容は次のとおりです:
|
注意: この項では、前のリストに示した手順を手動で実行する方法を示します。これらのプロセスを自動化またはカスタマイズする(あるいはその両方を行う)場合は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照するか、または使用する環境に合わせたデプロイメント計画の開発についてOracleサポートに問い合せてください。 |
既存のWinAuth v1デプロイメントからWinAuth v2に手動で移行するには、次の手順を実行します。
WinAuth v2が唯一の使用可能なログオン方法となるように初回使用ウィザードを再構成します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「User Experience」 > 「Setup Wizard」にナビゲートします。
「Selected Authenticator」オプションの横のチェック・ボックスを選択し、ドロップダウン・リストから「Windows v2」を選択します。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
プレーン・テキスト・エディタを使用して、次の内容のバッチ(.cmd)ファイルを作成します。
##Install WinAuth v2
<esso-lm_installer> /s /v"/qb RUNVGO="YES" ADDLOCAL="MSauth""
##Initiate primary logon method change
"<oracle_install_dir>\v-GO SSO\ssoShell.exe" /shellLoad Themes /shellLock
|
注意: <esso-lm_sso_installer>は、Logon Managerインストーラの実行可能ファイルのフルパスと名前に置き換え、<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
ファイルを保存して閉じます。
ターゲット・マシンでこのファイルを実行します。
FTUウィザードが表示されたら、手順に従って移行プロセスを完了します。
Windows DPAPIを使用したオーセンティケータ・キー管理用にWinAuth v2を構成するには、次の手順を実行します。
|
注意: この手順は、WinAuth v2がインストール済で、Logon Managerデプロイメントと動作するように構成されていることを前提とします。 |
開始する前に、セカンダリ認証がWindows DPAPIを介して機能するように、環境が次に示す最小限のソフトウェア要件を満たしていることを確認してください。
ドメイン・コントローラ: Windows Server 2008以上。
Logon Managerが動作するクライアント・マシン:
Windows Server 2008以上
Windows Server 2012
Windows 7
Windows 8
|
注意: Windows Server 2008には、KB907247(ソフトウェア更新をローミングする資格証明)が必要です。 |
Windows DPAPIおよび資格証明のローミングについては、次に示すMicrosoft Developer NetworkおよびTechNetの記事を参照してください。
Windows Data Protection: http://msdn.microsoft.com/en-us/library/ms995355.aspx
資格証明のローミング: http://technet.microsoft.com/en-us/library/cc700815.aspx
使用する環境が、リストされた最少要件を満たす場合は、次に示すように、Windows DPAPIをセカンダリ認証方式として使用するようにWinAuth v2を構成します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSIDまたはセキュア・ランダム・キーを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
WinAuth v2に対してWindows DPAPIを有効にします。「Use Windows Data Protection (DPAPI)」オプションの横のチェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。
変更内容をリポジトリに公開して保存します。
この構成をテストします。次に示すテストを行って、Logon Managerおよび環境が、資格証明のローミング、パスワード変更およびキーセット・ローテーションを処理するように適切に構成されていることを確認します。
初回使用(FTU)ウィザードを完了してLogon Managerに新しいユーザーを登録します(登録時に、Logon Managerはユーザー名およびパスワードを求めますが、パスフレーズ応答の選択は求めないはずです)。
Logon Managerにアプリケーションを登録し、そのアプリケーションの資格証明のセットを格納します。
アプリケーションを閉じて、再度開きます。Logon Managerは、パスフレーズへの応答を求めず、自動的に応答してユーザーをアプリケーションにログオンさせるはずです。
このマシンからログアウトし、同じユーザーとして別のマシンにログオンします。Logon Managerは、元のマシンとまったく同様に動作し、パスフレーズへの応答またはその他の不要な情報を求めることはしないはずです。
「Log on using Logon Manager」オプションを使用して(Logon Managerのシステム・トレイ・アイコンを右クリックしてアクセスします)、アプリケーションのレスポンス機能が目的どおりであることを確認します。
このエージェント内でアプリケーションのプロパティ・ダイアログを開き、「Reveal Password」オプションを使用して保存済パスワードを表示します。パスフレーズへの応答を求めるプロンプトはないはずです。
このエージェントの起動前にユーザーのWindowsパスワードを変更し、エージェントの実行中にも再度パスワードを変更します。パスフレーズ応答が求められることはなく、保存済の資格証明にまだアクセスできるはずです。
3台目のマシンにログオンし、保存済の資格証明にまだアクセス可能であることを確認します。
Windows DPAPIで強制される90日キーセット・ローテーションが適切に機能することをテストします。このマシンおよびドメイン・コントローラの時計を120日進めて、2台以上の異なるマシンにログオンし、保存済の資格証明にまだアクセス可能かどうかを確認します。
対話型パスフレーズ・プロンプトを介したオーセンティケータ・キーのリカバリのためにWinAuth v2を構成するには、「WinAuth v1インストールのWinAuth v2への移行」の説明のとおりにWinAuth v2をインストールします。コンソールの「Recovery Method」オプションは、手動で変更しないかぎり、デフォルトで「User passphrase」になっています。
|
注意: この手順は、WinAuth v2がインストール済で、Logon Managerデプロイメントと動作するように構成されていることを前提とします。 |
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSIDまたはセキュア・ランダム・キーを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
リカバリ中に表示されるユーザー警告を構成します。この警告は、パスフレーズへの応答を記憶する重要性を強調するものです。
Live設定の下で、「Authentication」 > 「Windows v2」 > 「Passphrase」にナビゲートします。
「Message」オプションの横にあるチェック・ボックスを選択し、パスフレーズ応答を記憶する重要性をユーザーに説明するメッセージを入力します。(以降の手順でフィールドに値を入力する場合は、復帰改行文字として文字列\nを使用してください。)
このメッセージは登録時に表示され、続行するにはチェック・ボックスを選択し、「OK」ボタンをクリックすることをユーザーに求めます。
「Message Dialog Title」オプションの横にあるチェック・ボックスを選択し、そのダイアログのウィンドウ・タイトルを入力します。
「Checkbox Label」オプションの横にあるチェック・ボックスを選択し、ダイアログに表示されるチェック・ボックスのラベルを入力します。
「Reset with old password」オプションの横にあるチェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。このオプションによって、ユーザーは古い(最新の)パスワードを使用して資格証明ストアへのアクセスをリカバリできます。
「Force password re-enrollment when using old password to reset」オプションの横にあるチェック・ボックスが選択されていないことを確認します(つまり、このオプションはデフォルト値の「Yes」の状態)。
この設定によって、「Reset with old password」オプションが有効で、ユーザーがリカバリ中のパスフレーズへの応答として古い(最新の)パスワードを使用した場合に、Logon Managerはこのユーザーを再登録するようになります。
たとえば、警告を次のように構成した場合:
ユーザーがリカバリ時にパスフレーズへの応答を求められる際に、次のように表示されます。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
Logon Managerセカンダリ認証APIを介したリカバリ用にWinAuth v2を構成するには、次の項のいずれかの手順を実行します。
この手順を開始する前に、次が完了していることを確認します:
Logon Managerのセカンダリ認証APIの理解の項に従って、使用するカスタム・セカンダリ認証ライブラリが記述されている。
カスタム・ライブラリのGUIDを把握していて、このGUIDがGetIDメソッドによってライブラリからLogon Managerに戻されることを確認済である。
デジタル署名を取得するためにオラクル社にカスタム・ライブラリ・ファイルを送信し、オラクル社からこのファイルのデジタル署名済のコピーを受け取っている。Logon Managerでは、有効なデジタル署名が付加されていないカスタム・ファイルはロードされません。
カスタム・セカンダリ認証ライブラリを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSIDまたはセキュア・ランダム・キーを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
次のディレクトリに、カスタム・ライブラリのGUIDと同一の名前のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
|
注意: <oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、次のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
{B623C4E7-A383-4194-A719-7B17D074A70F}
カスタム・ライブラリ・ファイルを、手順4で作成したディレクトリに配置します。
カスタム・ライブラリのGUIDと同一の名前のキーを作成することによって、Logon Managerのセカンダリ認証方式のリストに、カスタム・ライブラリのGUIDを追加します。次の位置を使用します。
32ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MSAuth\ResetMethods\
64ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\
Wow6432Node\Passlogix\AUI\MSAuth\ResetMethods\
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、32ビット・システムでは次のキーを作成します。
HKEY_LOCAL_MACHINE\Software\Passlogix\
AUI\MSAuth\ResetMethods\{B623C4E7-A383-4194-A719-7B17D074A70F}
手順6aで作成したキーの下に、Pathという名前の文字列値を作成し、カスタム・ライブラリのフル・パスおよびファイル名を設定します。この例では、次のように設定します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
{B623C4E7-A383-4194-A719-7B17D074A70F}\<MyCustomLibrary.dll>
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフル・パスで、<MyCustomLibrary.dll>は、カスタム・ライブラリのファイル名です。
Logon Managerのリカバリ方法に、カスタム・セカンダリ認証ライブラリを設定します。
まだ存在しない場合は、ResetMethodGUIDという名前の文字列値を、HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\MSAuth\ResetMethods\の下に作成し、それにカスタム・ライブラリのGUIDを設定します。
WinAuth v2の設定を、新しく選択した構成で再初期化します。
Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「Windows Logon v2」が選択された状態であることを確認します。
ウィザードの残りのステップを完了します。
Logon Managerの組込みのサイレント・セカンダリ認証方式のいずれかを使用したリカバリ用にWinAuth v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「Windows v2」にナビゲートします。
「Recovery Method」オプションの横のチェック・ボックスを選択し、次のいずれかを実行します。
サイレント・セカンダリ認証にユーザーのディレクトリSIDを使用するには、ドロップダウン・リストから「Passphrase suppression using user's SID」を選択します。
サイレント・セカンダリ認証にセキュア・ランダム・キーを使用するには、ドロップダウン・リストから「Passphrase suppression using secure key」を選択します。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
WinAuth v2を使用して認証するようにKiosk Manager環境を構成する場合、WinAuth v2に付属するセカンダリ認証方式のみがサポートされ、カスタム・セカンダリ認証ライブラリはサポートされません。
Kiosk Manager環境にWinAuth v2を構成するには、この項で前述した内容に加え、次のオプションを構成する必要があります。
「Delete Local Cache」オプション(「Global Agent Settings」の下 > [設定されるターゲット設定]「> Synchronization」にYesを設定する必要があります。
Active Directoryデプロイメントの場合、「Credentials to use」オプション(「Global Agent Settings」の下 > [設定されるターゲット設定]「> Synchronization」に「Use Active Directory Server Account」を設定する必要があります。
AD LDS (ADAM) デプロイメントの場合、「Credentials to use」オプション(「Global Agent Settings」の下 > [設定されるターゲット設定]「> Synchronization」に「Use AD LDS (ADAM) Server Account」を設定する必要があります。
「Prefill Username/ID on FTU」オプション(「Global Agent Settings」の下 > 「Windows Authenticator v2」 > 「User interface」)に「No」を設定する必要があります。これによって、FTUでユーザー名/IDフィールドに以前のユーザー名が挿入されないようにします。
新しいパスフレーズ質問に基づいて新しいパスフレーズ応答を提供するようにユーザーに強制するには、管理権限を持つユーザーとして次を実行します。
管理コンソールを使用して、次の手順を実行します。
不要になる既存の質問を無効にします。
新しい質問を追加します。
ユーザーごとに、ターゲット・マシンでターゲット・ユーザーとして次の手順を実行します。
次のレジストリ・キーとその内容を削除します。
HKEY_CURRENT_USER\Software\Passlogix\AUI\MSauth\Reset
次のコマンドを実行します。
<oracle_install_dir>\v-GO SSO\ssoshell.exe /forceverify now
|
注意: <oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
前述の手順を自動化する場合は、次の対処をお薦めします。
プロセスを管理するスクリプトを作成する
処理内容を説明する、エンド・ユーザー向けの指示を提供する
次のような各手順の成功または失敗を集中的に記録するロギング機能を含める
スクリプトの起動
古いレジストリ・キーの削除
新しいレジストリ・キーの作成
ユーザーによるパスフレーズへの応答の入力
パスフレーズへの応答の変更を正常に終了したユーザーに対して記録されたデータを監査するレポーティング機能を含める
すべてのユーザーが変更を完了したら、不要なパスフレーズ質問を削除する
|
注意: 次の説明は、Windows 7およびWindows 8のみに適用されます。 |
スマート・カードなどの厳密な認証デバイスを使用してWindowsに対する認証を行う場合、厳密な認証イベントがサード・パーティの資格証明プロバイダ(WinAuth v2を使用してデプロイされたLogon Managerなど)に渡されるようにWindowsを構成する必要があります。そうでない場合は、Logon Managerはこのデバイスと通信できず、Logon Managerに対して認証を行うことはできません。
そのためには、次の手順を実行します。
Windowsレジストリ・エディタを起動し、次のパスにナビゲートします。
HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\Winlogon\Notify
前述のキーの下に、SmartCardLogonNotifyという名前のDWORD値を作成します。
前述の値に1を設定します。
マシンを再起動します。
この項では、このドキュメントで前述のセカンダリ・オーセンティケータごとに、LDAP Authenticator v2のインストールおよび構成方法について説明します。内容は次のとおりです:
|
注意: この項では、前のリストに示した手順を手動で実行する方法を示します。これらのプロセスを自動化またはカスタマイズする(あるいはその両方を行う)場合は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照するか、または使用する環境に合わせたデプロイメント計画の開発についてOracleサポートに問い合せてください。 |
既存のLDAPAuth v1デプロイメントをLDAPAuth v2に手動で移行するには、次の手順を実行します。
LDAPAuth v2が唯一の使用可能なログオン方法となるように初回使用ウィザードを再構成します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「User Experience」 > 「Setup Wizard」にナビゲートします。
「Selected Authenticator」オプションの横のチェック・ボックスを選択し、ドロップダウン・リストから「LDAP v2」を選択します。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
プレーン・テキスト・エディタを使用して、次の内容のバッチ(.cmd)ファイルを作成します。
##Install LDAPAuth v2
<esso-lm_installer> /s /v"/qb RUNVGO="YES" ADDLOCAL="LDAPAuth""
##Initiate primary logon method change
"<oracle_install_dir>\v-GO SSO\ssoShell.exe" /shellLoad Themes /shellLock
|
注意: <esso-lm_sso_installer>は、Logon Managerインストーラの実行可能ファイルのフルパスと名前に置き換え、<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
ファイルを保存して閉じます。
ターゲット・マシンでこのファイルを実行します。
FTUウィザードが表示されたら、手順に従って移行プロセスを完了します。
対話型パスフレーズ・プロンプトを介してオーセンティケータ・キーをリカバリするようにLDAPAuth v2を構成するには、LDAPAuth v2をインストールします。コンソールの「Recovery Method」オプションは、手動で変更しないかぎり、デフォルトで「User passphrase」になっています。
|
注意: この手順は、LDAPAuth v2がインストール済で、Logon Managerデプロイメントと動作するように構成されていることを前提とします。 |
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「LDAP v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSID、セキュア・キーまたはentryUUIDを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
Logon Managerセカンダリ認証APIを使用してリカバリするようにLDAPAuth v2を構成するには、次の項のいずれかの手順を実行します。
この手順を開始する前に、次が完了していることを確認します:
Oracle Enterprise Single Sign-On Suite管理者ガイドのLogon Managerのセカンダリ認証APIの理解に関する項の説明に従って、カスタム・セカンダリ認証ライブラリが記述されている。
カスタム・ライブラリのGUIDを把握していて、このGUIDがGetIDmethodによってライブラリからLogon Managerに戻されることを確認済である。
デジタル署名を取得するためにオラクル社にカスタム・ライブラリ・ファイルを送信し、オラクル社からこのファイルのデジタル署名済のコピーを受け取っている。Logon Managerでは、有効なデジタル署名が付加されていないカスタム・ファイルはロードされません。
カスタム・セカンダリ認証ライブラリを使用してリカバリするようにLDAPAuth v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「LDAP v2」にナビゲートします。
以前Logon Managerで、セカンダリ認証方式にユーザーのディレクトリSID、セキュア・キーまたはentryUUIDを使用するように構成済の場合は、「Recovery Method」オプションの横のチェック・ボックスの選択を解除して、対話型のパスフレーズに戻します。(オプションがデフォルト値の「User passphrase」に戻ります。)
次のディレクトリに、カスタム・ライブラリのGUIDと同一の名前のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\
|
注意: <oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、次のディレクトリを作成します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\{B623C4E7-A383-4194-A719-7B17D074A70F}
カスタム・ライブラリ・ファイルを、手順4で作成したディレクトリに配置します。
カスタム・ライブラリのGUIDと同一の名前のキーを作成することによって、Logon Managerのセカンダリ認証方式のリストに、カスタム・ライブラリのGUIDを追加します。次の位置を使用します。
32ビット・システムの場合:
HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\LDAPAuth\ResetMethods\
64ビット・システムの場合:
HKEY_LOCAL_MACHINE\
Software\Wow6432Node\Passlogix\AUI\LDAPAuth\ResetMethods\
たとえば、ライブラリのGUIDが{B623C4E7-A383-4194-A719-7B17D074A70F}の場合、32ビット・システムでは次のキーを作成します。
HKEY_LOCAL_MACHINE\Software\Passlogix\
AUI\LDAPAuth\ResetMethods\{B623C4E7-A383-4194-A719-7B17D074A70F}
手順6aで作成したキーの下に、Pathという名前の文字列値を作成し、カスタム・ライブラリのフル・パスおよびファイル名を設定します。この例では、次のように設定します。
<oracle_install_dir>\v-GO SSO\AUI\Recovery\>
{B623C4E7-A383-4194-A719-7B17D074A70F}\<MyCustomLibrary.dll
<oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフル・パスで、<MyCustomLibrary.dll>は、カスタム・ライブラリのファイル名です。
Logon Managerのリカバリ方法に、カスタム・セカンダリ認証ライブラリを設定します。
まだ存在しない場合は、ResetMethodGUIDという名前の文字列値を、HKEY_LOCAL_MACHINE\Software\Passlogix\AUI\LDAPAuth\ResetMethods\の下に作成し、それにカスタム・ライブラリのGUIDを設定します。
LDAP v2の設定を、新しく選択した構成で再初期化します。
Logon Managerを起動し、そのシステム・トレイ・アイコンをダブルクリックし、表示されたウィンドウの左側のペインで「Settings」を選択します。
「Authentication」タブを選択し、「Change」をクリックします。セットアップ・ウィザードが表示されます。
このウィザードに表示されるプロンプトに従います。プライマリ・ログオン方法を選択するように求められたら、「LDAP v2」が選択された状態であることを確認します。
ウィザードの残りのステップを完了します。
Logon Managerの組込みのサイレント・セカンダリ認証方式のいずれかを使用してリカバリするようにLDAP v2を構成するには、次の手順を実行します。
管理コンソールを起動します。
左側のペインのツリーで、「Global Agent Settings」ノードを右クリックし、コンテキスト・メニューから「Import」 > 「From Live HKLM」を選択します。
Live設定セットの下で、「Authentication」 > 「LDAP v2」にナビゲートします。
「Recovery Method」オプションの横のチェック・ボックスを選択し、次のいずれかを実行します。
サイレント・セカンダリ認証にユーザーのディレクトリSIDを使用するには、ドロップダウン・リストから「Passphrase suppression using user's SID」を選択します。
サイレント・セカンダリ認証にランダム・セキュア・キーを使用するには、ドロップダウン・リストから「Passphrase suppression using secure key」を選択します。
サイレント・セカンダリ認証にユーザーのentryUUIDを使用するには、ドロップダウン・リストから「Passphrase suppression using entryUUID」を選択します。
必要に応じて、変更をローカルに保存するか、リポジトリに公開します。
新しいパスフレーズ質問に基づいて新しいパスフレーズ応答を提供するようにユーザーに強制するには、管理権限を持つユーザーとして次を実行します。
管理コンソールを使用して、次の手順を実行します。
不要になる既存の質問を無効にします。
新しい質問を追加します。
ユーザーごとに、ターゲット・マシンでターゲット・ユーザーとして次の手順を実行します。
次のレジストリ・キーとその内容を削除します。
HKEY_CURRENT_USER\Software\Passlogix\AUI\LDAPauth\Reset
次のコマンドを実行します。
<oracle_install_dir>\v-GO SSO\ssoshell.exe /forceverify now
|
注意: <oracle_install_dir>は、Oracle Enterprise Single Sign-On製品がインストールされたディレクトリのフルパスに置き換えてください。 |
前述の手順を自動化する場合は、次の対処をお薦めします。
プロセスを管理するスクリプトを作成する
処理内容を説明する、エンド・ユーザー向けの指示を提供する
次のような各手順の成功または失敗を集中的に記録するロギング機能を含める
スクリプトの起動
古いレジストリ・キーの削除
新しいレジストリ・キーの作成
ユーザーによるパスフレーズへの応答の入力
パスフレーズへの応答の変更を正常に終了したユーザーに対して記録されたデータを監査するレポーティング機能を含める
すべてのユーザーが変更を完了したら、不要なパスフレーズ質問を削除する
|
注意: 次の説明は、Windows 7およびWindows 8のみに適用されます。 |
スマート・カードなどの厳密な認証デバイスを使用してWindowsに対する認証を行う場合、厳密な認証イベントがサード・パーティの資格証明プロバイダ(LDAPAuth v2を使用してデプロイされたLogon Managerなど)に渡されるようにWindowsを構成する必要があります。そうでない場合は、Logon Managerはこのデバイスと通信できず、Logon Managerに対して認証を行うことはできません。
そのためには、次の手順を実行します。
Windowsレジストリ・エディタを起動し、次のパスにナビゲートします。
HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\Winlogon\Notify
前述のキーの下に、SmartCardLogonNotifyという名前のDWORD値を作成します。
前述の値に1を設定します。
マシンを再起動します。
ユーティリティ・プログラムssoSCDetectでは、ワークステーションのスマート・カード・リーダーをモニターします。これにより、ワークステーションを複数ユーザーKioskとして使用し、スマート・カードによって認証されたすべてのユーザーのリモートSSO資格証明ストアにアクセスして同期化できるようになります。
ユーザーがカードをリーダーに挿入すると、ssoSCDetectユーティリティによってエージェントが起動され、ユーザーのプライマリ・ログオン資格証明が求められます。次に、ユーティリティによってユーザーの資格証明がリモート・リポジトリと同期化されます。ユーザーが(たとえば、リーダーからカードを取り出して)ワークステーションからログアウトすると、ssoSCDetectによってエージェントが停止されます。
ユーティリティを実行するには、Logon Manager CDのUtilitiesディレクトリからインストール・ディレクトリ(%ProgramFiles%/Passlogix/v-GO SSO)に実行可能ファイルssoSCDetect.exeをコピーし、プログラムを起動します。
「Settings」ダイアログの使用、ローカル・ワークステーションでのWindowsレジストリ設定、およびシンクロナイザ拡張での管理オーバーライドの指定によって、Logon Managerの各種機能と動作を集中定義できます。
|
注意: これらの設定は管理コンソールで構成します。表は参考用です。 |
レジストリ設定は、エージェント、管理コンソール、RegEdit Windowsユーティリティおよび集中管理されたソフトウェア配布メカニズムを使用して設定できます。レジストリ設定は、次のWindowsレジストリの場所にあります。
HKLM\…\ (コンピュータ固有の設定用)
HKCU\…\ (ユーザー固有の設定用)
シンクロナイザ拡張の管理オーバーライド・オブジェクトでは、HKLM\…\ Windowsレジストリ設定をオーバーライドする設定を指定します(このレジストリ設定は、HKCU\…\ Windowsレジストリ設定をオーバーライドします)。
次の表に、設定とそのオーバーライド先の例を示します。
| 設定 | 場所の例 |
|---|---|
| シンクロナイザ拡張オブジェクトのオーバーライド | Extensions\AccessManager:MFEnable=DWORD:0 |
コンピュータ固有のレジストリの場所(HKLM\…\)のオーバーライド |
HKLM\…\Extensions\AccessManager:MFEnable |
ユーザー固有のレジストリの場所(HKCU\…\)
または 「Logon Manager Mainframe Enable」の「Settings」ダイアログのユーザー設定 |
HKCU\…\Extensions\AccessManager:MFEnable |
管理コンソールを使用してHKLM\&\値を構成し、シンクロナイザ拡張にデプロイできます。
管理コンソールで、一連の新しい設定を作成する(「Global Agent Settings」を右クリックして「New Settings」を選択する)か、保存されている設定をロードする(「Agent Settings」を右クリックして「Import」を選択する)か、または既存の設定のセットを選択(左側のペインで既存の設定のセットを選択)します。
左側のペインで、設定のセットを選択して開き、該当するレジストリ・キーを選択して開きます。
|
注意: Extensions\で始まるレジストリ・エントリは、管理コンソールでは、最初のExtensions\がない状態で表示されます。 |
右側のペインで、該当するレジストリ値を選択し、チェック・ボックスを選択して値を入力します。
該当する形式(管理オーバーライドまたはHKLMレジストリ形式)にエクスポートします。
左側のペインで設定のセットを選択します。
「File」メニューから「Export」を選択し、次にエクスポート形式を選択します。
管理オーバーライド・ファイルをシンクロナイザ拡張にデプロイするには、次の項を参照してください。
HKLMレジストリ形式ファイルを使用するには、そのファイルを起動する(たとえば、エクスプローラからファイルをダブルクリックする)か、インポートする(たとえば、RegEditから)か、またはデプロイメント・ツールを使用してデプロイします。
次のような設定の詳細は、第2章の「グローバル・エージェント設定(詳細)」を参照してください。
画面のレイアウト
名前の設定
説明の設定
レジストリ名
オプションおよびデフォルトの設定
レジストリ・タイプおよびデータ型
ディレクトリ・サーバー・コンテナ、クラス・オブジェクト、これらの権限および属性は、次のとおりです。
すべてのユーザーの機密情報を保存します。これには、ログオン資格証明に加え、削除されたすべてのオブジェクトを保存するオブジェクトが含まれています。このオブジェクトは、補助クラスとしてSSOUserDataオブジェクトに追加されます。すべてのユーザーがこのオブジェクトを読み取ることができますが、所有者のみがこのオブジェクトに書き込むことができ、所有者または管理者のみがこのオブジェクトを削除できます。
権限:権限はvGOUserDataオブジェクトから継承されます。
| 属性名 | 構文 | フラグ |
|---|---|---|
| vGOSecretData | 大/小文字が区別されない文字列 | 単一値設定、同期 |
| vGOSharedSecretDN | 未使用 | |
| その他のオプションの属性 | ou、dn、cn、o |
保護された個別/個人の資格証明をユーザーが保存できるコンテナです。
権限:ユーザーには、自分のユーザー・オブジェクトのこれらの属性に対する書込みアクセス権があります。管理者には完全な権限がありますが、機密情報は暗号化されているため、読み取ることはできません。
| 属性名 | 構文 | フラグ |
|---|---|---|
| vGOSecretData | 大/小文字が区別されない文字列 | 単一値設定、同期 |
| vGORoleDN | 未使用 | |
| その他のオプションの属性 | ou、dn、cn、o |
エージェントが必要とするすべての構成情報を保持するために使用します。この構成情報には、アプリケーション・サポート・リスト、メインフレーム/ホスト・アプリケーション・サポート・リスト、初回使用時の設定手順、パスワード・ポリシーおよび管理オーバーライドが含まれています。これらのすべての設定によって、エージェントの動作が制御されます。
権限:すべてのユーザーには、このオブジェクト内の属性に対する読取り専用アクセス権があります。管理者には完全な権限があります。
| 属性名 | 構文 | フラグ |
|---|---|---|
| vGOConfigType | 大/小文字が区別されない文字列 | 単一値設定、同期 |
| vGOConfigData | 大/小文字が区別されない文字列 | 単一値設定、同期 |
| vGORoleDN | 未使用 | |
| その他のオプションの属性 | ou、dn、cn、o |
この項は、基本的なエラー・ループ設定のクイック・リファレンスとして使用してください。
|
注意: これらの設定は管理コンソールで構成します。表は参考用です。 |
設定は、グローバルからアプリケーション・タイプ、アプリケーションへと下方に継承されます。設定は、より詳細な設定によってオーバーライドされます(グローバルはアプリケーション・タイプにオーバーライドされ、アプリケーション・タイプはアプリケーションにオーバーライドされます)。
|
注意: セキュリティ設定(MaskPWなど)では、グローバル、アプリケーション・タイプ、アプリケーションのいずれに設定されているかにかかわらず、最もセキュアな設定が使用されます。 |
アプリケーション・タイプ設定は、entlist.ini [*Root]セクションに配置します。
[*Root] AppsTimeout=8 WebMaxRetry=3 Place the Application settings in the specific application's entlist.ini section.
[Payroll] WindowTitle1=Payroll MaxRetry=3 Timeout=30 IDCtrl=203 ...
| グローバル(レジストリ) | アプリケーション・タイプ([*Root]) | |||||
|---|---|---|---|---|---|---|
| パラメータの用途 | 拡張子\ AccessManager\ ダイアログ |
Windows | Web | ホスト/メインフレーム | アプリケーション | デフォルト |
| 「Error Loop」ダイアログが表示されるまでの最大再試行回数(最初の試行後) | MaxRetry | AppsMaxRetry | WebMaxRetry | MainframeMaxRetry | MaxRetry | 0 |
| 「Error Loop」ダイアログが表示されるまでの連続したログオン試行間の最長時間 | Timeout | AppsTimeout | WebTimeout | MainframeTimeout | Timeout | 30 |
| 「Error Loop」ダイアログでパスワード確認フィールドを非表示にするかどうかを示す設定 | HideConfirmPW | AppsHideConfirmPW | WebHideConfirmPW | MainframeHideConfirmPW | HideConfirmPW | 0(非表示にしない) |
イベント・ログ・データがIBM DB2データベースの表に格納されるようにLogon Managerを構成するには、次の手順を完了する必要があります。
まだこの操作を行っていない場合は、ベンダーのドキュメントの説明に従ってIBM DB2データベースをインストールして構成します。プロンプトが表示された場合は標準のインストール・シナリオを使用します。
イベント・ログ・データの表を設定します。
Logon Managerのデータベース・イベント拡張コンポーネントをインストールします。
イベント・ログ・データが作成した表に格納されるようにLogon Managerを構成します。
イベント・ロギング構成をテストします。
Logon Managerのイベント・ロギングの構成を始める前に、IBM DB2データベースのインスタンスの構成をベンダーのドキュメントの説明に従って行います(まだの場合)。インストーラからプロンプトが表示されたら、標準インストール・シナリオを選択します(使用する環境で他のシナリオが必要でない場合)。
Logon Managerがデータベースにイベント・ログ・データを格納するには、このデータを格納する表を設定する必要があります。手順は次のとおりです。
IBM DB2コントロール・センター・アプリケーションを起動します。デフォルトでは、このアプリケーションは次の場所にあります。
C:\Program Files\IBM DB2\General Administration Tools
選択したデータベース内に、Logon Managerのイベント・ログ・データを格納する表を作成します。
選択したデータベースの下で、「Tables」を右クリックし、コンテキスト・メニューから「Create…」を選択します。
「Create Table Wizard」で、そのベンダーのネーミング・スキーマに従って表に名前を付け、「Next」をクリックします。
必要な表の列を設定します。必要な列ごとに、次のように実行します。
「Change column definitions for the new table」ダイアログで、「Add」をクリックします。
「Add Column」ダイアログ・ボックスが表示されます。
列に名前を付けます。これらの列名は、次に示すイベント・ログ・フィールド名(このドキュメントの後半に管理コンソールを使用して構成)に対応します。
|
警告: 各イベント・ログ・フィールドは、イベント・ログ・データ表内に同じ名前の対応する列を持つ必要があります。そうでない場合は、イベント・データは記録されません。 |
データ型としてCHARACTERを選択します。
データ長を128に設定します。
適切なフィールドを移入したら、「Apply」をクリックし、「OK」をクリックします。
終了すると、表の構成は次のようになります。
変更を行う必要がある場合は、目的の列をリストから選択し、「Change」をクリックします。表の構成が完了したら、「Next」をクリックします。
表領域を構成するように求められたら、使用する環境で必要となるLogon Managerイベント・ロギングのレベルに最も適切な選択を行い、「Next」をクリックします。
以降のウィザードでは、各画面で表示されるデフォルトを「Next」をクリックしてそのまま使用します。
構成サマリー・ダイアログで、「Finish」をクリックします。
表が作成されます。システムの速度によっては、時間がかかることがあります。
データベース・ログを確認して、表の作成プロセスをモニターします。表が正常に作成されると、次のようなログが表示されます。
Logon Managerがイベント・ログ・データをデータベースに格納するには、データベース・イベント拡張コンポーネントがインストールされている必要があります。このコンポーネントをインストールするには、次の手順を実行します。
「スタート」 > 「設定」 > 「コントロール パネル」をクリックします。
「コントロール パネル」で、「プログラムと機能」をクリックします。
アプレットで、「Logon Manager Agent」エントリにナビゲートし、「変更」をクリックします。
Logon Managerエージェントのインストーラで、「Next」をクリックします。
「Program Maintenance」ダイアログで、「Modify」を選択し、「Next」をクリックします。
「Advanced Setup」ダイアログで、「Audit Logging Methods」ノードを拡張します。
「Audit Logging Methods」ノードの下で、「Database Event Extension」の横にあるボタンをクリックし、コンテキスト・メニューから「This feature will be installed on local hard drive」を選択します。
「Next」をクリックし、次に表示されるダイアログで「Install」をクリックし、インストールが完了するまで待機します。
インストールが正常に完了したら、「Finish」をクリックします。
管理コンソールを起動し、現在の構成セットをロードします。
ツリーで「Global Agent Settings」 > [現在の構成セット] > 「Audit Logging」 > 「Database」にナビゲートします。
「Events to log」の横にあるチェック・ボックスを選択し、省略記号(「...」)ボタンをクリックします。
「Events to log」ダイアログで、ログに記録するイベントのタイプを選択します。
|
警告: 「Event Types: Info item」を選択する必要があります(これ以外の場合、データはログに記録されません)。 |
ツリーの「Audit Logging」ノードの下で、「Database」を選択し、次のようにLogon Managerを構成します。
| 設定 | 値 |
|---|---|
| Servers | Provider=<db2_provider_name>;Password=<db2_admin_
|
| Default Server | データベース・サーバー・インスタンスへのURL。 |
| Default Table | この項で前に作成したイベント・ログ・データ表の名前。
(この例では、 |
| Retry Interval | 目的の再試行間隔を設定します。詳細は、第2章の「グローバル・エージェント設定(詳細)」を参照してください。 |
| Events to log | 手順4で選択したイベント・タイプに厳密に一致するように構成します。 |
ツリーの「Database」ノードで、「Event Fields」を選択します。
各フィールドに、イベント・ログ・データ表の対応する列の名前を入力します。この名前は、データベースの表の列に指定した名前と一致している必要があります。
|
警告: AppName、Category、TimeStampおよびTypeパラメータの値は変更しないでください。 |
終了したら、変更済の構成セットを自分のディレクトリにプッシュするか、ローカル・レジストリに書き込みます(使用する環境に合う方法で行います)
次の項に進み、このイベント・ロギング構成をテストします。
この簡易テストの手順では、Logon Managerがイベント・データをデータベースに適切に記録しているかどうかを確認します。この例では、Logon Managerで「Help」ボタンを押し、このボタンを押す操作がログに記録されたかどうかを、データベースで確認します。
Logon Managerを開き、「Help」をクリックします。
IBM DB2のコマンド・センターを起動します。ショートカットは、通常「スタート」 > 「プログラム ファイル」 > 「IBM DB2」 > 「Command Line Tools」にあります。
「Database Connection」で、省略記号(「…」)ボタンをクリックします。
「Select a Database」ダイアログで、ターゲット・データベースにナビゲートして選択し、「OK」をクリックします。
「Command」の下で、次を入力して[Enter]を押します。
SELECT * FROM <name_of_event_log_data_table>;
コマンド・センターに、これまでデータベースに記録されたすべてのLogon Managerイベントが表示されます。「Help」ボタンを押すイベントが、次に示すように、リストの末尾近く、または末尾に表示されるはずです。
「Help」ボタンを押すイベントが表示されない場合は、再び手順をたどってデータベースおよびLogon Managerの構成を確認してください。
イベント・ログ・データがMS SQL Server 2005データベースの表に格納されるようにLogon Managerを構成するには、次の手順を完了する必要があります。
Logon Managerのイベント・ロギングの構成を始める前に、MS SQL Server 2005データベースのインスタンスの構成をベンダーのドキュメントの説明に従って行います(まだの場合)。インストーラからプロンプトが表示されたら、標準インストール・シナリオを選択します(使用する環境で他のシナリオが必要でない場合)。
Logon Managerがデータベースにイベント・ログ・データを格納するには、このデータを格納する表を設定する必要があります。手順は次のとおりです。
SQL Server Management Studioアプリケーションを起動し、左側のツリーにナビゲートし、目的のデータベースを展開します。
選択したデータベース内に、Logon Managerのイベント・ログ・データを格納する表を作成します。
選択したデータベースの下で、「Tables」を右クリックし、コンテキスト・メニューから「New Table…」を選択します。MS SQL Serverは、デフォルトの名前(Table_1など)で表を作成します。
右側の「Properties」ペインの「Name」フィールドで、必要に応じて表の名前を変更します。この表名をLogon Managerに対してこの処理の後半に指定します。
必要な表の列を設定します。必要な列ごとに、次のように実行します。
列に名前を付けます。これらの列名は、次に示すイベント・ログ・フィールド名(このドキュメントの後半に管理コンソールを使用して構成)に対応します。
|
警告: 各イベント・ログ・フィールドは、イベント・ログ・データ表内に同じ名前の対応する列を持つ必要があります。そうでない場合は、イベント・データは記録されません。 |
データ型として「char」を選択します。
データ長を255に設定します。
「Allow Nulls」オプションを有効にします。
完了したら、変更を保存します(「File」 > 「Save Table」)。
完成すると、表の構成は次のようになります。
Logon Managerがイベント・ログ・データをデータベースに格納するには、データベース・イベント拡張コンポーネントがインストールされている必要があります。このコンポーネントをインストールするには、次の手順を実行します。
「スタート」 > 「設定」 > 「コントロール パネル」をクリックします。
「コントロール パネル」で、「プログラムと機能」をクリックします。
アプレットで、「Logon Manager Agent」エントリにナビゲートし、「変更」をクリックします。
Logon Managerエージェントのインストーラで、「Next」をクリックします。
「Program Maintenance」ダイアログで、「Modify」を選択し、「Next」をクリックします。
「Advanced Setup」ダイアログで、「Audit Logging Methods」ノードを拡張します。
「Audit Logging Methods」ノードの下で、「Database」の横にあるボタンをクリックし、コンテキスト・メニューから「This feature will be installed on local hard drive」を選択します。
「Next」をクリックし、次に表示されるダイアログで「Install」をクリックし、インストールが完了するまで待機します。
インストールが正常に完了したら、「Finish」をクリックします。
管理コンソールを起動し、現在の構成セットをロードします。
ツリーで「Global Agent Settings」 > [現在の構成セット] > 「Audit Logging Methods」にナビゲートします。
「Events to log」オプションの横にあるチェック・ボックスを選択し、省略記号(「...」)ボタンをクリックします。
「Events to log」ダイアログで、ログに記録するイベントのタイプを選択します。
|
警告: 「Event Types: Info item」を選択する必要があります(これ以外の場合、データはログに記録されません)。 |
ツリーの「Audit Logging」ノードの下で、「Database」を選択し、次のようにLogon Managerを構成します。
| 設定 | 正しい値 |
|---|---|
| Servers | Provider=<SQL_provider_name>;Password=<SQL_admin_
|
| Default Server | データベース・サーバー・インスタンスへのURL。これがServer1になります。 |
| Default Table | この項で前に作成したイベント・ログ・データ表の名前。
(この例では、Table_1) |
| Retry Interval | 目的の再試行間隔を設定します。詳細は、第2章の「グローバル・エージェント設定(詳細)」を参照してください。 |
| Events to log | 手順4で選択したイベント・タイプに厳密に一致するように構成します。 |
ツリーの「Database」で、「Event Fields」を選択します。
各フィールドに、イベント・ログ・データ表の対応する列の名前を入力します。この名前は、データベースの表の列に指定した名前と一致している必要があります。
|
警告: AppName、Category、TimeStampおよびTypeパラメータの値は変更しないでください。 |
終了したら、変更済の構成セットを自分のディレクトリにプッシュするか、ローカル・レジストリに書き込みます(使用する環境に合う方法で行います)
次の項に進み、このイベント・ロギング構成をテストします。
この簡易テストの手順では、Logon Managerがイベント・データをデータベースに適切に記録しているかどうかを確認します。この例では、Logon Managerで「Help」ボタンを押し、このボタンを押す操作がログに記録されたかどうかを、データベースで確認します。
Logon Managerを開き、「Help」をクリックします。
Microsoft SQL Server Management Studioアプリケーションを起動します。ショートカットは、通常「スタート」 > 「プログラム ファイル」 > 「Microsoft SQL Server 2005」にあります。
左側のツリーで、イベント・ログ・データ表にナビゲートします。
イベント・ログ・データ表を右クリックし、コンテキスト・メニューから「Open Table」を選択します。
Microsoft SQL Server Management Studioに、これまでデータベースに記録されたすべてのLogon Managerイベントが表示されます。「Help」ボタンを押すイベントが、次に示すように、リストの末尾近く、または末尾に表示されるはずです。
Logon Managerの通知サービス(以降、この項では「このサービス」と呼びます)を使用すると、Oracle Enterprise Single Sign-Onアプリケーション間のイベント・データの送受信が可能になります。このサービスは、Windowsシステム・サービスとして動作し、グローバル・イベント・リポジトリおよびイベント・ルーターとして機能します。
このサービスは、Windowsシステム・サービスとして動作し、次のアプリケーション・ロールを区別します。
プロデューサ。他のアプリケーションにイベントを送信するアプリケーション
コンシューマ。他のアプリケーションからイベントを受信するアプリケーション
このサービスはイベントを次のように処理します。
プロデューサから受信したイベントを格納します。このサービスは、各プロデューサおよび実行中の各セッションに関して受信した、最新の1000個のイベントを列挙し、保持します。イベント・バッファが一杯になると、バッファに新しいイベントが入るたびに、最も古いイベントが破棄されます。各イベントは、プロデューサGUID、セッションGUIDおよびバッファ内での結果の位置によって、一意に識別できます。
イベントをコンシューマに転送します。このサービスは、次のインタフェースを使用してイベントを転送します。
[
object,uuid(DD9E48CA-63D2-4106-876D-4DDEAA063B6F),dual,nonextensible,helpstring("Allows Consumers to access to the information about event"),pointer_default(unique) ]interface ISSONotificationEvent: IDispatch
{
[propget, id(1), helpstring("Gets event order number")] HRESULT Number([out, retval] ULONG* pVal);
[propget, id(2), helpstring("Gets notification event code")] HRESULT NotificationCode([out, retval] ULONG* pVal);
[propget, id(3), helpstring("Gets progress value")]HRESULT Progress([out, retval] LONG* pVal);
[propget, id(4), helpstring("Gets event importance level")] HRESULT Level([out, retval] ULONG* pVal);
[propget, id(5), helpstring("Gets additional data")] HRESULT AdditionalData([out, retval] BSTR* pVal);
[propget, id(6), helpstring("Gets event time")] HRESULT Time([out, retval] DATE* pVal);
};
次のIDLコードは、プロデューサおよびコンシューマによって使用される、このサービスのコクラスを記述しています。
[
uuid(FBB13217-02AB-42DF-8867-69B8DD935BA9),helpstring("SSO Notification Service class")
]coclass SSONotificationService {
// Allows Consumers to subscribe for event notifications: [default] interface ISSONotificationService;
// Allows Consumers to access to the information about events:interface ISSONotificationEventReader;
// Allows Producers to obtain ISSONotificationEventWriter pointer for event raising:interface ISSOWriterManager;
};
プロデューサは、このサービスのインタフェースとして適切に機能するために、次のガイドラインに準拠する必要があります。
プロデューサは、ISSOProducerInfoインタフェースを実装して、このサービスに対して自分自身を一意に識別する必要があります。
[
object,uuid(4961B340-D358-4A0E-B8FB-6E2A4BF2DFDD),dual,nonextensible,helpstring("Provides information about Producer"),pointer_default(unique)
]interface ISSOProducerInfo : IDispatch {
[propget, id(1), helpstring("Gets Terminal Services session identifier")] HRESULT SessionId([out, retval] ULONG* pVal);
[propget, id(2), helpstring("Gets Producer GUID")] HRESULT ProducerGuid([out, retval] BSTR* pVal);
[propget, id(3), helpstring("Gets Producer description")] HRESULT ProducerDescription([out, retval] BSTR* pVal);
};
イベントが発生すると、プロデューサはISSONotificationEventWriter COMインタフェースを介して、イベント・データをこのサービスに渡します。
[
object,uuid(72A23F33-927D-4e01-8B50-759262519076),dual,nonextensible,helpstring("Allows Producers to raise new events"),pointer_default(unique)
]interface ISSONotificationEventWriter : IDispatch {
[id(1), helpstring("Raises new event")] HRESULT AddEvent([in] ULONG nNotificationCode, [in] LONG nProgress, [in] ULONG nLevel, [in] BSTR sAdditionalData);
};
このインタフェースへのポインタを取得するために、プロデューサは前述のISSOProducerInfoインタフェースを実装し、そのポインタを、次に示すこのサービスのISSOWriterManagerインタフェースのGetWriterメソッドに渡す必要があります。
[
object,uuid(4490B430-81FD-48f5-BCD9-F9F0A82C6832),dual,nonextensible,helpstring("Allows Producers to obtain ISSONotificationEventWriter pointer for event raising"),pointer_default(unique)
]
interfaceISSOWriterManager : IDispatch
{
[id(1), helpstring("Returns ISSONotificationEventWriter pointer for specified Producer")]
HRESULT GetWriter([in] IDispatch* pProducerInfo, [out,retval] IDispatch** pEventWriter);
};
このサービスは、オラクル社が署名した実行可能ファイルを持つプロデューサからのイベントのみを受け入れます。
ISSOWriterManager::GetWriterメソッドを使用してISSONotificationEventWriterへのポインタをリクエストするプロデューサは、次のように検証されます。
プロデューサのプロセス識別子(PID)が取得されます(theCoGetServerPIDfunctionを介してメソッドに渡された、プロデューサのISSOProducerInfodataに基づきます)。
取得したPIDに対応するプロデューサの実行可能ファイルの署名が、Windowsレジストリに格納された情報に対して確認されるか、またはCOMセキュリティ初期化プロセスを介して確認されます。
|
注意: プロデューサの実行可能ファイルがリモートの場合、このサービスは有効な署名の確認を保証できません。 |
また、プロデューサおよびコンシューマによってサービスの署名を次のように検証することを強くお薦めします。
ISSONotificationServiceサブインタフェース(ISSONotificationEventReader、ISSOWriterManager、ISSONotificationEventWriterまたはISSONotificationEvent)の1つからCoGetServerPID関数を使用してサービスのPIDを取得します。
取得したPIDに対応する実行可能ファイルの署名を確認します。
コンシューマは、プッシュ・モデルまたはプル・モデルのいずれかを使用してデータを受信できます。
プッシュ・モデルでは、コンシューマはイベント・データを受信するために、次の手順を実行する必要があります。
イベントを処理する_ISSONotificationServiceEvents インタフェースを実装します。
[
uuid(88AD71A0-0A9A-4916-BE26-E82C4F41BF3F),helpstring ("Sink interface to handle events")
]dispinterface _ISSONotificationServiceEvents {
properties:methods: [id(1), helpstring ("Handles notification event")] HRESULT HandleEvent([in] IDispatch* pEvent);
};
ここで参照されたpEventパラメータは、前述のISSONotificationEventおよびISSOProducerInfoインタフェースを実装するオブジェクトへのポインタを格納します。
[
uuid(C8DCA6F1-2009-4A04-9E4C-BA7CB4CBA86C),helpstring("SSO Event class")
]coclass SSONotificationEvent {
[default] interface ISSONotificationEvent;interface ISSOProducerInfo;
};
_ISSONotificationServiceEventsイベント・ハンドラ・インタフェースを、ISSONotificationService インタフェースのメソッドに渡すことで、サービス・イベント・ストリームをサブスクライブします。
[
object,uuid(079F0093-99CB-4FCF-900E-18DAD87ED316),dual,nonextensible, helpstring ("Allows Consumers to subscribe and unsubscribe for events"), pointer_default(unique)
]interface ISSONotificationService : IDispatch {
[id(1),
helpstring ("Subscribes event handler to events from specified producer and user and returns subscription cookie")]
HRESULT SubscribeToEvents([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] IUnknown* pEventHandler, [out,retval] ULONG* pCookie);
[id(2),helpstring ("Unsubscribes event handler from events from specified producer and user using cookie returned by SubscribeToEvents method")] HRESULT UnsubscribeFromEvents([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] ULONG nCookie);
};
新しいイベントが到着すると、このサービスはイベント・データをすべてのサブスクライブされるコンシューマに転送します。
プル・モデルでは、コンシューマは、このサービスのISSONotificationEventReaderインタフェースを使用して、プロデューサから最新のイベントを受信します。
[
object,uuid(5C4C57D9-D0B1-46AC-A45C-E41C55A7FEF8),dual,nonextensible,helpstring ("Allows Consumers to get the information about latest events"),pointer_default(unique)
]interface ISSONotificationEventReader : IDispatch {
[id(1), helpstring ("Gets the latest event from specified producer and user")]
HRESULT GetLastEvent([in] ULONG nSessionId, [in] BSTR sProducerGuid, [out, retval] IDispatch** pVal);
[id(2), helpstring("Returns array containing specified number of latest events from specified producer and user")]
HRESULT GetLatestEventsList([in] ULONG nSessionId, [in] BSTR sProducerGuid, [in] ULONG nCount, [out, retval] VARIANT* eventsArray);
};
このサービスは、イベント・データをポインタとして(またはポインタの安全な配列として)、前述のISSONotificationEventインタフェースの実装に戻します。
トレース・コントローラ・ユーティリティを使用すると、Oracle Enterprise Single Sign-Onアプリケーションで発生するイベントをモニターして記録できます。イベントが発生したときにリアルタイムでモニターすることも、それらをファイルに記録しておき後で確認することもできます。
トレース・ロギングの基本的なコンポーネントは次のとおりです。
プロバイダ。トレース・ロギングをサポートしているOracle Enterprise Single Sign-Onアプリケーション。各アプリケーションが個別のプロバイダを表し、トレース・ロギングが有効なときに個別のロギング・セッションを確立します。
コンシューマ。記録されたイベントを解析、解釈および表示するアプリケーション(トレース・コントローラ・ユーティリティ(tracecontroller.exe)やWindowsイベント・ビューアなど)。
トレース・コントローラ・ユーティリティは、次の用途で使用します。
Logon Managerイベントのロギングを制御および構成します。これには、希望するプロバイダでのセッションの作成とロギングの有効化が含まれます。
多数の条件によるフィルタリングを含め、記録されたイベントを希望する形式で表示します。
ユーティリティを使用することで、希望のプロバイダ、ロギング方法およびイベント・タイプを選択したり、追加のロギング・オプションを構成することができます。
プロバイダのロギングを有効にした後は、トレース・コントローラ、プロバイダ・アプリケーションまたはWindows自体がシャットダウンされても、ロギングは有効なままです。Windowsがバックアップを開始したり、プロバイダ・アプリケーションが再起動されると、明示的に無効にするまで、イベントの取得は継続します。
Oracle Enterprise Single Sign-Onアプリケーションでは、次のログ詳細度レベルをサポートしています。
| レベル | レベル名 | 説明 |
|---|---|---|
| 1 | Critical | 異常終了 |
| 2 | Error | ロギングが必要なサーバー・エラー |
| 3 | Warning | 割当て失敗などの警告 |
| 4 | Information | エラー以外の場合も含む(開始/終了など) |
| 5 | Debug | 中間手順からの詳細トレース |
取得が完了すると、トレース・コントローラによって、イベントを時系列で編成する単一のビューアに1つ以上のイベント・ログを表示できるようになります。たとえば、Logon Managerと認証マネージャのイベントを単一のリストに表示し、それを多数のカスタム条件でフィルタリングすることができます。
この項では、グラフィカル(インタラクティブ)・モードでトレース・コントローラ・ユーティリティを使用する方法について説明します。コマンド行からのユーティリティの使用については、「コマンド行モードでのトレース・コントローラ・ユーティリティの使用」を参照してください。
|
注意: トレース・コントローラ・ユーティリティを実行するには、管理権限が必要です。管理権限を持つユーザーとしてログオンしていない場合は、ユーティリティの起動時に管理資格証明の入力が求められます。 |
トレース・ロギングを有効にするには、次の手順を実行します。
TraceController.exeを起動します。
プロンプトが表示されたら、管理権限を持つアカウントの資格証明を入力します。
「File」メニューから「Capture Events」を選択します。「Capture」ウィンドウが表示されます。
「Capture」ウィンドウで、次の手順を実行します。
イベントを記録するプロバイダを選択します。デフォルトでは、Logon Managerのメイン・ロギング・プロバイダであるSSOイベントが選択されています。
イベントをファイルに記録するか、リアルタイムで表示するかを選択します。ファイルに記録する場合は、「Browse (…)」ボタンをクリックして、記録先のパスおよびファイルを指定します。
SSOイベント・プロバイダには最大ロギング・レベルを指定します。使用可能なログ・レベルのリストについては、コマンド行スイッチ・リファレンスを参照してください。
SSOイベント・プロバイダには最大ファイル・サイズを指定します。デフォルト値は20MBです。
希望のログ・ファイル書込みモードを選択します。
Circular。最大ログ・ファイル・サイズに到達した後、ユーティリティは古いデータから順に上書きします。ロギングが開始されるごとにログは消去されます。
Sequential。最大ログ・ファイル・サイズに到達した後、ユーティリティはロギングを停止します。「Append」チェックボックスが選択されている場合を除き、ロギングが開始されるたびにログは消去されます。
起動時にロギングを開始するには、「Boot logging」チェックボックスを選択します。この機能が有効な場合、Windowsの起動が完了するとすぐにイベントは記録され、ユーザー・ログオンは必要ありません。
カーネル・イベント・プロバイダの場合は、記録するイベントのタイプと、最大ログ・ファイル・サイズ(デフォルト値は20MB)を選択します。ほとんどの場合、Logon Managerのトラブルシューティングで記録する必要があるのはカーネル・プロセス・イベントのみです。
「Start」をクリックして、イベントのロギングを開始します。次の点に注意してください。
明示的に無効にするまで、ロギングは有効なままです。
トレース・コントローラ・ユーティリティの実行中は、イベントの取得中であることを示すようにシステム・トレイ・アイコンが動作します。
|
注意: 初期取得設定を構成した後は、ホット・キーを使用してイベント取得を開始および停止できるようにトレース・コントローラ・ユーティリティを構成できます。ホット・キーを設定するには、「イベント取得のホット・キーの構成」を参照してください。 |
ファイルに記録されたイベントを表示するには、トレース・コントローラ・ユーティリティで次の手順を実行します。
希望のログ・ファイルを開きます。
「File」メニューから、「Open Events」を選択します。
希望のプロバインダのログ・ファイルを参照し、「Open」をクリックします。ログ・ファイルに格納されたイベントは、時系列のリストとして表示されます。
複数のログ・ファイルからイベントを同時に表示する場合は、ファイルを開くごとに手順1aおよび1bを繰り返します。オープンされているすべてのログ・ファイルのイベントは、時系列のリストとして表示されます。
|
注意: ソート順を逆にするには、「Time」列ヘッダーをクリックします。ヘッダーの矢印は、現在選択されているソート順を示します。 |
特定のイベントの詳細を表示するには、リストでそのイベントをダブルクリックします。ポップアップ・ウィンドウに詳細が表示されます。
イベントの詳細の表示が終了したら、「Close」をクリックしてイベント・リストに戻ります。
|
注意: 複数のログ・ファイルからイベントを表示している場合は、「File」メニューから「Show Open Log Files」を選択することで、現在開いているログ・ファイルを確認できます。 |
イベント・リストの次のものをカスタマイズできます。
イベント・リスト列
イベント・フィルタ
フォントのスタイルとサイズ
タイムスタンプ書式
次のようにして、イベント・リストに表示する列と、それをどのような順に表示するかを選択できます。
「Options」メニューから「Choose Details」を選択します。
「Choose Details」ウィンドウが表示されます。
「Columns」リストで、表示する各列の横にあるチェック・ボックスを選択します(非表示にするにはチェック・ボックスの選択を解除します)。
イベント・リストで列を左に移動するには、「Columns」リストでその列を選択して「Move Up」をクリックし、右に移動するには、その列を選択して「Move Down」をクリックします。
列の幅を設定するには、「Columns」リストでその列を選択して希望の幅(ピクセル)を「Width of selected column」フィールドに入力します。
終了したら、「OK」をクリックして変更を保存します。
トレース・コントローラ・ユーティリティを使用すると、表示したイベントを1つ以上の任意の条件でフィルタリングできます。フィルタリングを有効にするには、次の手順を実行します。
「Filter」メニューから、「Filter」を選択します。
表示されたウィンドウで、次のようにして1つ目の条件を構成します。
フィルタリングの対象となるパラメータを選択します。
演算子(is、is not、less than、greater thanなど)を選択します。
パラメータと照合する値を入力します。プレーン・テキストの文字列も正規表現も使用できます。
この条件で、結果に一致を含めるか除外するかを選択します。
「Add」をクリックします。
前述の手順を繰り返して条件を追加します。
終了したら、「OK」をクリックします。結果は、構成したフィルタリング条件を反映して更新されます。
|
注意: 「Advanced Filter」オプションは、開発者用に予約された特別な機能です。自分のイベント・リストをフィルタリングするには標準のフィルタを使用します。 |
次のようにして、イベントのタイムスタンプ書式をカスタマイズできます。
「Options」メニューから、「Date/Time Format」を選択します。
「Date/Time Format」ウィンドウが表示されます。
次のようにして、希望のタイムスタンプ書式を選択または入力します。
事前に設定されたいずれかのタイムスタンプ書式を選択する場合は、「Format string」フィールドの右側にある矢印ボタンをクリックして、メニューの上部にあるセクションから選択します。
カスタム文字列を入力する場合は、「Format string」フィールドの右側にある矢印ボタンをクリックして、メニューの下部にある凡例を確認した後、任意のビルディング・ブロックを使用してカスタム文字列を作成します。
終了したら、「OK」をクリックして変更を保存します。
次のようにホット・キーを使用してイベント取得を開始および停止できるようにトレース・コントローラ・ユーティリティを構成できます。
「Options」メニューから、「Hot Keys」を選択します。「Hot Keys」ウィンドウが表示されます。
「Start Capturing」ホット・キーを構成します。
「Start Capturing」フィールド内をクリックします。
希望のキーの組合せを押します。その組合せがフィールドに表示されます。
「Stop Capturing」ホット・キーを構成します。
「Stop Capturing」フィールド内をクリックします。
希望のキーの組合せを押します。その組合せがフィールドに表示されます。
「OK」をクリックして変更を保存します。
トレース・コントローラ・ユーティリティは、グラフィカル・インタフェースと対話しなくても、コマンド行から起動し、構成できます。この項では、このユーティリティで使用できるコマンド行構文について説明します。
トレース・コントローラ・ユーティリティでは、次のコマンド行スイッチを使用できます。必須のスイッチは太字で示しています(太字でないスイッチはオプションです)。
| スイッチ | 目的 |
|---|---|
/start |
ロギングを開始します。 |
/stop |
ロギングを開始します。 |
/boot |
起動時にロギングを開始します。 |
/noui |
サイレント・モードで開始します(グラフィカル・インタフェースを表示しません)。 |
/path |
次の形式で、ログ・ファイルが格納されるパスを指定します。
(このデフォルトのフォルダは、管理権限を持つユーザーのみがアクセスできます。) |
/event |
次の形式で、記録するイベント・タイプを指定します。
省略すると、現在サポートされているすべてのタイプのイベント(kernel以外)が記録されます。 |
/level |
次の形式で、最大ロギング詳細レベルを指定します。
1– クリティカル、2– エラー、3– 警告、4– 情報、5– デバッグ (デフォルトの詳細レベルは4です。) |
/circular |
ログ・ファイル書込みモードをcircularに指定します。このモードでは、最大ログ・ファイル・サイズに到達した後、ユーティリティは古いデータから順に上書きします。
ロギングが開始されるごとにログは消去されます。これはデフォルトのモードです。 |
/sequential |
ログ・ファイル書込みモードをsequentialに指定します。このモードでは、最大ログ・ファイル・サイズに到達した後、ユーティリティはロギングを停止します。/appendスイッチも指定していないかぎり、ロギングが開始されるごとにログは消去されます。 |
/append |
/sequentialを使用すると、ユーティリティはログを消去するのではなく、ログ・ファイルの既存データの末尾に書込みを継続します。 |
/fsize |
次の形式で、ログ・ファイルの最大サイズ(MB)を指定します。
|
filename |
次の形式で、開いて表示するログ・ファイル名を指定します。
|
次に、コマンド行からのトレース・コントローラ・ユーティリティの操作例を示します。
ロギングの開始
ロギングを開始するには、/startスイッチと、オプションのいずれかの起動スイッチを使用します。
TraceController.exe /start [/noui] [/boot] [/path "<log_file_path>"]
ほとんどの場合のトラブルシューティングでは、デバッグ詳細レベルで、その他のすべての構成オプションに対してOracleが指定するデフォルトを使用して、サポートされているすべてのイベント・タイプを記録します。
TraceController.exe /start /level 5
複数のイベント・タイプでのロギング・オプションの指定
複数のイベント・タイプを指定する場合は、次に示すように、個々のタイプにカスタム・ロギング・オプションを指定できます。イベント・タイプを指定した後で、グローバルに設定指定することもでき、その場合、すべてのイベント・タイプが同じ構成オプションで記録されます。
各イベント・タイプのカスタム構成オプション:
TraceController.exe /start /noui /path "T:\Oracle\TraceLogs"
/event "EventType1" /level 2 /circular /fsize:10 /event "EventType2" /level 3 /sequential /append
すべてのイベント・タイプのグローバル構成オプション:
TraceController.exe /start /noui /path "T:\Oracle\TraceLogs"
/level 2 /circular /fsize 10 /event "EventType1" /event "EventType2"
ロギングの停止
ロギングを停止するには、/stopスイッチを使用します。
TraceController.exe /stop
ログ・ファイルの表示
次のようにして、1つ以上のログ・ファイルを開いて表示できます。
TraceController.exe "logfile1" "logfile2" … "logfile3"
この項では、スマート・カード認証時に認証マネージャに記録されるメッセージを示します。
| イベント・メッセージ | 説明 |
|---|---|
| Failed to retrieve the random password from the registry | ユーザーが初回使用(FTU)プロセスを完了した直後であれば、このメッセージは無視してかまいませんが、それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、ランダム・パスワードが正常に保存され、同期化プロセスが正常に完了したことを確認します。 |
| Failed to retrieve the PIN from the registry | ユーザーがFTUプロセスを完了した直後か、またはPINを格納するために構成が変更された後はじめての場合は、このメッセージは無視してかまいません。それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、PINが正常に保存され、同期化プロセスが正常に完了したことを確認します。 |
| Failed to retrieve the certificate passphrase from the registry | ユーザーがFTUプロセスを完了した直後であれば、このメッセージは無視してかまいませんが、それ以外の場合は、レジストリにあるはずの情報が欠落していることを示します。前のログを確認して、パスフレーズが正常に保存され、同期化プロセスが正常に完了したことを確認します。 |
| イベント | 説明 |
|---|---|
| Smart card selection failed | ユーザーがスマート・カード選択ダイアログを取り消したか、挿入されたスマート・カードがシステムによって認識されませんでした。スマート・カードに適切なミドルウェアがインストールされ、正しく構成されていることを確認します。 |
| Exporting session key failed | スマート・カードからセッション・キーをエクスポートできませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていることを確認します。一部のミドルウェアでは、セッション・キーのエクスポートがサポートされていない場合があります。 |
| Importing session key failed | スマート・カードにセッション・キーをインポートできませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていること、および同期化プロセスが正常に完了していることを確認します。 |
| Failed to set application data on the smart card | アプリケーション・データをスマート・カードに格納できませんでした。Kiosk Managerを使用中でない場合、このメッセージは無視してかまいません。ミドルウェアでPKCS #11がサポートされており、スマート・カードが読取り専用でないことを確認します。 |
| Failed to get application data from the smart card | 通常、このエラー・メッセージは、アプリケーション・データをスマート・カードに正常に格納できなかった場合に表示されます。 |
| Failed to get the smart card serial number | ミドルウェアでは、スマート・カードのシリアル番号の取得をサポートしていません。Kiosk Managerを使用中でない場合、このメッセージは無視してかまいません。 |
| Failed to enumerate encryption certificate key containers | ミドルウェアによってインストールされた暗号化サービス・プロバイダ(CSP)では、スマート・カードでのキー・コンテナの列挙をサポートしていません。 |
| Failed to locate logon certificate | スマート・カードのログオン資格証明をカードに配置できませんでした。ログオン資格証明がカードにあり、デフォルトの資格証明であることを確認します。 |
| Failed to locate encryption certificate | FTUでこのエラーが発生した場合、カードに暗号化資格証明を配置することはできませんでした。スマート・カードのログオン資格証明をこの目的で使用することはできません。カードに、ログオン以外の個別の暗号化資格証明が存在することを確認します。
FTUが成功した後にこのエラーが発生する場合は、FTUで使用した暗号化資格証明がカードに存在し、使用可能であることを確認します。 |
| Failed to obtain exchange key | 使用する交換キーを取得できませんでした。ログオン資格証明用に構成されている場合は、カードで資格証明が使用可能であることを確認します。SSOキーが構成されている場合は、カードにSSOコンテナが作成済で、キーが含まれていることを確認します。 |
| Failed to create session key | カードにセッション・キーを作成できませんでした。SmartcardAPIコンソール設定がミドルウェアに適した構成になっていること、およびスマート・カードが読取り専用でないことを確認します。 |
次の演算子およびメタ文字を使用して、エージェントが特定のアプリケーション・ウィンドウを検出する場合に使用するテキスト文字列のパターンを指定できます。詳細は、第2.13.4.13項「「Windows Matching」タブでのタイトルの追加または編集」を参照してください。
次の説明は、.NET正規表現リファレンスに準拠しています。正規表現の詳細な説明と構文については、Microsoft Developer Network Webサイト(www.msdn.microsoft.com)を参照してください。
| 記号 | グループ化 |
|---|---|
[ ] |
大カッコ内のいずれかの文字と一致する文字クラスを示します。
例: |
( ) |
文字グループ化演算子を示します。
例: |
{ } |
一致グループを示します。
例: |
| |
2つの式を区切り、そのうちの1つが一致します。
例: |
| 記号 | 一致 |
|---|---|
. |
任意の1文字を検索します。 |
^ |
文字クラスの先頭に^がある場合、その文字クラスは否定されます。否定された文字クラスは、大カッコ内の文字以外の任意の文字と一致します。例: [^abc]は、a、bおよびc以外のすべての文字と一致します。
正規表現の先頭に たとえば、 |
$ |
正規表現の末尾にある$は、入力の最後と一致します。例: [0-9]$は、入力の最後の数字と一致します。 |
- |
文字クラスで、ハイフンは文字の範囲を示します。
例: |
| 記号 | 繰返し演算子 |
|---|---|
! |
後に続く式を否定します。 |
? |
前にある式がオプションであることを示します。1回一致するか、またはまったく一致しません。
例: [0-9][0-9]?は、 |
+ |
前にある式が1回以上一致することを示します。
例: |
* |
前にある式が0回以上一致することを示します。 |
??, +?, *? |
?、+および*の最短マッチ。できるかぎり多く一致する最長マッチと異なり、これらの最短マッチではできるかぎり少なく一致します。
例: 入力を |
| エスケープおよび表記 | |||
|---|---|---|---|
\ |
次の文字がリテラルに解釈されることを強制するエスケープ文字。例: [0-9]+は1つ以上の数字と一致しますが、[0-9]\+は後にプラス文字が続く数字と一致します。
例:
|
||
| 表記 | 意味 | 一致対象 | |
\a |
任意の英数字文字 | [a-z A-Z 0-9] |
|
\b |
空白(ブランク) | [ \\t] |
|
\c |
任意のアルファベット文字 | [a-z A-Z] |
|
\d |
任意の10進数字 | [0-9] |
|
\h |
任意の16進数字 | [0-9 a-f A-F] |
|
\n |
新しい行 | \r|\r?\n |
|
\q |
引用符付き文字列 | \"[^\"]*\"|\'[^\']*\' |
|
\w |
単純な単語 | [a-z A-Z]+ |
|
\z |
整数 | [0-9]+ |
|
Logon Managerをコマンド行から実行して、特定のタスクを実行できます。
|
注意: 大カッコ内の項目は、このセクションでのみ使用するオプションです。 |
| タスク | 使用方法/説明 | |
|---|---|---|
| バックアップ | ssoshell.exe/mobility /backup [path] /silent [confirm] |
|
例: [path] |
バックアップ・ファイルが保存されているディレクトリへの実際のパスです。(デフォルトは、最後にコマンド行バックアップ・ファイルが格納されたディレクトリまたはShell:AutoBackupPathが指す場所です。) |
|
例: silent |
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。 | |
例: [confirm] |
すべてのダイアログを表示します。confirmスイッチを指定せずにサイレント・バックアップを実行すると、ユーザーにはYes/Noダイアログが表示されず、デフォルトでエージェントによってYesが採用されます。(確認ダイアログの例: "Overwrite backup file?) | |
| Logon Manager | ssoshell.exe |
|
| 例 | Logon Managerを表示します。 | |
| FTUなし | ssoshell.exe/background /noftu |
|
| 説明 | コンピュータへのログオン時にエージェントが2回起動されないようにします。HKLM\Software\Microsoft\ Windows NT\Current Version\WinlogonにあるUserinitレジストリ・キーで有効にします。 |
|
| 説明 | コンピュータへのログオン時にエージェントが2回起動されないようにします。HKLM\Software\Microsoft\ Windows NT\Current Version\WinlogonにあるUserinitレジストリ・キーで有効にします。 |
|
| 説明 | /noftuを使用すると、Windows Startupフォルダにエージェントを格納していないユーザーに対してエージェントは実行されません。これにより、管理者は、特定のコンピュータのすべてのユーザーではなく特定のユーザーに対してのみLogon Managerをロールアウトできます。 |
|
| オプション | ssoshell.exe/options |
|
| 例 | 「Settings」プロパティ・ページを表示します。 | |
| リストア | ssoshell.exe/mobility /restore [path] /silent [confirm] |
|
例: [path] |
バックアップ・ファイルが保存されているディレクトリへの実際のパス。(デフォルトは、最後にコマンド行バックアップ・ファイルが格納されたディレクトリまたはShell:AutoBackupPathが指す場所です。) |
|
例: silent |
バックアップの実行時にバックアップ/リストア・ウィザードを表示しません。 | |
例: [confirm] |
すべてのダイアログを表示します。confirmスイッチを指定せずにサイレント・バックアップを実行すると、ユーザーにはYes/Noダイアログが表示されず、デフォルトでエージェントによってYesが採用されます。(確認ダイアログの例: "Backup file has been restored") | |
例: Notes |
デフォルトで送信されるリストア・パスワードはWindowsパスワードです。リストア・コマンドは起動タスクで実行されます(第2.17.9項「カスタム・アクション設定」を参照)。 | |
| 設定 | ssoshell.exe/setupmgr |
|
| 例 | 設定ウィザードを表示します。 | |
| 停止 | ssoshell.exe/shutdown |
|
| 起動 | ssoshell.exe/background |
|
| 同期化 | ssoshell.exe/syncmgr /sync |
「Sync Order」リストの最初のシンクロナイザで同期を実行します(第2.17.7項「同期設定」を参照。リストの最初のシンクロナイザに接続するログオンを示します)。 |
この項では、キーストロークをLogon Managerに送信するために使用される様々なコードおよびキーを示します。
| コード | 意味 |
|---|---|
`DELAY=N` |
Nは、遅延時間(ミリ秒)です |
`VKEY=N` |
Nは、送信する仮想キー・コードです |
次の例で送信されるのは、[Tab]、[End]、空白、1.5秒の遅延、ログオン・ユーザー名、空白、ユーザー名/ID、[Home]、0.35秒の遅延、[Tab]およびパスワードです。
VTabKey1=`VKEY=9``VKEY=35` `DELAY=1500`Logon username`VKEY=32`
VTabKey2=`VKEY=36``DELAY=350``VKEY=9`
これらのコードは、特定のキーストロークをWindowsログオンまたはパスワード変更フォーム・フィールドに送信するために、アプリケーション構成ファイル(entlist.ini)で使用されます。ここに示されているのは参照用です。「SendKeys (Windows)」ダイアログ・ボックスを使用して、Windowsアプリケーションのキーストロークを指定します。詳細は、第2章「Windowsアプリケーションの追加」を参照してください。
| キー | コード | キー | コード | キー | コード | キー | コード |
|---|---|---|---|---|---|---|---|
| Break | 3 | 5 | 53 | V | 86 | F5 | 116 |
| Backspace | 8 | 6 | 54 | W | 87 | F6 | 117 |
| Tab | 9 | 7 | 55 | X | 88 | F7 | 118 |
| Clear | 12 | 8 | 56 | Y | 89 | F8 | 119 |
| Enter | 13 | 9 | 57 | Z | 90 | F9 | 120 |
| Shift | 16 | A | 65 | 左側のウィンドウ | 91 | F10 | 121 |
| Ctrl | 17 | B | 66 | 右側のウィンドウ | 92 | F11 | 122 |
| Alt | 18 | C | 67 | 数字キーパッド0 | 96 | F12 | 123 |
| Caps Lock | 20 | D | 68 | 数字キーパッド1 | 97 | F13 | 124 |
| Esc | 27 | E | 69 | 数字キーパッド2 | 98 | F14 | 125 |
| Spacebar | 32 | F | 70 | 数字キーパッド3 | 99 | F15 | 126 |
| Page Up | 33 | G | 71 | 数字キーパッド4 | 100 | F16 | 127 |
| Page Down | 34 | H | 72 | 数字キーパッド5 | 101 | F17 | 128 |
| End | 35 | I | 73 | 数字キーパッド6 | 102 | F18 | 129 |
| Home | 36 | J | 74 | 数字キーパッド7 | 103 | F19 | 130 |
| 左 | 37 | K | 75 | 数字キーパッド8 | 104 | F20 | 131 |
| 上 | 38 | L | 76 | 数字キーパッド9 | 105 | F21 | 132 |
| 右 | 39 | M | 77 | アスタリスク(*) | 106 | F22 | 133 |
| 下 | 40 | N | 78 | プラス(+) | 107 | F23 | 134 |
| Print Scrn | 44 | O | 79 | マイナス(-) | 109 | F24 | 135 |
| Help | 47 | P | 80 | ピリオド(.) | 110 | Num Lock | 144 |
| 0 | 48 | Q | 81 | スラッシュ(/) | 111 | Scroll Lock | 145 |
| 1 | 49 | R | 82 | F1 | 112 | Shift (左側) | 160 |
| 2 | 50 | S | 83 | F2 | 113 | Shift (右側) | 161 |
| 3 | 51 | T | 84 | F3 | 114 | Ctrl (左側) | 162 |
| 4 | 52 | U | 85 | F4 | 115 | Ctrl (右側) | 163 |
これらのコードは、特定のキーストロークをHLLAPI対応のメインフレーム/ホスト・ログオンまたはパスワード変更フォーム・フィールドに送信するために、アプリケーション構成ファイル(entlist.ini)で使用されます。ここに示されているのは参照用です。「SendKeys (Host/Mainframe)」ダイアログ・ボックスを使用して、ホスト・アプリケーションのキーストロークを指定します。詳細は、第2.12.5項「ホスト/メインフレーム・アプリケーションの追加」を参照してください。
| 文字/コマンド | コード | 文字/コマンド | コード | 文字/コマンド | コード |
|---|---|---|---|---|---|
| Alt Cursor | @$ |
Local Print | @P | PF12/F12 | @c |
| Backspace | @< |
Reset | @R | PF13/F13 | @d |
| @ |
@@ |
Shift | @S | PF14/F14 | @e |
| Alt | @A | Dup | @S@x | PF15/F15 | @f |
| Field - | @A@- | Field Mark | @S@y | PF16/F16 | @g |
| Field + | @A@+ | Tab (右方向のTab) | @T | PF17/F17 | @h |
| Field Exit | @A@E | Cursor Up | @U | PF18/F18 | @i |
| Alt Cursor | @$ |
Cursor Down | @V | PF19/F19 | @j |
| Erase Input | @A@F | Cursor Left | @L | PF20/F20 | @k |
| Sys Request | @A@H | Cursor Right | @Z | PF21/F21 | @l |
| Insert Toggle | @A@I | Page Up | @u | PF22/F22 | @m |
| Cursor Select | @A@J | Page Down | @v | PF23/F23 | @n |
| Attention | @A@Q | End | @q | PF24/F24 | @o |
| Print Screen | @A@T | Home | @0 | PA1 | @x |
| Hexadecimal | @A@X | PF1/F1 | @1 | PA2 | @y |
| Cmd/Func Key | @A@Y | PF2/F2 | @2 | PA3 | @z |
| Print (PC) | @A@t | PF3/F3 | @3 | PA4 | @+ |
| Back/左方向のTab | @B | PF4/F4 | @4 | PA5 | @% |
| Clear | @C | PF5/F5 | @5 | PA6 | @& |
| Delete | @D | PF6/F6 | @6 | PA7 | @' |
| Enter | @E | PF7/F7 | @7 | PA8 | @( |
| Erase EOF | @F | PF8/F8 | @8 | PA9 | @) |
| Help | @H | PF9/F9 | @9 | PA10 | @* |
| Insert | @I | PF10/F10 | @a | ||
| New Line | @N | PF11/F11 | @b |
ftulist.iniでは、ユーザーが初めてエージェントを起動したときにエージェントによって実行される特別なアクションを指定します。ファイルはローカル・ファイル、ディレクトリ・サーバーまたはデータベース・オブジェクトとして存在できます。同期によってデプロイされた場合、ftulist.iniは%AppData/Passlogix%ディレクトリに格納されます。
|
注意: すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、管理コンソールでのみ作成および編集できます。次の項の情報は参考用です。 |
次の表では、ftulist.iniの各セクションのキーおよび許容値を示します。
ftulist.iniのルート・キー
Password Windowsセクションのキー
My Logonsセクションのキー
Bulk Add Logonセクションのキー
次の値は、必ず[FTU]セクション内で使用される必須の設定です。
例
[FTU]
Ver=20020523
Step1=Password Windows
Step2=My Logons
| 初回使用キー | 説明 | 許容可能な値 |
|---|---|---|
Ver = %s |
必須。最後のftulist.iniファイルの日付の文字列。このキーの値がユーザーのレジストリ(HKCU\&\Extensions\SetupManager:Completed内)の10進値よりも大きい(新しい)場合、ユーザーが次回エージェントを起動したときにバルク追加リストが表示されます。
例: 20020523 |
%s = yyyymmdd (年月日)形式の日付を10進数で表現した文字列。例: 2013年5月23日の場合は20130523。 |
Step1 = %s |
必須。変更不可。プライマリ・ログオン方法を起動するセクションをコールします。このモジュールは、ユーザーにオーセンティケータの選択を強制します。 | %s = "Password Windows" |
Step2 = %s |
必須。変更不可。Access Managerを起動するセクションをコールします。このモジュールは、資格証明のバルク追加を有効にします。 | %s = "My Logons" |
次の値は、必ずPassword Windowsセクション内で使用します。
例
[Password Windows]
ExtensionName=<core>
Action1=Password Window
| 初回使用キー | 説明 | 許容可能な値 |
|---|---|---|
ExtensionName = %s |
必須。変更不可。拡張モジュールの内部名。 | %s = "<core>" |
Action1 = %s |
必須。変更不可。プライマリ・ログオン方法を起動します。このモジュールは、ユーザーにオーセンティケータの選択を強制します。 | %s = "Password Window" |
次の値は、必ず[My Logons]セクション内で使用される必須の設定です。
| 初回使用キー | 説明 | 許容可能な値 |
|---|---|---|
ExtensionName = %s |
必須。変更不可。拡張モジュールの内部名。 | %s = "AccessManager" |
Section%d = %s |
必須。変更不可。バルク追加ウィザードに含めるログオンを指定します。 | %d = 連続した整数
|
次の値は必須で、各バルク追加ログオン・セクション内で使用します。
[My Logons] ExtensionName=AccessManager Section1=Corporate Win App Section2=Intranet
[Intranet] ConfigKey=*Other Webs ConfigName=Corporate Intranet FTU_NeedID=0 FTU_NeedOther=0 FTU_NeedPwd=1 FTU_CONFIRMID=0 FTU_CONFIRMOTHER=0 FTU_CONFIRMPASSWORD=1 URL=Corp Intranet &
| 初回使用キー | 説明 | 許容可能な値 |
|---|---|---|
ConfigKey = %s |
entlist.iniのログオン構成へのリンク |
%s = entlist.iniまたはapplist.iniのアプリケーション・ログオン・セクション名。ホスト/メインフレーム・ログオンには[*Mainframe]を、Webログオンには[*Other Webs]を、オンライン・サービス・ログオンには[*Online Services]を、その他のWindowsアプリケーション・ログオンには[*Other Apps]を使用します。 |
ConfigName = %s |
ログオンを説明するために初回使用ウィザードで使用する名前。 | %s = アプリケーション・ログオン名 |
Description = %s |
ログオンを説明するためにLogon Managerで使用する名前。 | %s = アプリケーション・ログオン名 |
FTU_CONFIRMID = %b |
初回使用ウィザードでユーザーがユーザー名/IDを確認する必要があるかどうかを示すフラグ(オプション)。 | %b = 0: ユーザーはユーザー名/IDを確認する必要はありません(デフォルト)。
|
FTU_CONFIRMOTHER = %b |
3番目のフィールドがある場合、初回使用ウィザードでユーザーが3番目のフィールドを確認する必要があるかどうかを示すフラグ(オプション)。 | %b = 0: ユーザーは3番目のフィールドを確認する必要はありません(デフォルト)。
|
FTU_CONFIRMPASSWORD = %b |
初回使用ウィザードでユーザーがパスワードを確認する必要があるかどうかを示すフラグ(オプション)。 | %b = 0: ユーザーはパスワードを確認する必要はありません(デフォルト)。
|
FTU_NeedID = %b |
アプリケーションにユーザー名/IDが必要かどうかを示すフラグ。 | %b = 0: アプリケーションにはユーザー名/IDは必要ありません。
|
FTU_NeedOther = %b |
アプリケーションに3番目のフィールドが必要かどうかを示すフラグ(オプション)。 | %b = 0: アプリケーションには3番目のフィールドは必要ありません(デフォルト)。
|
FTU_NeedPwd = %b |
アプリケーションにパスワードが必要かどうかを示すフラグ。 | %b = 0: アプリケーションにはパスワードは必要ありません。
|
URL = %s |
Webまたはホスト・アプリケーションのentlist.ini内のセクション名、またはentlist.iniで事前定義されていないWebサイトのURL。 |
%s = Web/ホスト・セクション名、またはWeb URL。 |
管理者は、entlist.iniファイルを格納するディレクトリを指定します。ほとんどの場合、このディレクトリは、Logon Managerプログラム・ディレクトリ下のサブディレクトリである必要があります。
|
注意: すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、管理コンソールでのみ作成および編集できます。次の項の情報は参考用です。 |
これは、ローカルentlist.iniファイルをオーバーライドするシンクロナイザ・オブジェクトに対して使用される形式でもあります。
|
注意: ディレクトリベースのオブジェクトによって、エージェントはすべてのローカルentlist.iniファイルを無視するようになります。ダウンロード時に、リモート・オブジェクト(ある場合)はローカルentlist.iniファイルを上書きします。 |
その後、%AppData%\Passlogixディレクトリに新規ファイル(aelist.ini)を作成するために、entlist.iniとapplist.iniがマージされます。aelist.iniファイルは、Logon Managerの起動時や、applist.iniとentlist.iniを再度マージするときなど、定期的に上書きされます。その後、エージェントはaelist.iniを使用して、既知のアプリケーションを検出します。
次の項の表は、entlist.iniの各セクションのキーおよび許容値を示します。
entlist.iniのルート・キー
Windowsアプリケーション・キー
Webアプリケーション・キー
ホスト/メインフレーム・アプリケーション・キー
パスワード・ポリシー・キー
次の値は、必ず[*Root]セクション内で使用します。
[*Root] Section1=*Other Apps Section2=*Other Webs Section3=*Mainframe AppsMaxRetry=1 WebMaxRetry=3 HostMaxRetry=2 WebTimeout=90 &
| グローバル・アプリケーション・キー | 説明 | 許容可能な値 |
|---|---|---|
[*Root] |
アプリケーション・タイプ(ログオン・クラス)が導出されるルート・セクション。 | N/A |
AppsHideConfirmPW = %b |
すべてのWindowsアプリケーションの「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを示します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
AppsMaxRetry = %d |
「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべてのWindowsアプリケーションのログオンの再試行回数を示します。 | %d = 再試行の数(デフォルトは0) |
AppsTimeout = %d |
ログオンが連続して試行されている場合の、すべてのWindowsアプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。 | %d = 秒単位の時間(デフォルトは30) |
MainframeHideConfirmPW = %b |
すべてのホスト・アプリケーションの「Logon Error」ダイアログ・ボックスのパスワード確認フィールドを非表示にするかどうかを示します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
| MainframeMaxRetry = %d | 「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべてのホスト・アプリケーションのログオンの再試行回数を示します。 | %d = 再試行の数(デフォルトは0) |
| MainframeTimeout = %d | ログオンが連続して試行されている場合の、すべてのホスト・アプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。 | %d = 秒単位の時間(デフォルトは30) |
| Section%d = %s | サポートされているサブセクションの宣言。
*Other Webs、*Online Servicesおよび*Other Appsは |
%d = 連続した整数
|
| WebHideConfirmPW = %b | すべてのWebアプリケーションの「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを示します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
| WebMaxRetry = %d | 「Logon Error」ダイアログ・ボックスを表示する前に、エージェントが行うすべてのWebアプリケーションのログオンの再試行回数を示します。 | %d = 再試行の数(デフォルトは0) |
WebTimeout = %d |
ログオンが連続して試行されている場合の、すべてのWebアプリケーションのエラー・ループ検出がトリガーされるまでの最大時間を示します。 | %d = 秒単位の時間(デフォルトは30) |
これらの設定は、事前定義されたアプリケーションのリストの区切りとなるWindows、Webおよびホスト・アプリケーション・セクションに使用します。
[*Other Apps] Section1=Corporate WinApp & [*Other Webs] Section1=Corporate Intranet & [*Mainframe] Section1=Corporate Mainframe
| グローバル・ アプリケーション・キー |
説明 | 許容可能な値 | |
|---|---|---|---|
[%s] |
アプリケーション・カテゴリ・セクションを識別するセクション見出し。 | %s = [*Other Apps]: |
(Windowsアプリケーション) |
%s = [*Mainframe]: |
(ホスト/メインフレーム・アプリケーション) | ||
%s = [*Other Webs]: |
(事前定義のWebアプリケーション) | ||
Section%d = %s |
アプリケーション・セクションの宣言。 | %d = 連続した整数
|
|
次の値は、[*Other Apps]セクション内に記述されているアプリケーション内で使用します。
| Windowsアプリケーション・キー | 説明 | 許容可能な値 |
|---|---|---|
AllowReveal = %b |
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。 | %b = 0; 無効
|
AppPathKey%d = %s |
実行中のプロセスと照合するために、ログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。ログオン・リクエストの正確な一致のためにWindowTitleと組み合せて使用します。複数のレジストリ・キーを単一のログオンに関連付けられるように、%dを1で始まる数字に置き換えます。 |
%d = 連続した整数
|
AutoOK = %b |
ログオン・データの挿入後にこのアプリケーション・ログオンに対する「OK」を自動的に選択するようエージェントに指示するフラグ。 | %b = 0; 無効
|
ChangeTitle%d = %s |
パスワード変更リクエストを識別するためにパスワード変更ウィンドウ・タイトルと照合されるテキスト。単一のパスワード変更リクエストについて複数のウィンドウを識別できるように、%dを1で始まる数字に置き換えます。
各ChangeTitleエントリに対して、重複したWindowTitleエントリが必要です。 |
%d = 連続した整数
|
ChgCtrl0 = %d |
パスワード変更リクエスト・ウィンドウで、ユーザー名/IDフィールドを識別するために使用するコントロールID。 | %d = -1; 変更リクエストにユーザー名/IDは必要ありません。
|
ChgCtrl1 = %d |
パスワード変更リクエスト・ウィンドウで、旧パスワード・フィールドを識別するために使用するコントロールID。 | %d = -1; 変更リクエストに古いパスワードは必要ありません。
|
ChgCtrl2 = %d |
パスワード変更リクエスト・ウィンドウで、新しいパスワード・フィールドを識別するために使用するコントロールID。 | %d = -1; 変更リクエストに新しいパスワードは必要ありません。
|
ChgCtrl3 = %d |
パスワード変更リクエスト・ウィンドウで、パスワード確認フィールドを識別するために使用するコントロールID。 | %d = -1; 変更リクエストに新規パスワードの確認エントリは必要ありません。
|
ConfigName = %d |
ユーザーがこのログオンを追加するときに、初期構成名の作成に使用するテキストを含むコントロールを識別するコントロールID。 | %d = 1 - 99,999; コントロールID値 |
CPWFlag = %d |
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
注意: この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。 |
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
|
CtrlOrder = %s1, %s2, %s3& |
UseSendKeysが有効な場合にフィールドが送信される順序を決定します。たとえば、CtrlOrder = OtherCtrl1、IDCtrl、PassKeyCtrlを指定すると、ダイアログ・ボックスのタブの順序がOtherCtrl1、IDCtrl、PassKeyCtrlとなるようにエージェントに指示されます。
ログオンでは、デフォルトの順序は パスワード変更では、デフォルトの順序は 注意: この設定は、 |
%s1 = 最初のフィールドが送信されます。
etc. |
Description = %s |
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。 | %s = 任意の文字列 |
ExtMap = %s |
ログオンに関連付けられているWindowsファイルの拡張子。エージェントが構成にアイコンをマップできるようにします。 | %s = ファイル拡張子を表す3文字の文字列 |
ForceReauth = %b |
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
注意: すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。 |
%b = 0; 再認証は必要ありません(デフォルト)。
|
Group = %s |
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
注意: グループを使用可能にするには、Windowsレジストリ・エントリ |
%s = アプリケーションが所属するアプリケーション・グループのセクション名。 |
HideConfirmPW = %b |
「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを決定します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
IDCtrl = %d |
ユーザー名/IDコントロール・フィールド、またはユーザー名/IDデータを適切なユーザー名/IDコントロールに提供するメカニズム、あるいはその両方を識別します。 | %d = 0; ユーザーは、アプリケーションの設定中にエージェントの指示ツール・メカニズムを使用する必要があります(デフォルト)。
|
IDCtrlType = %d |
ユーザー名/IDコントロール・フィールドのコントロール・タイプを識別します。 | %d = 0; 編集コントロール(デフォルト)
|
IgnoreClassName = %s |
資格証明の送信時に無視する必要があるログオンまたはパスワード変更ウィンドウのクラス名を識別します。アプリケーションに2番目の非表示のログオンまたはパスワード変更ウィンドウが含まれている場合に使用します。 | %s = クラス名文字列 |
InteractionMode = %b |
エージェントがアプリケーションのウィンドウのメッセージ・キューにアタッチするのを回避します。 | %b = 0; 無効(デフォルト)
|
Match%d = %s |
アプリケーションへの一致セクションにマップします。同じアプリケーションに、複数のログオンおよびパスワード変更画面がある場合に使用します。この方法は、アプリケーション内の複数の画面に対して1セットのユーザー資格証明がある場合に最も役立ちます。この方法を使用することにより、一致セクションをログオンやパスワード変更(選択と手動)用に設定したり、無視するように設定できます。 | %d = 連続した整数
|
MaxRetry = %d |
「Logon Error」ダイアログを表示する前に、エージェントが行うログオンの再試行回数を決定します。 | %d = 再試行の数(デフォルトは0) |
ModuleName%d = %s |
実行中のプロセスと照合するために、ログオンに関連付けられているアプリケーション・モジュール名。特定のアプリケーション・ログオン、またはパスワード変更リクエストを識別するために、WindowTitleキーと組み合せて使用します。複数のアプリケーション・モジュールを単一のログオンに関連付けられるように、%dを1で始まる数字に置き換えます。 |
%d = 連続した整数
|
OKCtrl = %d |
このアプリケーションの「OK」ボタンのコントロールIDを識別します。 | %d = 1; エージェントの内部ロジックを使用します(デフォルト)
|
OtherCtrl1 = %d |
3番目のログオン・フィールドのコントロールID、または追加のフィールド・データを適切なコントロールに提供するメカニズム、あるいはその両方を識別します。 | %d = -1; アプリケーションには3番目のフィールドは必要ありません。
|
OtherCtrl1Type = %d |
3番目のログオン・フィールドのコントロール・タイプを識別します。 | %d = 0; 編集コントロール(デフォルト)
|
OtherCtrl2 = %d |
4番目のログオン・フィールドのコントロールID、または追加のフィールド・データを適切なコントロールに提供するメカニズム、あるいはその両方を識別します。 | %d = -1; アプリケーションには4番目のフィールドは必要ありません。
|
OtherCtrl2Type = %d |
4番目のログオン・フィールドのコントロール・タイプを識別します。 | %d = 0; 編集コントロール(デフォルト)
|
OtherLabel1 = %s |
3番目のログオン・フィールドを表示するときにエージェントによって使用されるテキスト・ラベル。 | %s = エージェントが表示するテキスト |
OtherLabel2 = %s |
4番目のログオン・フィールドを表示するときにエージェントによって使用されるテキスト・ラベル。 | %s = エージェントが表示するテキスト |
ParentKey1 = %s |
サブセクションをその親セクションにマップします。 | %s = 親アプリケーション/セクション名 |
PassKeyCtrl = %d |
パスワード・コントロール・フィールド、またはパスワード・データを適切なパスワード・コントロールに提供するメカニズム、あるいはその両方を識別します。 | %d = 0; ユーザーは、アプリケーションの設定中にエージェントの指示ツール・メカニズムを使用する必要があります。
|
PassKeyCtrlType = %d |
パスワード・コントロール・フィールドのコントロール・タイプを識別します。 | %d = 0; 編集コントロール(デフォルト)
|
PassPolicy = %s |
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。 | %s = ポリシー・セクション名 |
PresetFocusAll = %b |
エージェントがログオン・フィールドに実際にデータを配置する前に、そのフィールドにフォーカスを設定するかどうかを指定します。 | %b = 0; 無効(デフォルト)
|
QuietGenerator = %b |
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。 | %b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
|
Section%d = %s |
アプリケーション・サブセクションの宣言。 | %d = 連続した整数
|
SystemLogon = %b |
予約語。ログオン・セクションがシステム・ログオン・セクションであるかどうかを識別するフラグ。 | %b = 0; システム・ログオン・セクションではありません(デフォルト)。
|
Timeout = %d |
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。 | %d = 秒単位の時間(デフォルトは30) |
UseSendKeys = %b |
キーストロークによってアプリケーションにフィールドを送信します。
UseSendKeysを選択した場合、必要に応じて、 |
%b = 0; Send Keysを使用しません; コントロールIDを使用します(デフォルト)。
|
VTabKey%d0 = %d1 |
各資格証明フィールドの前後に送信する文字/遅延シーケンスを指定します。
注意: フィールドは、
指定した値として何も送信しない場合は、 |
%d0 = 1; 最初の資格証明フィールドの前に送信するシーケンス
- その他;
|
VTabKeyPWC%d0 = %d1 |
各資格証明フィールドの前後に送信する文字/遅延シーケンスを指定します。
注意: フィールドは、
指定した値として何も送信しない場合は、 |
%d0 = 1; 最初の資格証明フィールドの前に送信するシーケンス
- その他;
|
WindowTitle%d = %s |
ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルと照合されるテキスト。単一のログオンについて複数のウィンドウを識別できるように、%dを1で始まる数字に置き換えます。 |
%d = 連続した整数
%s = ウィンドウ・タイトル文字列 |
次の値は、SectionNによって区切られているサブセクション内で使用します。
[Corporate WinApp] Section1=~Corporate WinApp Logon Section2=~Corporate WinApp Password Change & [~Corporate WinApp Logon] (the keys below)
次の値は、MatchNによって区切られているサブセクション内で使用します。
[Corporate WinApp Section1=~Whatever subsection Match1=~Corporate WinApp Logon Match Match2=~Corporate WinApp Ignore Match & [~Corporate WinApp Ignore Match] (the keys below)
| Matchセクションのキー | 説明 | 許容可能な値 |
|---|---|---|
ChangeTitle%d = %s |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ChgCtrl0 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ChgCtrl1 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ChgCtrl2 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ChgCtrl3 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
Field%d0 = %d1,%s1,%s2,%s3 |
フィールドの一致基準。1つの画面に対して複数の一致基準を設定できるように、%d1は1で始まる数字に置き換えます。%d2は一致基準のコントロールIDに置き換えます。%s1はコントロール・タイプに置き換えます。%s2は比較演算子に置き換えます。%s3は比較値に置き換えます。 |
%d0 = 連続した整数
|
IDCtrl = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
OKCtrl = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
OtherCtrl1 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
OtherCtrl2 = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ParentKey1 = %s |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
PassKeyCtrl = %d |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
Type = %s |
イベントのタイプ。 | %s = string 次のタイプの文字列:
|
WindowTitle%d = %s |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
次の値は、[*Mainframe]セクション内に記述されているアプリケーション内で使用します。
行/列値がある次のすべてのキーの場合、行/列値は1で始まります(左上は1,1となります)。
|
注意: Telnetの場合、値は1,1にする必要があります。 |
| ホスト・アプリケーション・キー | 説明 | 許容可能な値 |
|---|---|---|
AllowReveal = %b |
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。 | %b = 0; 無効
|
AltTabKey = %d |
資格証明をホスト・エミュレータに送信する方法を示すフラグ。通常、資格証明はダイレクトHLLAPIコールによって送信されますが、この設定では別の方法を使用することを指定します。この設定を1に設定した場合は、2つのフィールドの間で[Enter]を押します。通常、この設定は、新しいパスワードと確認パスワードを2つの画面に分けるパスワード変更画面に使用します。
注意: 通常 |
%d = 0; HLLAPIを使用して、資格証明を資格証明フィールドに直接送信します(デフォルト)。
|
AutoOK = %b |
ログオン・データの挿入後にこのアプリケーション・ログオンに対する[Enter]を自動的に送信するようエージェントに指示します。 | %b = 0; 無効
|
CPWFlag = %d |
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
注意: この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。 |
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
|
CtrlOrder = %s1,%s2,%s3,%s4,%s5 |
AltTabKey=2の場合にフィールドが送信される順序を決定します。
たとえば、 |
%s1 = 最初のフィールドが送信されます(デフォルトはIDField)。
|
DelayField = %d |
アクション(フィールドに値を入力するなど)とアクションの間でエージェントが遅延する数値(ミリ秒)。 | %d = 整数値(ミリ秒) |
Description = %s |
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。 | %s = 任意の文字列 |
Field%d0 = %d1, %d2, %s |
ホスト/メインフレーム・ログオンを識別するために画面に表示されているテキスト・フィールドと照合する文字列。ログオンを一意に識別するために複数のテキスト文字列を使用できるように、%d0を1で始まる数字に置き換えます。Telnetアプリケーションの場合、値は1,1にする必要があります。 |
%d0 = 連続した整数
|
ForceReauth = %b |
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
注意: すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。 |
%b = 0; 再認証は必要ありません(デフォルト)。
|
Group = %s |
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
注意: グループを使用可能にするには、Windowsレジストリ・エントリ |
%s = アプリケーションが所属するアプリケーション・グループのセクション名。 |
HideConfirmPW = %b |
「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを指定します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
IDField = %d1, %d2 |
ホスト/メインフレーム・ログオン画面に表示されているユーザー名/IDフィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。フィールドが存在しない場合は、1,0に設定します。 |
%d1 = 最初のテキスト文字列の行
|
MaxRetry = %d |
「Logon Error」ダイアログを表示する前に、エージェントが行うログオンの再試行回数を決定します。 | %d = 再試行の数(デフォルトは0) |
NewPWField = %d1,%d2 |
新しいパスワード・フィールドの場所を識別するキー値のペア。 | %d1 = 最初のテキスト文字列の行
|
NewPWField2 = %d1,%d2 |
新しいパスワードの確認フィールドの場所を識別するキー値のペア。これはオプションです。必要な新しいパスワード・フィールドが1つのみである場合は必要ありません。 | %d1 = 最初のテキスト文字列の行
|
OtherField1 = %d1, %d2 |
ホスト/メインフレーム・ログオン画面に表示されている3番目のログオン・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。 | %d1 = 最初のテキスト文字列の行
|
OtherField2 = %d1, %d2 |
ホスト/メインフレーム・ログオン画面に表示されている4番目のログオン・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、この値はオプションで無視されます。 | %d1 = 最初のテキスト文字列の行
|
OtherLabel1 = %s |
3番目のログオン・フィールドに対してエージェント内で表示されるラベル。 | %s = テキスト文字列 |
OtherLabel2 = %s |
4番目のログオン・フィールドに対してエージェント内で表示されるラベル。 | %s = テキスト文字列 |
Page%d = %s |
1つのホスト/メインフレーム・アプリケーションの複数のページに使用されるサブセクションへのポインタ。1つのアプリケーション・ログオンに複数のページがある場合があります。 | %d = 連続した整数
|
ParentKey1 = %s |
サブセクションをその親セクションにマップします。 | %s = 親アプリケーション/セクション名 |
PassField = %d1, %d2 |
ホスト/メインフレーム・ログオン画面に表示されているパスワード・フィールドの最初の入力文字の場所。Telnetアプリケーションの場合、値は1,1にする必要があります。フィールドが存在しない場合は、1,0に設定します。 | %d1 = 最初のテキスト文字列の行
|
PassPolicy = %s |
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。 | %s = ポリシー・セクション名 |
PreKey = %d |
すべての資格証明の送信前に送信する必要があるものを定義する文字とニーモニックの文字列。 | 文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
QuietGenerator = %b |
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。 | %b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
|
TabKey1 = %d |
IDFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 | 文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
TabKey2 = %d |
PassFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 |
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
TabKey3 = %d |
OtherField1の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 |
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
TabKey4 = %d |
NewPWFieldの送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 |
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
TabKey5 = %d |
NewPWField2の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 |
文字またはASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は25文字です。 |
TabKey6 = %d |
OtherField2の送信後に送信する必要があるものを定義する文字とニーモニックの文字列。 |
文字または ASCIIニーモニック(あるいはその両方)の任意の組合せ。最大長は 25文字です。 |
Timeout = %d |
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。 | %d = 秒単位の時間(デフォルトは30) |
次の値は、PageNによって区切られているサブセクション内で使用します。
[Corporate Mainframe] Page1=~Corporate Mainframe Logon Page2=~Corporate Mainframe Password Change [~Corporate Mainframe Logon] (the keys below)
次の値は、[*Other Webs]セクション内に記述されているアプリケーション内で使用します。
| Webアプリケーション・キー | 説明 | 許容可能な値 |
|---|---|---|
AllowReveal = %b |
ウィザードおよびプロパティ・ページのパスワード用の「Reveal」ボタンを有効または無効にするフラグ。 | %b = 0; 無効
|
AutoOK = %b |
ログオン・データの挿入後にこのアプリケーション・ログオンに対する[Enter]を自動的に送信するようエージェントに指示します。 | %b = 0; 無効
|
CPWFlag = %d |
特定のアプリケーションでユーザーがパスワード変更を要求された場合のパスワード変更ウィザードの動作を設定します。このキーは、パスワード変更サブセクションではなく、アプリケーションのルート・セクションに指定します。
注意: この設定は、レジストリを使用して、すべてのアプリケーションを対象にグローバルに設定することもできます。 |
%d = 1; ユーザーにパスワード変更ウィザードに従うように求めます(デフォルト)。
|
Description = %s |
このアプリケーションについて説明するテキストで、Logon Managerの「Description」フィールドにも保存されます。 | %s = 任意の文字列 |
ForceReauth = %b |
このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに強制します。
注意: すべてのサブセクションに適用されます。複数セクションのパスワード変更シナリオでは、ユーザーは複数回再認証を受ける必要があります。 |
%b = 0; 再認証は必要ありません(デフォルト)。
|
Group = %s |
このアプリケーションが属するグループ・セクション名。資格証明共有グループ用に構成する場合に使用します。特殊な値には、次のものがあります。
注意: グループを使用可能にするには、Windowsレジストリ・エントリ |
%s = アプリケーションが所属するアプリケーション・グループのセクション名。 |
HideConfirmPW = %b |
「Logon Error」ダイアログのパスワード確認フィールドを非表示にするかどうかを決定します。 | %b = 0; 確認フィールドを非表示にしません(デフォルト)。
|
IDField = %s1,%s2,%s3,%s4 |
ユーザー名/IDを入力するためのフィールドのID。
注意: フレーム/フォーム/フィールドの名前が数字のみで構成されている場合は、列挙値を使用する必要があります。 |
%s1 = フレーム名/番号
|
MaxRetry = %d |
「Logon Error」ダイアログを表示する前に、エージェントが行うログオンの再試行回数を決定します。 | %d = 再試行の数(デフォルトは0) |
NewPWField = %s1,%s2,%s3,%s4 |
新しいパスワードを入力するためのフィールドのID。 | %s1 = フレーム名/番号
|
NewPWField2 = %s1,%s2,%s3,%s4 |
新しいパスワードを確認するためのフィールドのID。 | %s1 = フレーム名/番号
|
OtherField1 = %s1,%s2,%s3,%s4 |
3番目のログオン・フィールドのID。 | %s1 = フレーム名/番号
|
OtherField2 = %s1,%s2,%s3,%s4 |
4番目のログオン・フィールドのID。 | %s1 = フレーム名/番号
|
OtherLabel1 = %s |
3番目のログオン・フィールドに対してエージェント内で表示されるラベル。 | %s = テキスト文字列 |
OtherLabel2 = %s |
4番目のログオン・フィールドに対してエージェント内で表示されるラベル。 | %s = テキスト文字列 |
ParentKey1 = %s |
サブセクションをその親セクションにマップします。 | %s = 親アプリケーション/セクション名 |
PassField = %s1,%s2,%s3,%s4 |
パスワードを入力するためのフィールドのID。 | %s1 = フレーム名/番号
|
PassPolicy = %s |
このアプリケーション・ログオン構成に関連付けるパスワード・ポリシーのセクションを識別します。 | %s = ポリシー・セクション名 |
QuietGenerator = %b |
このフラグを設定すると、エージェントによって自動的にパスワード変更リクエストが処理されますが、ユーザーにはパスワード変更リクエストが処理されたことは通知されません。 | %b = 0; ユーザーの操作が不要なジェネレータは使用しません。ユーザーの操作を必要とする標準のパスワード変更プロセスを使用します(デフォルト)。
|
Section%d = %s |
アプリケーション・サブセクションの宣言。 | %d = 連続した整数
|
StrictURLCheck = %b |
URLの正確な(大/小文字を区別しない)一致を必要とするか、文字列の部分一致を使用するかを決定します。 | %b = 0; 文字列の部分一致を使用します(デフォルト)
|
SubmitField = %s1,%s2,%s3,%s4 |
「Submit」ボタン(または同等のもの)のID。
値の形式は、フレーム名/番号、フォーム名/番号、フィールド名/番号/URL、およびフィールド・タイプです。フィールド・タイプがイメージの場合、フィールド名は完全かつ正確なURLにする必要があります。 注意: このエントリはオプションです。指定しない場合、エージェントでは独自の内部検索ロジックによってこのボタンが特定され、押されます。 |
%s1 = フレーム名/番号
|
Timeout = %d |
ログオンが連続して試行されている場合の、エラー・ループ検出がトリガーされるまでの最長期間を決定します。 | %d = 秒単位の時間(デフォルトは30) |
URL%d =%s |
Webサイトのログオン・ページのアドレス。
注意: Webアドレスが空白や特殊文字で構成されている場合は、URL引用方法(RFC 2396)を使用してWebアドレスを定義します。これは、URLの各空白に |
%d = 1で始まる連続した整数
|
次の値は、SectionNによって区切られているサブセクション内で使用します。
[Corporate WebApp] Section1=~Corporate Intranet Logon #1 Section2=~Corporate Intranet Logon #2 & [~Corporate Intranet Logon #1] (the keys below)
| Webアプリケーション・キー | 説明 | 許容可能な値 |
|---|---|---|
IDField = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
NewPWField = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
NewPWField2 = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
OtherField1 = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
OtherField2 = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
ParentKey1 = %s |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
PassField = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
SubmitField = %s1,%s2,%s3,%s4 |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
URL%d =%s |
(前述の「Windowsアプリケーション・キー」を参照) | (前述の「Windowsアプリケーション・キー」を参照) |
次の値は、[*PasswordPolicies]セクション内のSectionNによって区切られているサブセクション内で使用します。
| パスワード・ポリシー・キー | 説明 | 許容可能な値 |
|---|---|---|
ALPHA = %s |
パスワードの生成時にアルファベット文字を使用するようにエージェントに指示するフラグ。 | %s = U; 大文字のアルファベット文字のみを使用します。
|
NAME = %s |
このパスワード・ポリシーのわかりやすい名前。 | %s = 任意の文字列 |
NUMCONSMAX = %d |
パスワード内で特定の文字を連続して(その文字に隣接して)繰り返すことができる回数。 | %d = 0から127 (デフォルトは8) |
NUMERIC = %b |
パスワードの生成時に数字を使用するようにエージェントに指示するフラグ。 | %b = 0; 数字を使用しません(デフォルト)。
|
NUMFLAGFIRST = %b |
数字をパスワードの先頭にできるかどうかを示すフラグ。 | %b = 0; 数字を先頭にすることはできません(デフォルト)。
|
NUMFLAGLAST = %b |
数字をパスワードの末尾にできるかどうかを示すフラグ。 | %b = 0; 数字を末尾にすることはできません(デフォルト)。
|
NUMRPTMAX = %d |
パスワード内で文字を繰り返すことができる回数。 | %d = 0から127 (デフォルトは8) |
NUMSIZE = %d |
数字の最大数。 | %d = 0から128 (デフォルトは0) |
NUMSIZEMIN = %d |
数字の最小数。 | %d = 0から128 (デフォルトは0) |
SBYE = %s |
このパスワードの生成時に除外する特殊文字のリスト。 | %s = 次のような、除外する特殊文字の任意の文字列
通常使用されるが、除外できる特殊文字のリストを保持するWindowsレジストリ・キーのペアは、 |
SCHARFLAGFIRST = %b |
特殊文字をパスワードの先頭にできるかどうかを示すフラグ。 | %b = 0; 特殊文字を先頭にすることはできません(デフォルト)。
|
SCHARFLAGLAST = %b |
特殊文字をパスワードの末尾にできるかどうかを示すフラグ。 | %b = 0; 特殊文字を末尾にすることはできません(デフォルト)。
|
SCHARS = %b |
パスワードの生成時に特殊文字を使用するようにエージェントに指示するフラグ。 | %b = 0; 特殊文字を使用しません(デフォルト)。
|
SCHARSIZE = %d |
特殊文字の最大数。 | %d = 0から128 (デフォルトは0) |
SCHARSIZEMIN = %d |
特殊文字の最小数。 | %d = 0から128 (デフォルトは0) |
SIZE = %d |
パスワードの合計最大長。 | %d = 1から255 (デフォルトは8) |
| SIZEMIN = %d | パスワードの合計最小長。 | %d = 1から255 (デフォルトは8) |
using System;using System.Collections.Generic;using System.Text;using System.Windows.Forms;namespace ClassLibraryTest{ public class TestClass { private string m_userName; private string m_domainName; public string UserName { set { m_userName = value; } get { return m_userName; } } public string DomainName { set { m_domainName = value; } get { return m_domainName; } } public void UserChange() { MessageBox.Show("UserChange called with user: " + DomainName + "\\" + UserName); } public void SessionStart() { MessageBox.Show("SessionStart called"); } public void SessionEnd() { MessageBox.Show("SessionEnd called"); } public void SessionLocked() { MessageBox.Show("SessionLocked called"); } public void SessionUnlocked() { MessageBox.Show("SessionUnlocked called"); } public void PreSessionUnlocked() { MessageBox.Show("PreSessionUnlocked called"); } public void AuthLogon() { MessageBox.Show("AuthLogon called"); } public void AuthTimeout() { MessageBox.Show("AuthTimeout called"); } public void DeviceIn() { MessageBox.Show("DeviceIn called"); } public void DeviceOut() { MessageBox.Show("DeviceOut called"); } public void GracePeriod() { MessageBox.Show("GracePeriod called"); } }}
この項では、特にPassword Resetに関する情報について説明します。
データベース・スキーマを初期化すると、いくつかのデータベース表が作成されます。Password Resetでは、その操作の間、これらの表をデータを格納するために使用します。この項では、データベース表およびPassword Resetがデータベース表を使用する方法について説明します。
スキーマには、次の表のデータが含まれています。
|
注意: この情報は参考として記載されており、実際の構成手順を示すものではありません(その結果は例に示されています)。このマニュアルで説明する構成フォームおよび設定へのアクセス方法の詳細は、『Oracle Enterprise Single Sign-On Suiteインストレーション・ガイド』を参照してください。 |
この例では、Password Resetを次のように構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
AuthSuccessLevel="150" AuthFailureLevel="-150" EnrollLevel="200" UserQuestionCorrectResponseWeight="0" UserQuestionWrongResponseWeight="0" MinUserDefinedQuestions="0" MaxUserDefinedQuestions="0" AdminServiceStatus="0" OperationalServiceState="0" UserLockoutCount="3" UserLockoutHours="24" ByPassForceEnrollment="3" ExcludedUsers="" UserEmailRequired="0" UserEmailFormat="[A-Za-z0-9._\-]+@[A-Za-z0-9._\-]+[.][A-Za-z][A-Za-z][A-Za-z]?" ShowUnlockOption="false" EnableTempPasswordMode="false"
さらに、次のロギング構成データがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
この例では、Password Resetロギングを次のように構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
この例では、Password Resetのシステム・チャレンジ質問を構成し、この変更をサーバーに送信します。
「Submit」をクリックすると、次のデータがSYSTEMPARAMETERS表にXML文字列として書き込まれます。
| フィールド | 文字列 |
|---|---|
QUID |
99a96ea2-671c-4db6-941c-058a6986123b |
QUESTION |
QuestionText="What is your favorite hockey team?"
|
作成したシステム・チャレンジ質問ごとに、新しい行が追加されます。
次の例は、ユーザーの登録中にデータベースに書き込まれるデータを示しています。
ユーザーは、次のURLで登録ページにアクセスします。
http://<hostname>:<port>/vgoselfservicereset/enrollmentclient/ enrolluser.aspx
Password Resetの登録ページが表示されます。
ユーザーが「Start」をクリックします。次のデータ(XML文字列形式)を含む新しい行が、USER表に書き込まれます。
| フィールド | 文字列 |
|---|---|
USER.USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
USER.ENROLLED |
FALSE |
USER.USERINFORMATION |
UserName="SEDEMO\jraymond"
< < |
必要なチャレンジ質問にユーザーが回答すると、確認画面が表示され、次のデータを含む行がENROLLMENTINFORMATION表に追加されます。
| フィールド | 文字列 |
|---|---|
USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
ENROLLMENTINFORMATION |
StartTime="2008-11-21T15:05:02.8386162-05:00"
|
CREATETIME |
21- NOV-08 |
ユーザーが「Next」をクリックしてオプションのチャレンジ質問への回答を開始すると、次のメッセージがログに記録されます。
ユーザーがオプションの質問(この例では6)に回答すると、「Enrollment Finished」画面が表示されます。
ユーザーが「Close」をクリックすると、次のイベントが発生します。
メッセージがログに記録されます。
回答された質問ごとに、USERQUESTIONS表に次のデータを含む行が追加されます。
| フィールド | 文字列 |
|---|---|
USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
QUID |
53412afd-af16-4a1a-9ddb-ecdf5414ff51 |
USERQUESTIONS |
QuestionAnswer="BoNGMYmBe5KUp5Zqzu5QtOGylJl6QJtnupKIkQ8Tx SnQGIU0" SystemQuestion="true"
|
次のデータが、USERに書き込まれます。
| フィールド | 文字列 |
|---|---|
USER.USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
USER.ENROLLED |
TRUE |
USER.USERINFORMATION |
UserName="SEDEMO\jraymond"
|
次のデータが、ENROLLMENTINFORMATION表に書き込まれます。
| フィールド | 文字列 |
|---|---|
USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
ENROLLMENTINFORMATION |
StartTime="2008-11-21T15:05:02.8386162-05:00"
GUID="71c2739f-b192-42b3-a326-271bec9323da" |
CREATETIME |
21- NOV-08 |
次の例は、パスワード・リセット中にデータベースに書き込まれるデータを示しています。
ユーザーは、次のURLでパスワード・リセット・ページにアクセスします。
http://<hostname>:<port>/vgoselfservicereset/resetclient/default.aspx
Password Resetのログオン・ページが表示されます。
ユーザーが必要な情報を入力してから「OK」ボタンを押すまでに長い時間が経過した場合は、「Session is invalid」画面が表示され、ユーザーが登録セッションをリセットできるリンクが示されます。この時点で、次のメッセージがログに記録されます。
ユーザーがリセット手順を再試行し、パスワード・リセット・ページに到達すると、次のデータがRESETINFORMATION表に書き込まれます。
| フィールド | 文字列 |
|---|---|
USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
RESETINFORMATION |
StartTime="2008-11-21T15:59:38.436503-05:00"
|
CREATETIME |
21-NOV-08 |
この時点で、次のメッセージがログに記録されます。
ユーザーが正常にパスワードをリセットすると、Password Resetにパスワード・リセットの成功を確認するメッセージが表示され、次のデータがRESETINFORMATION表に書き込まれます。
| フィールド | 文字列 |
|---|---|
USERSID |
S-1-5-21-1607104245-2398925301-1456127008-1137 |
RESETINFORMATION |
StartTime="2008-11-21T16:10:43.7618874-05:00" EndTime="0001-01-01T00:00:00-05:00"
|
CREATETIME |
21-NOV-08 |
この時点で、次のメッセージがログに記録されます。
有効にすると、Password Resetのロギング機能によって次のデータがSYSLOGに書き込まれます。
Date
Time
Priority
Host name
Message
次に、Password Resetが通常の操作中に生成する標準のログ・メッセージの例を示します。
Nov 21 16:21:46 orcl v-GO SSPR: User 'SEDEMO\lchristine' started an enrollment session. Nov 21 16:22:42 orcl v-GO SSPR: User 'SEDEMO\lchristine' cancelled the enrollment session. Nov 21 15:16:23 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully completed enrollment
Nov 21 16:10:43 orcl v-GO SSPR: User 'SEDEMO\jraymond' started a reset session. Nov 24 11:21:51 orcl v-GO SSPR: User 'SEDEMO\jraymond' cancelled the reset session. Nov 21 16:11:17 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully reset his/her password. Nov 24 09:43:08 orcl v-GO SSPR: User 'SEDEMO\jraymond' failed the reset quiz. Nov 24 10:00:15 orcl v-GO SSPR: User 'SEDEMO\jraymond' has been locked out! Nov 21 16:06:20 orcl v-GO SSPR: User 'SEDEMO\jraymond' timed out the reset session. Nov 24 10:13:28 orcl v-GO SSPR: User 'SEDEMO\jraymond' successfully unlocked his/her account.
ログの詳細は、このマニュアルの第4章「管理コンソールを使用したPassword Resetの構成」を参照してください。
この図は、スキーマを拡張する際にPassword Resetが追加するオブジェクト・クラスを示しています。
各ボックスは、クラスを表しています。
ボックスの上部には、クラス名が表示されています。
ボックスの下部には、クラスが持つことができる属性が表示されています。
各リンクは、クラスに含めることができる子クラスを表しています。
最低限でも、Password Reset Webサービス・アカウントには、このスキーマの図に示すクラスを作成、削除および変更する権限が必要です。これらの権限を、OU=SSPR組織単位に付与して、すべての子オブジェクトが継承するようにする必要があります。
スキーマのオブジェクト・クラスの定義を次に示します。
このクラスは、登録、リセットおよび質問応答オブジェクトを含み、Password Resetユーザーに関するすべての情報を保持するコンテナとして機能します。このクラスのインスタンスは、OU=SSPR,OU=Usersの下の各ユーザーに対して作成されます。このインスタンス名が、ユーザーのSIDになります。
| 属性名 | 構文 | フラグ |
|---|---|---|
passlogix-ssrattribute |
大/小文字が区別されない文字列 | 単一設定値 |
passlogix-ssruserenrolled |
キャストを区別しない文字列 | 単一設定値 |
| その他のオプションの属性 | cn, dn |
このクラスは、passlogix-ssrenrollmentinformationオブジェクトを含み、passlogixssruserオブジェクトの子としてのみ存在できます。
| 属性名 | 構文 | フラグ |
|---|---|---|
| その他のオプションの属性 | cn, dn |
このクラスは、登録イベントに関する情報を格納し、通常はpasslogix-ssrenrollmentfolderの子として存在します。インスタンス名は、ランダムに生成されたGUIDになります。
| 属性名 | 構文 | フラグ |
|---|---|---|
passlogix-ssrattribute |
大/小文字が区別されない文字列 | 単一設定値 |
| その他のオプションの属性 | cn, dn |
このクラスは、passlogix-ssrquestionsオブジェクトを含み、passlogix-ssruserオブジェクトの子としてのみ存在できます。
| 属性名 | 構文 | フラグ |
|---|---|---|
| その他のオプションの属性 | cn, dn |
このクラスは、質問または応答に関する情報を格納し、質問に対するユーザーの回答を表す場合は、通常passlogixssruserquestionfolderの子として存在します。システム質問を表す場合は、OU=SSPR,OU=SystemQuestionsの下に存在します。インスタンス名は、ランダムに生成されたGUIDになります。
| 属性名 | 構文 | フラグ |
|---|---|---|
passlogix-ssrattribute |
大/小文字が区別されない文字列 | 単一設定値 |
| その他のオプションの属性 | cn, dn |
このクラスは、passlogix-ssrresetinfoオブジェクトを含み、passlogix-ssruserobjectの子としてのみ存在できます。
| 属性名 | 構文 | フラグ |
|---|---|---|
| その他のオプションの属性 | cn, dn |
Password Reset用にOracle Databaseインスタンスを準備する場合は、次のガイドラインに従います。
単純なデータベース・インスタンスに専用の単純な表領域を、初期サイズが200MBで、自動拡張を有効にして作成します。
専用のアプリケーション・ユーザーを作成します(このユーザーの唯一の役割が、Password Resetがデータベースに接続してデータを格納するのを許可することです)。Password Resetとデータベースのインタフェースには、SYSTEMユーザーを使用しないてください。
|
注意: Oracle Databaseの構成の詳細は、このドキュメントでは説明しません。Password Resetを既存のOracle Databaseインフラストラクチャに統合する方法を判断する際に、組織のDBAチームと連携することを強くお薦めします。 |
Password Resetのデータベース・スキーマを構成するには、次の手順を実行します。
Password Reset DDLスクリプト・ファイルを検索します。
%PROGRAM FILES%\Passlogix\v-GO SSPR\WebServices\OracleTables.txt
OracleTables.txtスクリプト内のSYSTEMユーザーのすべてのインスタンスを、Oracle Databaseインスタンスの準備の際に作成した、専用のPassword Resetアプリケーション・ユーザーに置換します。
Oracle SQL*Plusクライアントを起動し、Password Resetデータベース・インスタンスにログオンします。
OracleTables.txtスクリプトを実行し、必要なデータ構造体を作成します。
@ "<ESSO-PR_server_install_path>\WebServices\OracleTables.txt"
Webブラウザで次のURLを指定し、管理コンソールにログインします。
http://<hostname>:<port>/vGoSelfServiceReset/ManagementClient/storage.aspx
|
注意: SSL接続を使用するようにPassword Resetを構成してある場合は、前述のURLのhttpを、httpsに置き換えます。 |
左側のペインで、「Storage」をクリックします。
「Storage」ページで、次の手順を実行します。
「Storage Type」ドロップダウン・リストから、「Oracle Database」を選択します。
「Connection String」フィールドで、ターゲット・データベース・インスタンスの接続文字列を入力し、「Add」をクリックします。構文は次のとおりです(1行で入力します)。
Provider=OraOLEDB.Oracle;Data Source=<datasource>;User Id=<user_id>;Password=<password>
説明:
<datasource>は、ターゲット・インスタンスのデータ・ソースの名前です。
<user_id>は、Password Reset用にデータベース・インスタンスで作成した専用のアプリケーション・ユーザー・アカウントのIDです。
<password>は、前に選択したユーザーのパスワードです。
「Database Timeout」フィールドで、目的の値を秒単位で入力します。デフォルトとして60秒が推奨されています。
「Submit」をクリックします。
Password Resetのデータを、選択したデータベース・インスタンスに格納するための構成が完了しました。Password Resetがデータベースに格納するデータの詳細、例、およびこのデータの体系については、「Password Resetのデータ構造の理解」を参照してください。
この項では、Password Resetクライアントの動作を指定するレジストリ設定について説明します。
| キー | 値の名前 | データ型 | データ [URLRoot] : http://[host]/vgoselfservicereset |
|---|---|---|---|
WindowsInterface |
EnrollURL |
string (REG_SZ) | 登録サービスのデフォルト・ページのURL:[URLroot]/enrollmentclient/enrolluser.aspx |
ResetURL |
string (REG_SZ) | リセット・サービスのデフォルト・ページのURL: [URLroot]/resetclient/default.aspx |
|
StatusURL |
string (REG_SZ) | ステータス確認ページのURL(リセット・クライアントにリセット・サービスが利用可能なことを知らせます):[URLroot]/resetclient/checkstatus.aspx |
|
CheckEnrollURL |
string (REG_SZ) | 登録チェック・サービスのURL(ユーザーがサービスに登録されているかどうかを確認します): [URLroot]/resetclient/checkenrollment.aspx |
|
AutomaticEnroll |
dword (REG_DWORD) | 0 (ゼロ)以外の値に設定すると、次回ログオン時にユーザーを登録するための登録オプションが提供されます。0 (デフォルト)に設定すると、ログオン時に登録は提供されません。 | |
ForceEnrollment |
dword (REG_DWORD) | 0 (ゼロ)以外の値に設定すると、未登録のユーザーは次回ログオン時に登録を要求されます。0 (デフォルト)に設定すると、ログオン時に登録は要求されません。 | |
CheckForceEnrollment |
string (REG_SZ) | 強制登録チェック・サービスのURL (ユーザーが登録を延期できる回数を確認します): [URLroot]/resetclient/checkforceenrollment.aspx |
|
WindowHeight |
dword (REG_DWORD) | Password Resetブラウザ・ウィンドウの高さを調整します。 | |
WindowWidth |
dword (REG_DWORD) | Password Resetブラウザ・ウィンドウの幅を調整します。 | |
IgnoreCertRevocation Errors |
dword (REG_DWORD) | 0(ゼロ)以外の値に設定すると、証明書の失効エラーを無視します。0(デフォルト)に設定するか空のままにすると、このエラーを認識します。 | |
WindowsInterface\xx (xxは、2文字の言語コード*) |
LinkText |
string (REG_SZ) | パスワードをリセットするためにクリックすることをユーザーに指示する適切なテキストを入力します(Windows 7のみ)。 |
WindowTitle |
string (REG_SZ) | 登録およびリセット・インタフェースのウィンドウ・タイトルの適切なテキストを入力します。 | |
WindowsInterface\ |
UseSeparateTile |
string (REG_DWORD) | 0(ゼロ)以外の数字を設定すると、ユーザーのデフォルトのWindows 7ログオン・タイルの下にある「パスワードを忘れた場合」リンクを非表示にし、別のパスワード・リセット・タイルとテキストをログオン画面に作成できます。
タイルの追加を無効にするには、0を設定します。デフォルトは0です。 |
WindowsInterface\xx\ |
TileText |
string (REG_SZ) | 置き換えたPassword Resetタイルの下に表示するテキスト。xxはテキストの言語です。 |
WindowsInterface\xx\ |
TileImage |
string (REG_SZ) | 置き換えるPassword Resetタイルに使用するビットマップ・ファイルへのフルパス。 |
この項では、Password Resetサーバー・アプリケーションの動作を指定するレジストリ設定について説明します。
| キー | 値の名前 | データ型 | データ |
|---|---|---|---|
SSPRService |
CacheEnabled |
dword REG_DWORD | サーバーでユーザー情報をキャッシュできるようにする場合は、1 (デフォルト)を設定します。ユーザー情報のキャッシュを無効にする場合は、0を設定します。
この設定は、特に、複数のWebサーバーを持つ構成に対処するためのものです。このような構成の場合、ユーザー情報が不正確に同期されないようにするには、0値を使用します。 |
SSPRService |
Reset_ShowIntroduction |
dword REG_DWORD | 1に設定すると、リセット・プロンプトが表示されます。0 (デフォルト)に設定すると、リセット・プロンプトが抑制されます。 |
SSPRService |
Reset_CustomizedErrorMsg |
dword REG_DWORD | 1に設定すると、カスタマイズ可能なリセット・エラー・メッセージがアクティブ化されます。0 (デフォルト)に設定すると、組込みのリセット・エラー・メッセージが使用されます。 |
SSPRService |
SessionTimeoutMessage |
dword REG_DWORD | 1に設定すると、指定した期間内にセッションがタイムアウトすることをユーザーに通知するメッセージがアクティブ化されます。このメッセージを表示しない場合、0 (デフォルト)に設定します。 |
| キー | 値の名前 | データ型 | データ |
|---|---|---|---|
ADAM |
Root |
string (REG_SZ) | AD LDS (ADAM)パーティション・ルート |
Classname |
string (REG_SZ) | Adam |
| キー | 値の名前 | データ型 | データ |
|---|---|---|---|
Servers |
Server1 |
string (REG_SZ) | server:port (AD LDS (ADAM)インスタンスの) |
この項では、特にレポーティング・ツールに関する情報について説明します。
この項では、レポーティング・イベント定義表とその値について説明します。フィールド移入は、イベントが生成された製品およびコンテキストに依存するため、イベントで常にすべてのフィールドが移入されるとはかぎりません。通常、すべてのフィールドはテキスト形式ですが、タイムスタンプとOracle固有で使用するフィールドは例外です。いくつかのエントリには固有の列挙値があり、これらの値は説明の下に示されています(該当する場合)。
イベント・ログ表の作成に使用されるSQL Serverスクリプトは、次のとおりです。
GUID
Globally Unique Identifier。生成されたすべてのイベントには、そのイベントに固有の識別子が付きます。
|
注意: 通常、このフィールドはレポーティングの用途には不要ですが、アカウント作成の用途で役立つ場合があります。 |
ProductName
イベントを生成したOracle Enterprise Single Sign-On Suiteコンポーネントの名前。
| 現在の値: | |
|---|---|
| SSO_Server
SSO_Client SAM_Server SAM_Client PM_Server PM_Client SSPR AM |
SM
UAM ODE NotificationService ReportingService DC_Client OPAM_Client |
ProductVersion
イベントを生成したOracle Enterprise Single Sign-On Suite Plus製品のバージョン。
HostName
イベントを生成したホストまたはマシンの名前。
LogonMethod
特定のイベントに適用される場合に使用されたログオン方法。
現在の値:
WinAuth
MsAuth
LDAPv1
LDAPv2
MultiAuth
CredentialType
資格証明のタイプを示します。
現在の値:
Standard
Shared
Operation
特定のOracle Enterprise Single Sign-On Suite製品によって生成されたイベントの特徴を定義します。
| 現在の値: | |
|---|---|
Login
|
SM_MachineShutdown
|
SSOUserId
これは、Logon ManagerがActive DirectoryやLDAPなどの企業リポジトリと同期をとるために使用するユーザーIDです。生成されたイベントが別のOracle Enterprise Single Sign-On Suite製品または使用されていないリポジトリからのものである場合、このフィールドはユーザーのWindowsログオン名(<domain>\<user>など)になります。
WindowsUserName
これは、イベントを生成したシステムのWindowsログオン名(<domain>\<user>など)です。SSOUserIdと同じ場合と異なる場合があります。
ApplicationName
これは、イベントの生成対象だったアプリケーションの名前(OutlookやAIMへのLogon Managerログオンなど)です。
ApplicationReference
使用された資格証明へのアプリケーション・テンプレートの参照(該当する場合)。
ApplicationUserId
この資格証明が属するアプリケーションのユーザーID。
ApplicationThirdField
使用された資格証明に追加情報がある場合、このフィールドには3番目のフィールドが移入されます。
|
注意: テンプレートがマスクされるように定義されている場合、機密情報を公開しないために、このフィールドには"<masked>"が含まれます。 |
ApplicationFourthField
使用された資格証明に追加情報がある場合、このフィールドには4番目のフィールドが移入されます。
|
注意: テンプレートがマスクされるように定義されている場合、機密情報を公開しないために、このフィールドには"<masked>"が含まれます。 |
SAMAccountName
このイベントが共有アカウントから生成された場合、その共有アカウントの名前が含まれます。
コメント
このイベントに関する追加(オプション)の情報。
EventtimeClient
これは、ローカル・システムでイベントが作成されたときの時間(GMT)書式です。
|
注意: この時間はローカル・システムに依存します(GMT書式で格納されている場合、ローカル・システムが正しくなければ、それが反映され、このフィールドに格納されます)。 |
EventtimeServer
これは、イベントがデータベースに格納された時間(GMT)書式です。
|
注意: このフィールドは、データベースが格納されているシステムに依存します。イベントが格納されると、データベース自体でこのタイムスタンプが作成されます。 |
EventtimeEnrollment
このフィールドは、ユーザーの暗号鍵が生成または更新された時間(GMT書式)です。暗号鍵は、ユーザーがオーセンティケータに登録されたとき、またその登録を変更したときに資格証明を暗号化するために使用します。このフィールドは、Auth_EnrollmentおよびAuth_Unenrollmentイベントに対してのみ設定されます。
HashType
Oracle内部使用専用です。
HashValue
Oracle内部使用専用です。
HostFingerprint
Oracle内部使用専用です。
この項では、Universal Authentication Managerの動作を指定するレジストリ設定について説明します。内容は次のとおりです。
|
注意: 32ビットと64ビットのオペレーティング・システムのレジストリ・パスの違いに留意してください。32ビットOSのレジストリ・キーのパスは、 同じレジストリ・キーのパスについて、64ビットOSの場合は |
この機能では、Universal Authentication Managerのユーザーインタフェース画面でのログオン方法の表示順序を設定することができます。これらの設定はUniversal Authentication Managerインストーラによって初期構成された後、Windowsレジストリで直接構成する必要があります。
|
注意: これらのキーを変更した場合に、後でアンインストールして再インストールしたり、インストールの修復を実行したりする場合は、オーセンティケータに合わせて表示順序設定を手動で再構成する必要があります。 |
Windowsレジストリを開いて、HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\UAM\Authenticators\{authID} : "Order" = DWORDにナビゲートします。
(authIDはログオン方法の識別子です)。
任意の10進数値を使用できます。方法は、ユーザー・インタフェースで左から右に昇順で表示されます。
Universal Authentication Managerによってインストールされるデフォルトの順は次のとおりです。
指紋
32-bit OS:
HKEY_LOCAL_MACHINE\Software\Passlogix\UAM\Authenticators\{16627EE1-FAE3-43B5-B884-D3661649B97D}
64-bit OS:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\UAM\Authenticators\{16627EE1-FAE3-43B5-B884-D3661649B97D}
Order REG_DWORD 100
近接型カード
32-bit OS:
HKEY_LOCAL_MACHINE\Software\Passlogix\UAM\Authenticators\{4A8F93E4-2328-44CA-8DBE-FBFA4E5FD334}
64-bit OS:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\UAM\Authenticators\{4A8F93E4-2328-44CA-8DBE-FBFA4E5FD334}
Order REG_DWORD 500
スマート・カード
32-bit OS:
HKEY_LOCAL_MACHINE\Software\Passlogix\UAM\Authenticators\{A1B34553-8D40-42A9-8ED5-F70E3497E138}
64-bit OS:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\UAM\Authenticators\{A1B34553-8D40-42A9-8ED5-F70E3497E138}
Order REG_DWORD 600
チャレンジ質問
32-bit OS:
HKEY_LOCAL_MACHINE\Software\Passlogix\UAM\Authenticators\{393D4B53-EC46-4A38-9E9E-3D6B5141DD34}
64-bit OS:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\UAM\Authenticators\{393D4B53-EC46-4A38-9E9E-3D6B5141DD34}
Order REG_DWORD 900
Windowsパスワード
32-bit OS:
HKEY_LOCAL_MACHINE\Software\Passlogix\UAM\Authenticators\{0C29417D-8A20-48B7-8CC4-D948D384E9B2}
64-bit OS:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Passlogix\UAM\Authenticators\{0C29417D-8A20-48B7-8CC4-D948D384E9B2}
Order REG_DWORD 999
|
注意: Orderキーが存在しない場合、デフォルトは800です。 |
ここでは、Universal Authentication Managerの様々な機能の動作を制御する、一般的なUniversal Authentication Managerのアプリケーション構成設定を示します。この設定の大部分は特定のコンピュータのすべてのユーザーに該当します。ほとんどの場合、これらの設定を変更する必要はありません。
| ターゲット | カテゴリ | タイプ | 名前 | 値 | 説明 | パス |
|---|---|---|---|---|---|---|
| Framework | General | DWORD | ClientMode |
Enterprise Client Mode (1) (デフォルト)またはLocal Client Mode (0) | Client Modeは、インストール時にLocalまたはEnterpriseに設定できます。 | 32-bit OS:
64-bit OS: |
| Framework | Logging | DWORD | SimpleLoggerOn |
Yes (1)またはNo (0) (デフォルト) | 監査およびログのデバッグのロギングをオンまたはオフにします。 | 32-bit OS:
|
| Framework | Logging | DWORD | SimpleLogger Level |
監査 - イベントの監査(0)、致命的エラーのみ(1)、ビジネス・ロジックのエラー(2)、警告 - 回復可能なエラー条件(3)、情報 - ビジネス・ロジック・フロー(4)、デバッグ - 追加のデバッグ情報(5) (デフォルト)、詳細 - 最大限のデバッグ情報(6) | 最大限のログ詳細度。各レベルには、それより小さな数値の前のレベルがすべて含まれます。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLoggerPath |
デフォルトはc:\uamlog.txtです | デバッグ・ログのパスとファイル名を指定します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLoggerAuditPath |
デフォルトはc:\uamadt.txtです | 監査ログのパスとファイル名を指定します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLogger ProcShow |
N/A | プロセス名で一致するログ・エントリのみを表示する正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLogger ProcHide |
N/A | プロセス名で一致するログ・エントリを非表示にする正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLogger FileShow |
N/A | ソース・ファイル名で一致するログ・エントリのみを表示する正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLogger FileHide |
N/A | ソース・ファイル名で一致するログ・エントリを非表示にする正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLoggerMsgShow |
N/A | ログ・エントリの内容に一致するログ・エントリのみを表示する正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | SZ | SimpleLoggerMsgHide |
N/A | ログ・エントリの内容に一致するログ・エントリを非表示にする正規表現。デフォルトでは、すべてのエントリを表示します。 | 32-bit OS:
|
| Framework | Logging | DWORD | SimpleLoggerRemote |
無効化(0)または有効化(1) | 有効な場合は、コンソール・セッションID、リモート・セッション・ステートおよびアプリケーションとサービス・プロセスの列を追加します。 | 32-bit OS:
|
| Framework | Logging | DWORD | SimpleLoggerFormat |
TXT (0)またはCSV (1) | ログ・ファイルの形式を制御します。注意: 監査ログは常にCSV形式です。 | 32-bit OS:
|
| Framework | Communication | DWORD | IpcTimeout |
デフォルトは5000ミリ秒です
許可される範囲は1ミリ秒から60000ミリ秒です |
Universal Authentication Managerクライアント・アプリケーションとUniversal Authentication Manager authサービスとの間の通信タイムアウトを制御します。変更の必要はありませんが、非常に低速なコンピュータでクライアント・アプリケーションを機能させる場合は、値を増やす必要があることがあります。 | 32-bit OS:
|
| Framework | Communication | DWORD | IpcRetries |
デフォルトの再試行回数は3回
許可される範囲は0回から10回の再試行です |
サービスの接続リトライ。変更の必要はありませんが、非常に低速なコンピュータでクライアント・アプリケーションを機能させる場合は、値を増やす必要があることがあります。 | 32-bit OS:
|
| Framework | User Resolution | DWORD | UserIDCacheSize |
デフォルトは5ユーザーです
許可される範囲は1ユーザーから2147483646ユーザーです |
接続されていないMRUのキャッシュへのユーザー・アイデンティティの数。同期中も使用されます。 | 32-bit OS:
|
| Framework | User Resolution | DWORD | UserResolve Timeout1 |
デフォルトは1000ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
キャッシュに戻る前に生存解決を待機する時間。 | 32-bit OS:
|
| Framework | User Resolution | DWORD | UserResolve Timeout2 |
デフォルトは5000ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
キャッシュが空のときに存在結果をさらに待機する時間。 | 32-bit OS:
|
| Framework | Enrollment | DWORD | PromptToken Description |
Descriptionにユーザーを表示する(1) (デフォルト)またはDescriptionにユーザーを表示しない(0) | 登録の際に、ユーザーにトークン説明の入力を求めます。入力を求めない場合は、デフォルトの説明が自動的に使用されます。 | 32-bit OS:
|
| Framework | Enrollment | DWORD | JitEnrolllPromptMode |
確認を要求 - ユーザーにYes/Noダイアログを表示(0) (デフォルト)、強制 - メッセージを表示して登録を強制(1)、サイレント - 警告なしで登録を開始(2)、なし - ジャストインタイムの登録を無効化/認証失敗(3) | ESSO-LM再認証時のジャストインタイム登録を許可したり、ユーザーに確認を要求したり、自動的に登録を強制する場合に構成します。 | 32-bit OS:
|
| Framework | Enrollment | DWORD | JitEnrollForceReauth |
無効化(0) (デフォルト)、有効化(1) | ESSO-LM再認証時のジャストインタイム登録で、第2の認証プロンプトを抑制するかどうかを制御します。有効にした場合、ユーザーは2回認証する必要があります。 | 32-bit OS:
|
| Framework | Reauthentication | DWORD | MaxAuthAttempts |
デフォルトは3回です
許可される範囲は1回から2147483646回の試行です |
再認証で許可される、連続した資格証明試行の回数。注意: Windowsパスワードの試行回数は、常に無制限です。 | 32-bit OS:
|
| Framework | Reauthentication | SZ | Default Authenticator |
なし(デフォルト)、指紋、近接型カード、スマート・カード、チャレンジ質問、Windowsパスワード | 最後に使用した方法を思い出すためにプリファレンスで使用するデフォルトのオーセンティケータ | 32-bit OS:
|
| Framework | Reauthentication | DWORD | HideAlways UseMethod |
チェックボックスの非表示(1)またはチェックボックスの表示(0) (デフォルト) | 「Always Use Method」チェックボックスの非表示または表示。 | 32-bit OS:
|
| 同期 | Sync Timeouts | DWORD | SyncData Timeout |
デフォルトは10000ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
フォアグラウンドのデータ同期の完了を待機する時間。 | 32-bit OS:
|
| 同期 | Sync Timeouts | DWORD | SyncPolicy Timeout |
デフォルトは10000ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
フォアグラウンドのポリシー同期の完了を待機する時間。 | 32-bit OS:
|
| 同期 | Per-Logon Sync | DWORD | SyncData AuthInterval |
デフォルトは0(常に同期)です
許可される範囲は1分から2147483646分です |
過去X分感にデータ同期が実行されていない場合にのみ、ログオン時にユーザー・データを同期 | 32-bit OS:
|
| 同期 | Per-Logon Sync | DWORD | SyncData AuthAsync |
非同期アップデート(1) (デフォルト)または同期アップデート(0) | ユーザー・データをログイン時に同期的に同期するか、または非同期で同期します。 | 32-bit OS:
|
| 同期 | Per-Logon Sync | DWORD | SyncPolicy AuthInterval |
デフォルトは0(常に同期)です
許可される範囲は1分から2147483646分です |
過去X分間にポリシーの同期が実行されていない場合み、ログオン時にユーザーのポリシーを同期します。 | 32-bit OS:
|
| 同期 | Per-Logon Sync | DWORD | SyncPolicy AuthAsync |
非同期アップデート(1) (デフォルト)または同期アップデート(0) | ログイン時にユーザー・ポリシーを同期的に同期するか、または非同期で同期します。 | 32-bit OS:
|
| 同期 | Background Sync | DWORD | SyncBackground |
無効化 - バックグランドで同期を行わない(0) (デフォルト)、有効化 - ポリシーおよびデータを同期(1)、ユーザー・データのみ同期(2)、ユーザー・ポリシーのみ同期(3) | キャッシュされたユーザー・ポリシーとデータについてバックグラウンド・サービスでの定期的な更新を有効化または無効化します。 | 32-bit OS:
|
| 同期 | Background Sync | DWORD | SyncBackground Interval |
デフォルトは90分です
許可される範囲は1分から2147483646分です |
キャッシュされたユーザー・ポリシーとデータについてバックグラウンド・サービスでの定期的な更新の間隔を設定します。 | 32-bit OS:
|
| クライアント | Enrollment | DWORD | DisplayEnroll Success |
デフォルトは5秒です
許可される範囲は1秒から2147483646秒です |
登録成功のダイアログ・ボックスを非表示または表示して、自動送信タイマーを構成します。 | 32-bit OS:
|
| ログオン | General | DWORD | RemoteSupportLogon |
有効化(1) (デフォルト)、無効化(0) | ログオン・アプリケーションで、リモート・デスクトップのサポートのオンまたはオフを切り替えます。フレームワークのサポートも有効にする必要があります。 | 32-bit OS:
|
| ログオン | General | REG_SZ | DefaultAuthenticator |
なし(デフォルト)、指紋、近接型カード、スマート・カード、チャレンジ質問、Windowsパスワード
実際の値は、それぞれのログオン方法のGUIDです(設定エディタで使用可能)。 |
最後に使用した方法を思い出すためにプリファレンスで使用するデフォルトのオーセンティケータ | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsのパスワード資格証明プロバイダの有効化または無効化(Windows 7)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsのスマート・カード資格証明プロバイダの有効化または無効化(Windows 7)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsの生体認証資格証明プロバイダの有効化または無効化(Windows 7)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsのパスワード資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsのスマート・カード資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsの生体認証資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft WindowsのPIN資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft Windowsのピクチャ資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| ログオン | Filters | DWORD | Disable |
有効化(可視)(0)、無効化(フィルタ処理済)(1) (デフォルト) | Microsoft WindowsのMicrosoftアカウント(Windows Live ID)資格証明プロバイダの有効化または無効化(Windows 8)。 | 32-bit OS:
|
| 近接型カード | General | DWORD | InsertionDelay |
デフォルトは0ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
連続する近接性トークンの挿入を受け入れる間の休止期間。 | 32-bit OS:
|
| 近接型カード | Omnikey Provider | DWORD | EnableOmnikey |
有効化(1) (デフォルト)、または無効化(0) | Omnikey近接型カード・プロバイダを有効化または無効化します。 | 32-bit OS:
|
| 近接型カード | Omnikey Provider | DWORD | MinPresence |
デフォルトは0ミリ秒です
許可される範囲は1ミリ秒から2147483646ミリ秒です |
近接型トークンを使用する前にトークンが存在する最短時間。注意: Omnikey 5125ドライバの不足を解消するには、1500以上を使用します。 | 32-bit OS:
|
| 近接型カード | RFIdeas Provider | DWORD | EnableRFIdeas |
有効化(1) (デフォルト)、または無効化(0) | RFIdeas近接型カード・プロバイダを有効化または無効化します。 | 32-bit OS:
|
| 近接型カード | RFIdeas Provider | DWORD | RFIdeasMinBits |
デフォルトは8ビットです
許可される範囲は0ビットから64ビットです |
シリアル番号として使用できる最小ビット数。 | 32-bit OS:
|
| 近接型カード | RFIdeas Provider | DWORD | RFIdeasSerial |
有効化(1)、または無効化(0) (デフォルト) | RFIdeasシリアルCOMポート・デバイスを有効化または無効化します。 | 32-bit OS:
|
| スマート・カード | General | SZ | DefaultProvider |
N/A | スマート・カードがどのプロバイダにもマップされない場合に使用するデフォルトのCSPプロバイダ名。例: Microsoft Base Smart Card Crypto Provider
Base CSPプロバイダ名以外の任意の値が、構成済PKCS#11 Providerにルーティングされます。 |
32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | Enabled |
有効化(1)、または無効化(0) (デフォルト) | Microsoft Base CSPのスマート・カード・オーセンティケータ・サポートを有効化または無効化します。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyUseKeyCipherCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化する場合は、(スマート・カードではなく)既存の鍵暗号化ツールの資格証明と鍵ペアを使用して、セッションの鍵をラップします。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyUseSmartCardCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化する場合は、(鍵暗号化ツールではなく)スマート・カードが使用する資格証明と鍵ペアを使用して、セッションの鍵をラップします。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyStrictKeyCipher |
無効化(0) (デフォルト)、有効化(1) | カードPINタイプのみ。有効化した場合、鍵暗号を使用せずに証明書および鍵ペアを無視します(スマート・カードの使用/不使用を問わず)。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyUseEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化する場合、各スマート・カードでカスタムRSA鍵ペアを生成し、セッションの鍵をラップします。カードで鍵を生成することはできません。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyRegenerateEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINタイプのみ。有効化し、カスタムESSO鍵ペアを使用する場合は、各登録時に既存の鍵ペアを削除して置き換えます。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyEssoKeyPairBits |
1024ビットから4096ビット。
デフォルトは2048ビット |
カードPINモードのみ。カスタムESSO鍵ペアを使用する場合、RSA鍵ペアで使用するビット数を指定します。カードは、ビット長をサポートする必要があります。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyPreferSmartCardCert |
有効化(1)、または無効化(0) (デフォルト) | カードPINタイプのみ。有効化する場合、スマート・カードが使用する資格証明の優先度を他の鍵暗号化ツールよりも高く指定します。無効化する場合は、最後の方法としてスマート・カードを使用します。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyPreferEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化する場合は、ESSO鍵ペア作成を既存の証明書の使用よりも優先度を高く指定します。無効化する場合は、既存の方法がない場合にのみカスタム鍵ペアを使用します。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyPromptIfMultipleCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。無効化する場合、無作為に証明書を選択します(最新の証明書の使用を試行することになります)。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyPromptAlways |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、使用可能な証明書が1つのみである場合にも、証明書の選択内容を確認するプロンプトが常に表示されます。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyPromptEssoKeyPair |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、カードに新しいESSO鍵ペアを作成する前に、ユーザーに警告と確認が表示されます。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyAllowAesKeys |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、(3DESキーよりも優先して)AES-256セッション鍵の作成を試みます。カードがAESをサポートしていない場合は3DESにダウングレードします。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyAllowDesKeys |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、(AESが有効でないか、サポートされない場合のみ)Triple DESセッション鍵の作成を試みます。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | StatusDelay |
整数値0ミリ秒から10000ミリ秒
0を指定すると更新を無効化します。 デフォルトは500ミリ秒 |
カードPINモードのみ。カード操作の更新を詳細なレベルで表示するようにミリ秒で時間指定します。0(ゼロ)は詳細なレベルの更新を無効化します。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | DWORD | SessionKeyCertCheckTime |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、Universal Authentication Managerはまだ有効でないか、期限切れの証明書を拒否します(既存の登録を無効にする場合もあります)。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | SZ | SessionKeyCertCheckDll |
N/A | (ICertificateCheckerを実装する)カスタム証明書チェッカDLLへのフルパス。Universal Authentication Managerでは、デフォルトではすべての証明書を使用できます。 | 32-bit OS:
|
| スマート・カード | Microsoft Base CSP Provider | SZ | SessionKeyCertCheckClsid |
デフォルトは{9EC6B854-FCAF-4FC1-99D6-99A7903AA357}です |
Cert Check DLLのオプションのCLSID。指定しない場合は、デフォルトの値が使用されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | Enabled |
有効化(1)、または無効化(0) (デフォルト) | PKCS#11のスマート・カード・オーセンティケータ・サポートを有効化または無効化します。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | SZ | PathFileName |
N/A | PKCS#11 DLLへの相対パスまたはフルパス。レジストリ・キー/値コンテンツに追加されます(ある場合)。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | SZ | PathRegKey |
N/A | PKCS#11 DLLパスやファイル名を読み取るレジストリ・キー。レジストリ値で使用されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | SZ | PathRegValue |
N/A | PKCS#11 DLLパスやファイル名を読み取るレジストリ値。レジストリ・キーで使用されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | CardTimeout |
デフォルトは2000ミリ秒です
許可される範囲は0ミリ秒から5000ミリ秒です |
PKCS#11 DLLパスやファイル名を読み取るレジストリ値。レジストリ・キーで使用されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SerialTimeout |
デフォルトは500ミリ秒です
許可される範囲は0ミリ秒から5000ミリ秒です |
挿入されたカードのシリアル情報をレポートするPKCS#11モジュールを待機する最大許容時間。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | NeverUnload Module |
使用後にDLLをアンロードする(0) (デフォルト)、DLLをアンロードしない(1) | 各プロセスでロードされたPKCS#11 DLLを常時保持するオプション。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | ExternalAuthMode |
スマート・カードPIN認証(0) (デフォルト)、PKCS#11保護認証フラグ(1)、外部認証の強制(2)、セッション・オブジェクトの作成(Morpho) (3) | スマート・カード認証の動作。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | ExternalAuthDialog |
ステータス・ダイアログの非表示(0)(デフォルト)、ステータス・ダイアログの表示(1) | 外部認証を実行するとき、ステータス・ダイアログを表示または非表示にします。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | ExternalEnrollMode |
認証モードの再認証(0) (デフォルト)、PIN + Morpho指紋登録(1)、スマート・カードPIN認証の強制(2) | スマート・カード登録の動作。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyUseCspForPki |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。認証とPKI固有の操作にPKCS11モジュールではなくCSPを使用します。ミドルウェアでサポートされている必要があります。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyUseKeyCipherCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化する場合は、(スマート・カードではなく)既存の鍵暗号化ツールの資格証明と鍵ペアを使用して、セッションの鍵をラップします。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyUseSmartCardCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化する場合は、(鍵暗号化ツールではなく)スマート・カードが使用する資格証明と鍵ペアを使用して、セッションの鍵をラップします。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyStrictKeyCipher |
無効化(0) (デフォルト)、有効化(1) | カードPINタイプのみ。有効化した場合、鍵暗号を使用せずに証明書および鍵ペアを無視します(スマート・カードの使用/不使用を問わず)。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyUseEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化する場合、各スマート・カードでカスタムRSA鍵ペアを生成し、セッションの鍵をラップします。カードで鍵を生成することはできません。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyRegenerateEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化し、カスタムESSO鍵ペアを使用する場合は、各登録時に既存の鍵ペアを削除して置き換えます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyEssoKeyPairBits |
1024ビットから4096ビット。
デフォルトは2048ビット |
カードPINモードのみ。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyPreferSmartCardCert |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化する場合、スマート・カードが使用する資格証明の優先度を他の鍵暗号化ツールよりも高く指定します。無効化する場合は、最後の方法としてスマート・カードを使用します。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyPreferEssoKeyPair |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化する場合は、ESSO鍵ペア作成を既存の証明書の使用よりも優先度を高く指定します。無効化する場合は、既存の方法がない場合にのみカスタム鍵ペアを使用します。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyPromptIfMultipleCerts |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、単一のタイプに複数の証明書が検出された場合、ユーザーに証明書の選択を求めます。無効化する場合、無作為に証明書を選択します(最新の証明書の使用を試行することになります)。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyPromptAlways |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、使用可能な証明書が1つのみである場合にも、証明書の選択内容を確認するプロンプトが常に表示されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyPromptEssoKeyPair |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、カードに新しいESSO鍵ペアを作成する前に、ユーザーに警告と確認が表示されます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyAllowAesKeys |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、(3DESキーよりも優先して)AES-256セッション鍵の作成を試みます。カードがAESをサポートしていない場合は3DESにダウングレードします。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyAllowDesKeys |
有効化(1) (デフォルト)、または無効化(0) | カードPINモードのみ。有効化すると、(AESが有効でないか、サポートされない場合のみ)Triple DESセッション鍵の作成を試みます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | StatusDelay |
整数値0ミリ秒から10000ミリ秒
0を指定すると更新を無効化します。 デフォルトは500ミリ秒 |
カードPINモードのみ。カード操作の更新を詳細なレベルで表示するようにミリ秒で時間指定します。0(ゼロ)は詳細なレベルの更新を無効化します。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | DWORD | SessionKeyCertCheckTime |
有効化(1)、または無効化(0) (デフォルト) | カードPINモードのみ。有効化すると、Universal Authentication Managerはまだ有効でないか、期限切れの証明書を拒否します(既存の登録を無効にする場合もあります)。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | SZ | SessionKeyCertCheckDll |
N/A | (ICertificateCheckerを実装する)カスタム証明書チェッカDLLへのフルパス。Universal Authentication Managerでは、デフォルトではすべての証明書を使用できます。 | 32-bit OS:
|
| スマート・カード | PKCS#11 Provider | SZ | SessionKeyCertCheckClsid |
デフォルトは{9EC6B854-FCAF-4FC1-99D6-99A7903AA357}です |
Cert Check DLLのオプションのCLSID。指定しない場合は、デフォルトの値が使用されます。 | 32-bit OS:
|
ブランディングに関する一般的な設定です。デプロイメントごとまたはコンピュータごとに、Universal Authentication Managerの特定のブランド化可能なテキストまたはグラフィック要素を顧客が変更できます。
| ターゲット | カテゴリ | タイプ | 名前 | 値 | 説明 | パス |
|---|---|---|---|---|---|---|
| Framework | Common | SZ | STR:Framework:136 |
ESSO-UAM | 製品の短縮名 | 32-bit OS:
|
| Framework | Common | SZ | STR:Framework:137 |
Oracle Enterprise Single Sign-On Universal Authentication Manager | 製品の正式名称 | 32-bit OS:
|
| Framework | Reauthentication | SZ | BMP:Framework:112 |
N/A | 再認証バナー(500x75) | 32-bit OS:
|
| Framework | Reauthentication | SZ | BMP:Framework:111 |
N/A | 再認証バンド(500x2) | 32-bit OS:
|
| 指紋 | General | SZ | STR:BiometricAuth:107 |
指紋 | オーセンティケータ名 | 32-bit OS:
|
| 指紋 | General | SZ | ICO:BiometricAuth:103 |
N/A | オーセンティケータ・アイコン(24x24) | 32-bit OS:
|
| 指紋 | General | SZ | ICO:BiometricAuth:109 |
N/A | オーセンティケータ・アイコン(48x48) | 32-bit OS:
|
| 指紋 | General | SZ | ICO:BiometricAuth:112 |
N/A | オーセンティケータ・アイコン(128x128) | 32-bit OS:
|
| 近接型カード | Sound Effects | SZ | WAV:ProxCardAuth:113 |
N/A | Omnikey: Undefined = デフォルトのサウンド、Blank = 無効化RFIdeas: デフォルトで無効化されています。有効化するには「DEFAULT」を使用します。 | 32-bit OS:
|
| 近接型カード | Sound Effects | SZ | WAV:ProxCardAuth:110 |
N/A | デフォルトで無効化されています。有効化するには「DEFAULT」を使用します。 | 32-bit OS:
|
| 近接型カード | Sound Effects | SZ | WAV:ProxCardAuth:112 |
N/A | MinPresenceが有効化されている場合、Omnikeyのみ対象です。Undefined = デフォルトのサウンド、Blank = 無効化 | 32-bit OS:
|
| 近接型カード | General | SZ | STR:ProxCardAuth:101 |
近接型カード | オーセンティケータ名 | 32-bit OS:
|
| 近接型カード | General | SZ | STR:ProxCardAuth:142 |
N/ASZ | デフォルト・トークンの説明。英数字および空白文字に制限。 | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:106 |
N/A | オーセンティケータなしアイコン(24x24) | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:109 |
N/A | オーセンティケータなしアイコン(48x48) | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:114 |
N/A | オーセンティケータなしアイコン(128x128) | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:107 |
N/A | オーセンティケータありアイコン(24x24) | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:108 |
N/A | オーセンティケータありアイコン(48x48) | 32-bit OS:
|
| 近接型カード | General | SZ | ICO:ProxCardAuth:115 |
N/A | オーセンティケータありアイコン(128x128) | 32-bit OS:
|
| スマート・カード | General | SZ | STR:SmartCardAuth:101 |
スマート・カード | オーセンティケータ名 | 32-bit OS:
|
| スマート・カード | General | SZ | STR:SmartCardAuth:173 |
自分のスマート・カード | デフォルト・トークンの説明。英数字および空白文字に制限。 | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:103 |
N/A | オーセンティケータなしアイコン(24x24) | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:110 |
N/A | オーセンティケータなしアイコン(48x48) | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:112 |
N/A | オーセンティケータなしアイコン(128x128) | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:108 |
N/A | オーセンティケータありアイコン(24x24) | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:109 |
N/A | オーセンティケータありアイコン(48x48) | 32-bit OS:
|
| スマート・カード | General | SZ | ICO:SmartCardAuth:113 |
N/A | オーセンティケータありアイコン(128x128) | 32-bit OS:
|
| チャレンジ質問 | General | SZ | ICO:PassphraseAuth:101 |
チャレンジ質問 | オーセンティケータ名 | 32-bit OS:
|
| チャレンジ質問 | General | SZ | ICO:PassphraseAuth:103 |
N/A | オーセンティケータ・アイコン(24x24) | 32-bit OS:
|
| チャレンジ質問 | General | SZ | ICO:PassphraseAuth:105 |
N/A | オーセンティケータ・アイコン(48x48) | 32-bit OS:
|
| チャレンジ質問 | General | SZ | ICO:PassphraseAuth:106 |
N/A | オーセンティケータ・アイコン(128x128) | 32-bit OS:
|
| Windowsパスワード | General | SZ | STR:WinPwdAuth:101 |
Windowsパスワード | オーセンティケータ名 | 32-bit OS:
|
| Windowsパスワード | General | SZ | ICO:WinPwdAuth:104 |
N/A | オーセンティケータ・アイコン(24x24) | 32-bit OS:
|
| Windowsパスワード | General | SZ | ICO:WinPwdAuth:103 |
N/A | オーセンティケータ・アイコン(48x48) | 32-bit OS:
|
| Windowsパスワード | General | SZ | ICO:WinPwdAuth:105 |
N/A | オーセンティケータ・アイコン(128x128) | 32-bit OS:
|
