Logon Manager
Oracle® Fusion Middleware Oracle Enterprise Single Sign-On Suiteでのアプリケーションへのアクセス 11g リリース3 (11.1.2.3) E61971-02 |
|
前 |
次 |
Logon Managerによって、ユーザーは、デスクトップ、ネットワーク、インターネット上のパスワードで保護されたアプリケーションに、1つのパスワードを使用してログオンできるようになります。プログラミングやネットワーク・インフラストラクチャの追加を行うことなく、実質的にすべてのアプリケーション(Windowsアプリケーション、Webアプリケーション、独自のアプリケーション、ホスト/メインフレームのアプリケーションなど)で、すぐに機能します。
Logon Managerはインテリジェントなエージェント・ソフトウェアです。個々のアプリケーションまたはWebサイトの資格証明(ユーザー名/ID、パスワードなどの情報)を記憶し、それらのログオン・リクエストに対して自動的に応答します。
Logon Managerをインストールすると、画面右下のWindowsシステム・トレイにLogon Managerトレイ・アイコンが表示されます。
このアイコンが表示されない場合は、次の手順に従ってLogon Managerを起動します。
「スタート」→「プログラム」の順にクリックします。
「Oracle」→「Logon Manager」の順に指定します。
「Logon Manager」をクリックします。
これでLogon Managerトレイ・アイコンがWindowsシステム・トレイに表示されます。「システム・トレイ・アイコン・メニュー・オプション」を参照してください。
Logon Managerソフトウェアをワークステーションにインストールすると、設定ウィザードにより、手順に従ってプライマリ・ログオンの情報を指定できます。
この手順は、プログラムの初回起動時に実行されます。
この章ではこれ以降、次のトピックについて説明します。
Windowsシステム・トレイのLogon Managerトレイ・アイコンをクリックすると、次に示すようにプログラム機能のショートカット・メニューが表示されます。
注意: 「Lock Session」オプションは、構成にKiosk Managerが含まれている場合にのみ使用できます。 |
システム・トレイ・アイコンが表示されない場合は、次の手順に従ってLogon Managerを起動します。
「スタート」→「プログラム」の順にクリックします。
「Oracle」→「Logon Manager」の順に指定します。
「Logon Manager」をクリックします。
次の表に、システム・トレイ・メニュー・オプションとその機能のリストを示します。
オプション | 機能 |
---|---|
Configure | Logon Managerを起動して格納されているアカウントを表示し、アカウントの追加、削除および変更、さらに構成設定の管理を行うことができます。 |
Help | オプションのサブメニューが表示されます:
|
Shut Down | Logon Managerを停止します。 |
Pause | 自動プロンプト機能と自動認識機能を含むLogon Managerのログオン機能、および次に示す「Log On Using Logon Manager」メニュー・オプションをオフにします。
注意: 管理者は、Logon Managerを一時停止する期間を制限するか、または完全に無効にするオプションを指定できます。 |
Lock Session | 現在のセッションをロックします(Kiosk Managerがインストールされている場合)。 |
Log On Using Logon Manager | ログオン・リクエストに対して情報を提供するようLogon Managerを設定します。このオプションを使用して、自動認識が無効の場合にLogon Managerを使用するように指定できます。
注意: 自動認識が有効になっている場合、Logon Managerは自動的にログオン・リクエストを認識し、格納されているログオン情報を提供します。 アプリケーションまたはWebサイトのログオンを設定していない場合、Logon Managerはその設定をユーザーに促します。 |
すべてのアプリケーションのウィンドウ・タイトル・バーに、Logon Managerのタイトル・バー・ボタンを配置できます。このボタンを使用すると、構成済のアプリケーションおよびWebサイトに簡単にログオンし、作業を進める上での新規アカウントを追加できます。
ログオンを使用または追加するためのショートカット・メニューが表示されるようタイトル・バー・ボタンを設定したり、メニューを省略して、タイトル・バー・ボタンをワンクリック・ログオン・コマンドとして使用できます。
タイトル・バー・ボタンの表示/非表示を切り替えるには、次の手順を実行します。
Logon Managerを開きます。
「Settings」パネルをクリックし、「Display」タブを選択します。
すべてのウィンドウ・タイトル・バーの「Display the Logon Manager」ボタンを選択して、タイトル・バー・ボタンをアクティブ化します。
「Provide a dropdown menu from title bar button」を選択してショートカット・メニューをアクティブ化するか、またはこのチェック・ボックスを選択解除してメニューを非アクティブ化します。このオプションを選択解除した場合、タイトル・バー・ボタンをクリックすると、アクティブなアプリケーションへのログオンが開始されます。
変更が完了したら、次のいずれかの操作を実行します。
「Apply」をクリックして変更を確認し、Logon Managerを閉じます。
「Apply」をクリックして変更を確認してから(Logon Managerを終了せずに)、他の「Settings」タブを選択します。
変更内容を破棄するには、「Cancel」をクリックします。
注意: タイトル・バー・ボタンおよびメニューを必要なときに非表示にするには、任意のアプリケーションのタイトル・バーでタイトル・バー・ボタンをクリックし、「Hide Title Bar Button」を選択します。 |
Logon Managerでは格納されているアカウントが表示され、アカウントの追加、削除および変更、さらに構成設定の管理を行うことができます。
Logon Managerを表示するには、Windowsシステム・トレイのLogon Managerトレイ・アイコンをクリックしてショートカット・メニューを表示します。「Configure」をクリックします。
アカウントを追加または作成すると、使用可能なアカウントがLogon Managerの「My Accounts」タブに表示されます。
Logon Managerの構成オプションは「Settings」パネルで使用できます。
「My Accounts」パネルには格納されているすべてのアカウントが表示され、アカウントの追加、削除、コピーおよび変更を行うことができます。より簡単にアクセスするため、リスト内の目的のアプリケーションを右クリックすると表示されるコンテキスト・メニューで、「Modify」、「Copy」および「Delete」コントロールを使用することもできます。次の表に、このパネルにおけるコントロールを示します。
アイコン | ラベル | 用途 |
---|---|---|
Add | 新規アカウントを設定するための「New Logon」ダイアログを起動します。 | |
Modify | 「Modify Account」ダイアログが起動して、個々のアカウントに関するアカウント情報または自動動作を変更できます。この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Modify」を選択してアクセスすることもできます。 | |
Copy | 選択したアカウントを複製します。新規アカウントはリストでアプリケーション名の最後に「(2)」が付いて表示されます。この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Copy」を選択してアクセスすることもできます。 | |
Delete | 選択したアカウントをLogon Managerから削除します。確認リクエスト「Are you sure you want to delete the selected item from your system?」が表示されます。「Yes」または「No」を選択します。
この機能には、目的のアプリケーションを右クリックして表示されるコンテキスト・メニューから「Delete」を選択してアクセスすることもできます。複数のアイテムを選択して一度に削除するには、[Shift]キーを押しながらクリックまたは[Ctrl]キーを押しながらクリックします。* *複数アイテム選択は、バージョン11.1.1.5.0における新機能です。 |
|
Reveal All | このアイコンは、「Details」ビューが選択されており、1つ以上のアイコンが定義されている場合にアクティブになります。「Reveal All」により、Logon Manager内のすべてのユーザー名/IDおよびパスワードが表示されます。(この機能は、管理者によってアクティブ化された場合のみ使用できます。) | |
View | 1つ以上のアカウントが定義されている場合に、アカウント表示を変更できるようになります。アイコン表示、リスト表示または詳細表示が可能です(Windowsエクスプローラの「表示」オプションと同じ)。「Details」が選択されていると、「Reveal All」オプションが有効になります。(この機能は、管理者によって非アクティブ化されていない場合に使用できます。) | |
Refresh | アカウント設定を管理者による変更で更新します。(この機能は、管理者によって非アクティブ化されていない場合に使用できます。) | |
Help | Logon Managerのヘルプ・ファイルを起動します。 |
管理者は2つ以上のアカウントが資格証明共有グループの中で同じユーザー名とパスワードを共有するよう構成する場合があります。一方のアカウントの資格証明が変更されると、資格証明共有グループ内の他方のアカウントの資格証明も変更されます。
1つのアプリケーションで複数の資格証明を必要とする場合(たとえば、Microsoft Outlookで複数のメール・アカウントを持つ場合)などでは、これらの追加の「アイデンティティ」(それぞれの資格証明が異なる)をこの機能から除外することが必要になることがあります。そのような場合には、新しいアカウントを除外するという選択肢があります。この機能は、管理者によって構成されます。
一部のアカウントは、Logon Managerでグレーのアイコンが付いたグレーのイタリック体テキストで表示されます。これらのアカウントを使用しようとしたり、(選択し「Modify」をクリックして)変更しようとすると、次のメッセージが表示されます。
Credential corresponds to an application that is not currently configured in Logon Manager.
このメッセージは、通常はLogon Managerが前のバージョンからアップグレードされたときに表示されます。これは、資格証明は安全に保存されているが、アプリケーション構成(Logon Managerに資格証明の配置場所を示す)もアップグレードする必要があることを意味します。管理者に連絡して、更新されたアカウントを入手してください。
Logon Managerの使用を開始する前に、設定ウィザードによって、Logon Managerで必要になる情報がすべて用意されているかどうかが確認されます。これは初回使用ウィザード(FTU)とも呼ばれます。Logon Managerを使用するために、リクエストされた情報を指定する必要があります。
注意: 設定ウィザードを取り消した場合、このウィザードを完了するまではLogon Managerを起動するたびに再表示されます。 |
このウィザードでは、次のタスクのいずれかまたは両方を実行します。
ログオン方法を選択して新しいLogon Managerユーザーを作成する。
特定のアプリケーションのアカウント情報を追加する。
注意: 設定ウィザードでは、選択したインストール・オプションおよびネットワークの構成に応じて、前述のタスクのいずれかをスキップする場合があります。 |
このページには、Logon Managerのローカル・インストールに必要な設定タスクが表示されます。
設定を開始するには、「Next」をクリックします。
ログオン方法(オーセンティケータとも呼ばれます)とは、パスワードで保護されたアプリケーションにアクセスする方法のことです。複数のオーセンティケータをインストールするように選択できますが、選択したプライマリ・ログオン方法により、Logon Managerが使用する最初のオーセンティケータが決定されます。
最初にLogon Managerを設定する際に、プライマリ・ログオン方法を選択するように求められます。ワークステーションおよびネットワークの認可ユーザーは、オーセンティケータに提示する資格証明(ユーザー名/ID、パスワードなどの情報)によって識別されます。
ほとんどの場合、プライマリ・ログオンはWindows Logon v2で、プライマリ・アカウントの資格証明はWindowsのユーザー名/ID、パスワードおよびネットワーク・ドメインです。
Logon Managerでは、Windowsアプリケーション、ホスト/メインフレーム・アプリケーション、パスワードで保護されているWebサイトなど、パスワードを必要とするあらゆる環境にプライマリ・ログオン方法を使用できます。プライマリ・ログオン情報を使用することによって、ユーザーが最初にログオンしたユーザーと同じユーザーであることが確認されます。
ドロップダウン・リスト・ボックスから、プライマリ・ログオン方法として使用するオーセンティケータを選択します。通常のインストールでは、これは「Windows Logon v2」です。これは、パスワードで保護されたアプリケーションにアクセスする際に、Windowsパスワードを使用することを意味します。
ネットワーク・リソースおよび管理によっては、選択できるプライマリ・ログオン方法が他にもある場合があります。使用可能なオーセンティケータは次のとおりです。
Windows Logon v2。Windowsへのログオンにより、Logon Managerへのログオンを可能にします。
「Windows Logon v2」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問に対する回答を入力し(最小長に注意)、「OK」をクリックします。
Windows Logon。Windowsへのログオンにより、Logon Managerへのログオンを可能にします。(このオーセンティケータはバージョン11.1.2から非推奨になりました。)
LDAP。LDAPディレクトリへのログオンにより、Logon Managerへのログオンを可能にします。
LDAP v2。LDAPディレクトリへのログオンにより、Logon Managerへのログオンを可能にします。
「LDAP v2」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問に対する回答を入力し(最小長に注意)、「OK」をクリックします。
Entrust。Entrust PKIおよびEntelligenceクライアントへのログオンにより、Logon Managerへのログオンを可能にします。
Proximity Card。HID近接型カードによる認証をサポートしています。
Smart Card。MS-CAPI対応スマート・カードを使用することにより、Logon Managerへのログオンを可能にします。
「Smart Card」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問に対する回答を入力し(最小長に注意)、「OK」をクリックします。
Read-Only Smart Card。読取り専用スマート・カードを使用することにより、Logon Managerへのログオンを可能にします。
RSA SecurID。RSA SecurIDトークンが生成したワンタイム・パスワードを使用することにより、Logon Managerへのログオンを可能にします。
Authentication Manager。Logon Managerに対する認証のために複数のログオン方法を許可する機能を追加します。これは、スマート・カード、近接型カード、読取り専用スマート・カードなどの強力な各種オーセンティケータ・オプションをサポートします。
Universal Authentication Manager。このオプションは、Universal Authentication Managerクライアントもインストールされている場合に使用可能で、次の強力な各種オーセンティケータ・オプションによってLogon Managerに認証機能を追加します。
Windows Password。標準のWindowsパスワード。
Fingerprint。登録時に1つ以上の指紋をスキャンする必要があります。
Smart Card。MS-CAPI対応スマート・カードを使用することにより、Logon Managerへのログオンを可能にします。
「Smart Card」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問に対する回答を入力し(最小長に注意)、「OK」をクリックします。
Proximity Card。HID近接型カードによる認証をサポートしています。
Challenge Questions。登録時にインタビューを行うため、一連の事前構成された質問が表示されます。認証時には、これらの質問の1つ以上に同じ回答をする必要があります。
注意: 前述のUniversal Authentication Managerログオン方法のいずれかを選択したが、以前にこれらの手法のいずれでも登録していない場合は、登録するように求められます。登録するまで選択したログオン方法は使用できません。 |
選択したら、「Next」をクリックして続行します。
Universal Authentication Managerでの登録および使用の詳細は、第5章「Universal Authentication Managerを使用した厳密認証」を参照してください。
選択したオーセンティケータに応じて追加の手順を実行し、ウィザードを完了する必要があります。
「Windows Logon」の場合:
プライマリ・ログオン方法として「Windows Logon」を選択した場合は、Windowsネットワーク・ログオン・プロンプトが表示されます。表示されたユーザー名およびドメインに対してWindowsネットワーク・パスワードを入力し、「OK」をクリックします。
「Smart Card」ログオンの場合:
プライマリ・ログオン方法としてスマート・カードを選択した場合、スマート・カード・プロンプトが表示されます。スマート・カードを挿入してから、PINを入力します。「OK」をクリックします。
「Windows Logon v2」、「Smart Card」または「LDAP v2」の場合:
「Windows Logon v2」、「Smart Card」または「LDAP v2」を選択した場合、システム構成に応じて、1つ以上のパスフレーズ質問が表示されることがあります。これはセキュリティ強化のために使用されます。表示された質問に対する回答を入力し(最小長に注意)、「OK」をクリックします。
注意: プライマリ・ログオン方法の確認時に「Change Passphrase」オプションを選択することにより、後からいつでもパスフレーズを変更できます。 |
プライマリ・ログオン方法はいつでも変更でき、必要に応じてオーセンティケータをインストールまたは削除できます。
Windowsシステム・トレイのLogon Managerトレイ・アイコンをクリックして、ショートカット・メニューを表示し、「Configure」を選択します。
Logon Managerで「Settings」パネルを選択します。
「Authentication」タブをクリックします。
「Primary Logon Method」の下にある「Change」をクリックします。
設定ウィザードにより、プライマリ・ログオンを変更するために実行する手順がリスト表示されます。「次へ」をクリックして続行します。
現在のプライマリ・ログオンを指定するよう求められます。プライマリ・ログオン・パスワードを入力してから「OK」をクリックします。
設定ウィザードにより、プライマリ・ログオンの選択ページが表示されます。ドロップダウン・リスト・ボックスからプライマリ・ログオン方法を選択し、「Next」をクリックして続行します。
新しいプライマリ・ログオン資格証明を求めるプロンプトを受け取ります。ユーザーIDとパスワードを入力し、追加情報を入力または選択して、「OK」をクリックします。
注意: 新しいプライマリ・ログオンがスマート・カードである場合、リーダーにカードを挿入し、暗証番号(PIN)を入力するよう求められます。新しいプライマリ・ログオンが生体認証デバイスである場合、指紋リーダーに指を置くよう求められます。 |
設定ウィザードにより、新規認証が成功したことが確認されます。
次のいずれかを実行できます。
変更を取り消して以前のプライマリ・ログオン方法をリストアするには、「Cancel」をクリックします。
または
プライマリ・ログオンの変更を完了するには、「Finish」をクリックします。「Primary Logon Method」ダイアログが表示されます。「Close」をクリックして閉じます。
ユーザーがワークステーションに最初にログオンしたユーザーと同じユーザーであることを確認するために、定期的にチェックするようにLogon Managerを構成できます。
パスワードで保護されたアプリケーションを起動し、最後の自動ログオンから指定した間隔(デフォルトは15分)が経過すると、Logon Managerによってプライマリ・ログオン・パスワードが要求されます。プライマリ・ログオンとして、パスワード以外のログオン方法(スマート・カード、バイオメトリック、生体認証)を使用している場合、適切な認証方法(PIN、指紋など)の指定が求められます。
また、アプリケーションのパスワードを変更した場合、その他のアカウント管理タスクを実行した場合、またはアプリケーション自体がこのチェックを必要としている場合、Logon Managerはチェックを自動的に実行します。
間隔を変更したり、この機能をオフにするには、「Settings」パネルの「Authentication」タブで「Timer」設定を変更します。
Logon Managerをインストールしたときに、1つ以上のオーセンティケータをインストールするオプションがありました。その時点でオーセンティケータをすべてインストールしたわけではない場合は、この手順によってインストールできます。現在インストールされているオーセンティケータは、「Primary Logon Method」ダイアログにリストされます。
注意: プライマリ・ログオン方法をインストールおよび削除する次の手順は、通常は管理者が実行するために用意されています。 |
コントロール・パネルを開き「プログラムと機能」をダブルクリックします。
「Logon Manager」を選択します。
「Change」をクリックします。
Logon ManagerのInstallShieldウィザードが表示されます。画面に目を通してから、「Next」をクリックします。
「Modify」オプションを選択し、「Next」をクリックします。
「Authenticators」の横にあるプラス記号("+")をクリックして、リストを展開します。
インストールするオーセンティケータの横にあるXアイコンをクリックします。
ショートカット・メニューから、「This feature will be installed on the local hard drive」を選択します。
ステップ7および8を繰り返して、オーセンティケータを追加インストールします。
「Next」をクリックします。
画面に目を通してから、「Next」をクリックします。
画面のプロンプトに従います。
アカウントとは、アプリケーションの認証に使用する資格証明のセットです。構成に応じて、単一のアプリケーションに複数のログオンを行うことが可能で、それぞれが1つのアカウントとみなされます。
Logon Managerには、アカウントの作成、変更および削除を行う手段が用意されています。また、アカウントを使用すると、プログラムが応答する必要がないアプリケーションを除外できます(管理者は必要に応じてプログラムも除外できますが、この場合ユーザーがアプリケーションに対してログオンを構成するためのオプションは存在しません)。
この項では、アカウントの取扱い方法について説明します。
Logon Managerでは、次の2つの方法でアカウントを作成できます。
Logon Managerを使用してアカウントを作成し、資格証明の構成、編集および管理を行うことができます。
資格証明を必要とするアプリケーションを起動したときに、オンザフライでアカウントを作成できます。次の2つのいずれかの方法で作成します。
資格証明の自動取得。デフォルトでは、ログオンを必要とするアプリケーションをユーザーが初めて使用すると、Logon Managerは、そのユーザーが入力した資格証明を自動的に取得します。構成によっては、資格証明を確認して許可する必要があります。詳細は、「資格証明の自動取得」を参照してください。
自動プロンプトの使用。管理者が資格証明の自動取得を無効にしている場合、Logon Managerはアプリケーションのログオン・リクエストを検出して、「New Logon」ダイアログを表示します。これで、ログオン時に資格証明を保存できます。詳細は、「自動プロンプトを使用したアカウントの設定」を参照してください。
多くのアプリケーション(パスワードの入力と確認を必要とするアプリケーションや複数の場所にアカウントを持つWebページなど)は、複数のフィールドに同じ資格証明を入力する必要があります。また、一部のアプリケーションでは、ユーザー名とパスワード以外のフィールドにも資格証明の入力が求められることもあります。Logon Managerの機能を最大限に活用するためには、このようなアプリケーションについて管理者による事前構成が必要です。*
*この機能はバージョン11.1.1.5.0での新機能です。
Logon Managerで、「Add」をクリックして新しいアカウントを設定します。「New Logon」ダイアログが表示されます。
多くの場合、Logon Managerのインストールには、管理者による事前構成済のアプリケーションがすでに含まれています。そのようなアプリケーションは、この手順で選択して使用できます。次の項では、「New Logon」ダイアログを使用してアカウントを追加する方法を、アプリケーション・タイプごとに説明します。
この手順はタイプごとに類似しています。ユーザーはアプリケーションを識別してから、資格証明(アプリケーションで入力を要求されるユーザー名/ID、パスワードおよびその他の情報)を指定します。
Logon Managerで構成されていないWindowsアプリケーションのアカウントを追加する場合は、「Username/ID」および「Password」フィールドをポイントおよびクリックすると、これらのフィールドの確認が求められます。
単一アプリケーションに複数のアカウントを作成するオプションも提供されます。これは、複数の資格証明セットがあるアプリケーションに有用であり、たとえば1つのアカウントに複数の電子メール・アカウントがある場合などが挙げられます。
Logon Managerで複数のアカウントを持つアプリケーションが検出された場合は、「Logon Chooser」ダイアログが表示され、使用するアカウントをここで選択できます。
Windowsアプリケーションのアカウントを追加するには、次の手順を実行します。
「New Logon」ダイアログで、「Windows」オプションを選択し、ドロップダウン・リスト・ボックスからアプリケーションを選択します。追加するアプリケーションがリストされていない場合は、「リストされていないWindowsアプリケーションのアカウントの追加」を参照してください。
「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明の入力を求められます。
アプリケーションの「Username/ID」を入力してから、「Password」を入力し、確認します。「Reveal」をクリックするとパスワードを表示できます。
注意: 設定するアプリケーションの要件に応じて、Microsoft Outlookのドメイン名などの追加フィールドの入力が求められる場合があります。同様に、一部のアプリケーションでは、ユーザー名およびIDは必要ありません。そのような場合は、「Username/ID」ボックスは使用できません。 RSA SecurIDアプリケーションを設定している場合、「PIN」および「Software Token」の入力が求められます。PINは、RSAミドルウェアを介して設定されます。「Software Token」フィールドは、使用可能なトークンのシリアル番号が検出されると自動的に移入されます。 |
次のいずれかを行います。
「Finish」をクリックします。Logon Managerは「My Accounts」パネルに戻り、ここに先ほど作成したアカウントがリストされます。
または
設定が使用可能で選択した場合は、「Add another set of credentials」を選択して、「Finish」をクリックします。Logon Managerでは、「My Accounts」パネルにアカウントが追加され、「New Logon」ダイアログが再表示されます。
注意: 資格証明共有グループの一部である既存のアプリケーションについて新規アカウントを追加する場合は、「Exclude from credential sharing group」を選択します。このアプリケーションについて作成した最初のアカウントの場合は、このチェック・ボックスを選択解除したままにします。詳細は、「資格証明共有グループ」を参照してください。 |
管理者の設定によりますが、事前定義のアプリケーション・リストにはないアプリケーションのログオンを追加できる場合があります。この手順の説明を次に示します。
アカウントを設定するWindowsアプリケーションを開きます。これはターゲット・アプリケーションです。
注意: ターゲット・アプリケーションで認証用の3つ以上のフィールドが必要である場合、この手順では管理者がフィールドのテンプレートを作成する必要があります。管理者に連絡してください。 |
ターゲット・アプリケーションの「Logon」ダイアログが表示されたら、Logon Managerに切り替えます。Logon Managerおよびターゲット・アプリケーションの「Logon」ダイアログの両方が表示されるように、ウィンドウを並べ替えます。
「New Logon」ダイアログで、「Windows」オプションを選択し、ドロップダウン・リスト・ボックスから「Application not in list」(デフォルト)を選択します。
ターゲット・アプリケーションの「Application Name」およびオプションで「Description」を入力します。
「Next」をクリックします。
「New Logon」には2つのアイコンが表示されます。
「Username/ID」アイコンをクリックしてから、ターゲット・アプリケーションの「Logon」ダイアログで「Username」または「User ID」フィールドをクリックします。アイコンの上に緑色のチェック・マークが表示されます。
「Password」アイコンをクリックしてから、ターゲット・アプリケーションの「Logon」ダイアログで「Password」フィールドをクリックします。アイコンの上に緑色のチェック・マークが表示されます。
「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明の入力を求められます。
アプリケーションの「Username/ID」を入力してから、「Password」を入力します。「Confirm Password」フィールドにパスワードを再入力します。(「Reveal」をクリックするとパスワードを表示できます。)
次のいずれかを行います。
「Finish」をクリックします。Logon Managerは「My Accounts」パネルに戻り、ここに先ほど作成したアカウントがリストされます。
または
設定が使用可能で選択した場合は、「Add another set of credentials」を選択して、このプロセスを繰り返します。次に、「Finish」をクリックします。Logon Managerでは、「My Accounts」パネルにアカウントが追加され、「New Logon」ダイアログが再表示されます。
注意: RSA SecurIDアプリケーションを設定している場合、「PIN」および「Software Token」の入力が求められます。PINは、RSAミドルウェアを介して設定されます。「Software Token」フィールドは、使用可能なトークンのシリアル番号が検出されると自動的に移入されます。 |
「New Logon」ダイアログで、「Web」オプションを選択し、ドロップダウン・リストからWebサイトを選択します。追加するWebサイトがリストにない場合は、「リストされていないWebサイトのアカウントの追加」を参照してください。
「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明の入力を求められます。
アプリケーションの「Username/ID」を入力してから、「Password」を入力します。「Confirm Password」フィールドにパスワードを再入力します。(「Reveal」をクリックするとパスワードを表示できます。)
次のいずれかを行います。
「Finish」をクリックします。Logon Managerは「My Accounts」パネルに戻り、ここに先ほど作成したアカウントがリストされます。
または
設定が使用可能で選択した場合は、「Add another set of credentials」を選択して、このプロセスを繰り返します。次に、「Finish」をクリックします。Logon Managerでは、「My Accounts」パネルにアカウントが追加され、「New Logon」ダイアログが再表示されます。
注意: 資格証明共有グループの一部である既存のアプリケーションに対して新しいアカウントを追加する場合は、「Exclude from credential sharing group」を選択します。このアプリケーションについて作成した最初のアカウントの場合は、このチェック・ボックスを選択解除したままにします。詳細は、「資格証明を共有するアカウント」を参照してください。 |
「New Logon」ダイアログで、「Web」オプションを選択します。ドロップダウン・リスト・ボックスから「Web application not in list」(デフォルト・オプション)を選択します。Webアドレスを入力するテキスト・ボックスが表示されます。
注意: ターゲットWebサイトで認証用の3つ以上のフィールドが必要である場合、この手順では管理者リソースが必要です。管理者に連絡してください。 |
アカウントを設定するWebサイトの「URL」を入力します。
URLにhttp://またはhttps://などのURLプロトコルを含めないでください。
「Application Name」およびオプションで「Description」を入力します。
「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明の入力を求められます。
アプリケーションの「Username/ID」を入力してから、「Password」を入力します。「Confirm Password」フィールドにパスワードを再入力します。(「Reveal」をクリックするとパスワードを表示できます。)
次のいずれかを行います。
「Finish」をクリックします。Logon Managerは「My Accounts」パネルに戻り、ここに先ほど作成したアカウントがリストされます。
または
設定が使用可能で選択した場合は、「Add another set of credentials」を選択して、このプロセスを繰り返します。次に、「Finish」をクリックします。Logon Managerでは、「My Accounts」パネルにアカウントが追加され、「New Logon」ダイアログが再表示されます。
「New Logon」ダイアログで、「Mainframe」オプションを選択し、ドロップダウン・リスト・ボックスからアプリケーションを選択します。「Application Name」フィールドにターゲット・アプリケーションを入力し、オプションで「Description」を入力します。
「Next」をクリックします。「New Logon」ダイアログが表示され、資格証明の入力を求められます。
アプリケーションの「Username/ID」を入力してから、「Password」を入力します。「Confirm Password」フィールドにパスワードを再入力します。(「Reveal」をクリックするとパスワードを表示できます。)
次のいずれかを行います。
「Finish」をクリックします。Logon Managerは「My Accounts」パネルに戻り、ここに先ほど作成したアカウントがリストされます。
または
設定が使用可能で選択した場合は、「Add another set of credentials」を選択して、このプロセスを繰り返します。次に、「Finish」をクリックします。Logon Managerでは、「My Accounts」パネルにアカウントが追加され、「New Logon」ダイアログが再表示されます。
自動プロンプト機能を使用するには、「Settings」パネルの「Response」タブでこの機能をアクティブ化する必要があります。
Logon Managerを開きます。
「Settings」パネルをクリックし、「Response」タブを選択します。
「Auto-Prompt」チェック・ボックスが選択されていることを確認します。選択されていない場合は選択し、「Submit」をクリックします。
注意: 自動プロンプト機能は、Logon Managerのインストール時にデフォルトで有効になります。管理者は、すべてのユーザーについて自動プロンプトを有効または無効にできます。 |
自動プロンプトが有効な場合、パスワード保護されたアプリケーションまたはWebサイトにアクセスすると、Logon Managerによって自動検出されます。そのアプリケーションまたはWebサイトに対する資格証明をすでに提供済の場合、Logon Managerでは資格証明が適切なフィールドに自動入力され、ログオンが行われます。
資格証明がすでに提供済であるアカウントの例:
すでに資格証明を提供済であるアプリケーションである、Lotus Notesを起動します。プログラムを開くとすぐに、Logon Managerではこのログオン画面の資格証明に関するリクエストが認識されます。
Logon Managerにより該当するフィールドにパスワードが入力され、「OK」ボタンがクリックされ、Lotus Notesへのログオンが行われます。
資格証明を提供済ではないアカウントの例:
対照的に、資格証明を提供済ではないアプリケーションまたはWebサイトを起動したとします。
Logon Managerで、資格証明を以前に格納していないアプリケーションが検出された場合、「New Logon」ダイアログが表示され、アプリケーションのアカウント情報の追加が求められます(ただし、管理者が自動プロンプト機能を無効にしている場合を除きます)。
「New Logon」ダイアログが表示されたら、次のいずれかを実行します。
アプリケーションのアカウントを追加する場合は、表示されたフィールドに値を入力し、「OK」をクリックします。この情報はLogon Managerに格納され、このアプリケーションを起動すると、自動的にログオンが行われます。
アプリケーションのアカウントの追加を一時的に遅延する場合は、「Cancel」をクリックします(使用可能な場合)。アプリケーションを次回起動すると、Logon Managerによってアカウントの追加が求められます。
検出されたアプリケーションに対する新規ログオン・プロンプトを永続的に無効にする場合は、「Disable」をクリックします(使用可能な場合)。Logon Managerでは、そのアプリケーションのアカウントの追加を促すプロンプトが表示されなくなり、そのアプリケーションは「Settings」パネルの「Exclusions」タブにある無効化されたアプリケーションのリストに追加されます。
注意: アプリケーションの無効化を選択した場合、そのアプリケーションを再度有効にするにはLogon Managerトレイ・アイコンから「Log On Using Logon Manager」を選択します。将来、Logon Managerがアプリケーションの次回起動時に自動的に資格証明の入力を求めるよう指定する場合は、「Exclusions」リストからそのアプリケーションを削除します。 |
管理者は、資格証明共有グループと呼ばれる、同じ資格証明を使用するアカウントのグループを作成できます。資格証明共有グループから最初のアカウントが追加される場合は、ユーザーが自分の資格証明を入力できるように、フィールドが空の状態の「New Logon」ダイアログが表示されます。後続のアカウントを作成するグループ内のユーザーに対して表示される「New Logon」ダイアログは、管理者のプリファレンスに応じて、フィールドが空で編集可能であるか、または事前移入されており編集不可となります。
メンバーがグループ外のアカウントを作成できるように、管理者が資格証明共有グループを構成している場合は、「New Logon」ダイアログに「Exclude account from credential sharing groups」の設定が含まれます。その場合は、自分で選択した情報によって共有資格証明のフィールドを編集できます。共有フィールドを編集可能にするには、「Exclude account from credential sharing groups」を選択します。
管理者は、資格証明を透過的に取得するようアプリケーションを構成する場合があります。このようなアプリケーションを起動すると、Logon Managerはユーザーによる資格証明の入力を待機し、入力された資格証明を取得します。管理者の構成に応じて、このモードでの資格証明の入力が終了すると、次のいずれかが実行されます。
Logon Managerは通知することなく資格証明を取得します。
資格証明が取得中であることを通知するバルーン・ヒントがシステム・トレイ・メニューに表示されます。後で資格証明を検証する必要はありません。
資格証明が取得中であることを通知するバルーン・ヒントがシステム・トレイ・メニューに表示され、フィールドに入力データがすでに移入された「New Logon」ダイアログが表示されます。情報が正しいことを確認し、必要に応じて編集することができ、「Save」をクリックします。
以前「Exclusions」タブのリストにアプリケーションを追加した場合、または管理者がアプリケーションからユーザー・アカウントを除外した場合(詳細は、「アカウントの管理」の「管理者によって構成された除外」を参照してください)、Logon Managerはアプリケーションを無視します。追加した資格証明は取得されず、「New Logon」ダイアログが表示されないか、または資格証明が取得されていないことが通知されます。
この機能は、バージョン11.1.1.5.0における新機能です。
「My Accounts」ビューの「Modify」アイコンをクリックするか、またはアカウントをダブルクリックして、個々のアカウントに関するアカウント情報または自動動作を変更できます。このダイアログから、次のことが実行できます。
アカウントがアプリケーションに送信する「Username/ID」、「Password」またはその他のフィールドを変更します。
アプリケーション情報を編集します。「Username/ID」、「Password」、「ApplicationName」および「Description」を編集します。
選択したアカウントの自動レスポンス・オプションのオン/オフを切り替えます。
Auto-Recognize。この設定は、アプリケーションからリクエストされた場合にLogon Managerが資格証明を自動的に提供するかどうかを指定します。
この機能を有効にすると、Logon ManagerはアプリケーションおよびWebサイトを認識し、自動的にログオンを実行します。
この機能が有効でない場合、Logon Managerがログオン・リクエストに応答するよう手動でリクエストする必要があります。これは、システム・トレイ・アイコン・メニューから実行できます。「Log On Using Logon Manager」を選択します。
「Auto-Recognize」チェック・ボックスは、次の3つの状態が考えられます。
チェックマークが空白であると、選択したアプリケーションでオフになっていることを示します。
チェックマークが付けられていると、選択したアプリケーションでオンになっていることを示します。
緑色のボックスは、グローバル設定により選択したアプリケーションのアクションが定義されていることを示します。
Auto-Submit。この設定は、Logon Managerがアプリケーションに対して資格証明を自動送信するかどうかを指定します。たとえば、ログオンを開始するには、「OK」、「Submit」、または「Enter」を選択します。
注意: システム構成によって、「Auto-Recognize」および「Auto-Submit」オプションを使用できる場合とそうでない場合があります。すべてのアプリケーションに対して自動認識をグローバルに設定するには、「Settings」パネルの「Response」タブにある「Auto-Recognize」オプションを使用します。 このダイアログの設定は、グローバルな「Auto-Recognize」の設定より優先されます。 |
Logon Managerを開きます。
「My Accounts」パネルで、アカウントを選択します。
リストでアカウントをハイライト表示し、「Modify」アイコンをクリックするか、またはアカウントをダブルクリックします。選択したアカウントの「Modify」ダイアログが表示されます。
注意: アカウントがグレーのテキストで表示されている場合に「Modify」をクリックすると、「Credential corresponds to an application that is not currently configured in Logon Manager」というメッセージが表示されます。詳細は、「構成済資格証明なしのアカウント」を参照してください。 |
必要に応じて情報を変更します。
変更が完了したら、「OK」をクリックします。
アカウントを作成すると、日常業務の中で、Logon Managerが複数の方法で応答可能なアプリケーションや、ユーザーからの追加情報を必要とするアプリケーションへの対応が必要な場合があります。このような場合は、次のいずれかのダイアログが表示されます。
Action Chooser
Logon Chooser
Retry Logon
ログオン・ループ
ログオンおよびパスワード変更のフィールドが同じウィンドウに表示されるアプリケーションをLogon Managerが検出した場合、「Action Chooser」ダイアログでは、アプリケーションにログオンするか、またはアプリケーションのパスワードを変更するかを選択するためのプロンプトが表示されます。
目的のアクションを選択するには:
アクションを選択します。
「OK」をクリックします。
同じアプリケーションに対して、2つ以上の異なる資格証明セットを所有する場合があります。その場合、すべてのアカウントを認識して、どのアカウントでログオンするかを選択するように、Logon Managerを設定できます。
アプリケーションまたはWebサイトを開くと、「Logon Chooser」により、使用するアカウントを選択するように求められます。
列はすべて、列名見出しをクリックすることでソートできます。ソート順序を選択すると、順序が保持され、次回このダイアログが表示されたときに同じ列がソートされます。
次のいずれかを行います。
ログオンに使用するアカウントを選択して、「OK」をクリックします。
「Add」をクリックして、このアプリケーションの別のアカウントを追加します。
「Cancel」をクリックしてこのダイアログを閉じます。Logon Managerによるアプリケーションへのログオンは行われません。
自動認識機能を有効にすると、Logon Managerは、アプリケーションおよびWebサイトからのログオンおよびパスワード変更のリクエストを自動的に検出して、これに応答します。
アカウントの設定時に不正なパスワードを入力したか、または別のワークステーションからアプリケーションのパスワードを変更した場合、Logon Managerは誤ったパスワードを指定します。この場合、アプリケーションはログオン・リクエストを繰り返し、Logon Managerは「Retry Logon」ダイアログを表示して、「Username/ID」、「Password」および必要な場合は追加のログオン・フィールドをレビューするように求められます。
間違ったパスワードを入力した場合、または別のコンピュータからパスワードが変更された場合は、「Retry Logon」ダイアログ・ボックスが表示されます。このダイアログでは、「Username/ID」、「Password」および必要に応じて追加のログオン・フィールドの精度をレビューするように求められます。
次のいずれかを行います。
「Reveal」をクリックして、入力したパスワードを表示します。
必要に応じてアカウント情報を編集し、「OK」をクリックしてログオンを再試行します。
注意: 「Save Changes」チェック・ボックスを選択すると、Logon Managerでは、次回このアプリケーションまたはWebサイトにログオンしたときに同じ資格証明が使用されます。入力した新しい資格証明を将来使用するために保存しない場合は、このオプションを選択解除します。 |
Logon Managerを再起動するか、またはLogon Managerでアカウントを変更するまで、アプリケーションまたはWebサイトのログオン試行を一切停止するには、「Cancel」をクリックします。
Webメール・サービスなどの一部のアプリケーションでは、ログアウトするとログオン・ページが表示されるため、Logon Managerがログオン・フォームを認識して、アプリケーションに自動的に再度ログオンしてしまいます。これにより、エンドレスなログオン・ループが発生し、ユーザーはアプリケーションからログアウトできなくなります。このループを回避するために、管理者はログオン猶予期間の機能を有効にして、最後のログオンから特定の期間中はLogon Managerによるアプリケーションへのログオンが行われないようにすることができます。
また、アプリケーションのログアウト時に再度ログインするかどうかを確認するようにLogon Managerを構成することもできます。いずれの場合も、猶予機関が経過するかまたはアプリケーションを閉じて再度開くか、どちらかが先に発生するまでは、Logon Managerによって自動的にアプリケーションにログオンされることはありません。
ログオン・ループが発生した場合は、管理者に猶予期間機能を有効にするよう依頼してください。
アカウント資格証明の委任により、あるユーザーが別のユーザーに対して、自分のアプリケーション資格証明への一時的なアクセス権を付与できます。これが起こり得る一般的な状況には、休暇で職場を離れる予定であったり、厳しい納期に合せるために同僚を補充した場合などがあります。このような場合、自分以外の人間が代理で自分のアプリケーションおよびデータにアクセスできる必要があります。管理者は、ユーザーが委任済資格証明機能を使用して、Logon Manager内の別のユーザー・アカウントとアクセス権の受渡しができるよう、アプリケーションを構成できます。
現在の構成に資格証明の委任および受取りを行う機能が含まれている場合は、Logon Managerの左側のペインに「Delegated」オプションが表示されます。
「Delegated」設定により、委任を受ける/委任を行う委任済アカウントを表示および管理できます。アカウントが自分に委任された場合、「Account Delegated From」列に委任者がリストされます。アカウントを別のユーザーに委任した場合、「Account Delegated To」列に代理人がリストされます。
「Delegated Accounts」メニュー最上部のアイコンを使用して、資格証明を委任および失効できます。
アイコン | ラベル | 用途 |
---|---|---|
Delegate My Account | アカウント委任プロセスを開始します。アカウント資格証明を受け取る別のユーザーを指定し、アカウント・アクセスの条件を指定するようプロンプトが表示されます。
アカウントを委任すると、「Delegated Accounts」列に表示されます。 |
|
Revoke My Account | 別のユーザーによる自分のアカウントへのアクセスを中止できます。このアイコンは、選択したアカウントが委任された場合にのみ有効になります。 | |
Refresh | 委任済アカウントの変更をリポジトリと同期します。委任者が委任を開始または失効すると、同期が自動的に行われます。 |
アカウントを委任するには:
Logon Managerの「Delegated」ビューで、委任するアカウントを選択します。
「Delegate My Account」アイコンをクリックします。
プロンプトにパスワードを入力します。
表示されたダイアログで、代理人を指定して委任ポリシーを構成します。
代理人を指定するには、次の手順を実行します。
代理人のユーザー名を入力します(通常は、ユーザーの電子メール・アドレス)。
または
ユーザー履歴ドロップダウン・リスト(過去に資格証明を委任したユーザーのリスト)からユーザーを選択します。
ポリシーを構成するには、代理人がこのアカウントを使用できる日数を設定します。この設定の下に表示される最大日数には、テンプレート・ポリシーで管理者が設定した日数が反映されます。
「OK」をクリックします。
アカウントが委任され、サーバーは資格証明を委任するよう指示を受け取ります。委任プロセスの完了後、「Delegated」タブの「Delegated Accounts」リストにアカウントが表示されます。
別のユーザーがアカウントを委任してくると、Windowsパスワードの入力を求めるプロンプトが表示されます。
認証後、委任を受け入れるかどうかを尋ねるプロンプトが表示されます。
受入を確認すると、委任済アカウントが、委任されていることを示す特殊なアイコンとともにLogon Managerの「My Accounts」タブに表示されます。
また、アカウントは「Delegated」タブの「Delegated Accounts」列に、アカウントの委任者であるユーザーの名前とともに表示されます。
ユーザーに委任されているアカウントのプロパティを表示するには、Logon Managerでアカウントを選択し、「Modify」アイコンを選択します。アカウントの「Properties」ウィンドウが表示されます。「Details」タブに、このダイアログで一般的に表示されるアカウントに関する一般情報がリストされます。さらに、委任済アカウントの「Policy」タブがあります。
「Policy」タブを選択すると、委任ポリシーのプロパティ(委任の有効期限が切れる日付、アカウントを使用できる日数および時間数)が表示されます。
委任済アカウントのポリシーを変更するには、元の委任プロセスを繰り返します。既存の代理人にポリシーの更新を適用するには、アカウントを失効させて再委任する必要があります。
ポリシーで設定された有効期限日時より前に資格証明を失効させるには:
「Delegated」タブで、資格証明を失効させるアカウントを選択します。
「Revoke My Account」アイコンをクリックします。
認証ダイアログにパスワードを入力します。
「Confirm Revoke」ダイアログが表示されたら、「Yes」をクリックします。
「Delegated」タブで、代理人の名前がそのアカウントの隣に表示されなくなります。
ユーザー自身が代理人である場合、委任者がアカウントを失効させると、認証を求めるプロンプトが表示されます。資格証明を入力すると、アカウントは委任済アカウントのリストに表示されなくなります。
特権アカウントは、サーバーやデータベースなどの重要な情報技術リソースを担当するユーザーに適用されます。特権アカウントの使用を割り当てられると、Logon Managerの「Privileged」タブにそのアカウントが表示されます。
ユーザーが特権アカウントを使用するには、アカウントの管理者がそのアカウントに対するユーザーのアクセス権を認可しており、そのアカウントがチェックアウトに対して使用可能であり、チェックアウトはユーザーがチェックアウトを認可されている時間枠内である必要があります。
特権アカウントを表示するには:
Logon Managerを開き、「Privileged」タブを選択します。
「Refresh」をクリックして、表示される「Authentication」ダイアログのフィールドに値を入力します。画面がリフレッシュされたら、割り当てられた使用可能なすべての特権アカウントのリストが表示されます。
そのリストから、作業する特権アカウントを選択し、「Add to My Accounts」をクリックします。再認証を求めるプロンプトが表示されます。しばらくすると、アカウントが使用可能であることを通知するポップアップ・メッセージが表示されます。
ステータスを示す特殊なアイコンとともに「My Accounts」ウィンドウに表示されます。
注意: このアカウントを以前にチェックアウトし、チェックアウトがまだ有効である場合は、再度チェックアウトしようとすると、アカウントがすでにチェックアウトされていることを示すメッセージが表示されます。 |
アカウントへのログオンに進みます。管理者がどのようにアカウントを構成したかによって、Logon Managerによって認証される前にWindowsパスワードの入力を要求される場合があります。
アカウントをチェックアウトした後、アクセスを許可されている期間、Logon Managerで他のアカウントと同様にそのアカウントを使用して作業できます。
なんらかの理由で使用できないアカウントをチェックアウトしようとすると、アカウントをチェックアウトできない理由を通知するポップアップ・メッセージが表示されます。アカウントは、次のいずれかの理由で使用できない可能性があります。
ポリシーのスケジュール範囲外に試行しました。アカウントのプロパティを確認して、許可されたスケジュール内で作業していることを確認します。
Provisioning Gatewayサーバーが使用できない可能性があります。管理者に連絡してください。
特定できないシステム・エラーが発生しました。管理者に連絡してください。
Logon Managerの「Settings」パネルによって、Logon Managerの構成オプションを制御できます。
注意: 変更が行われるまでは、設定のタブ全体で「Apply」ボタンおよび「Cancel」ボタンは有効にはなりません。変更を終えたら、「Apply」をクリックしてその変更を適用するか、または「Cancel」をクリックしてその変更を破棄できます。設定のタブで行った変更は、「Apply」をクリックすると有効になります。 |
Logon Managerの設定を表示または変更するには、次の手順を実行します。
Logon Managerを開きます。
「Settings」パネルをクリックします。
次のタブがあります。
Response
Authentication
Display
Exclusions
「Response」タブでは、Logon Managerのアカウント機能を制御できます。
注意: 管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
自動プロンプトの設定では、Logon Manager内にアカウント設定が存在しないアプリケーションからの資格証明リクエストをLogon Managerが検出した場合に、資格証明のプロンプトを表示するかどうかを指定します。
詳細は、「自動プロンプトを使用したアカウントの設定」を参照してください。
自動入力の設定では、ユーザーがアカウントを作成した直後にLogon Managerがアプリケーションに対する資格証明の指定を試行する必要があるかどうかを指定します。
この機能が有効になっている場合、ユーザーがアプリケーションまたはWebサイトのアカウントを設定すると、Logon ManagerはただちにそのアプリケーションまたはWebサイトにログオンします。
「Authentication」タブでは、Logon Managerの認証機能を制御できます。
注意: 管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
Logon Managerの認証には、様々なログオン方法を使用できます。プライマリ・ログオン方法とは、使用するよう選択した認証方法です。複数のオーセンティケータをインストールできますが、指定できるプライマリ・ログオン方法は1つのみです。
この設定により、主な認証メカニズムとするログオン方法を選択できます。
ログオン方法を変更するには、「Change」をクリックします。「Primary Logon Setup Wizard」が表示されます。
詳細は、「プライマリ・ログオン方法の変更」を参照してください。
Logon Managerは、指定した時間間隔で認証を求めるプロンプトを表示できます。再度認証する前に、時間の長さを確認できます。
上矢印と下矢印を使用して、時間制限(0分から999分)を入力します。この間隔が経過すると、資格証明関連タスクを実行する前にLogon Managerによってパスワードが要求されます。
タイマー設定がゼロに設定すると、すべての資格証明関連タスクの前にLogon Managerによってパスワードが要求されます。
「Clear Timer」ボタンを使用すると、期限切れになる時間まで待たずに、次の資格証明関連タスクについてパスワードを入力するように強制されます。
「Settings」パネルの「Display」タブでは、Logon Managerの表示オプションを制御できます。
注意: 管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
選択した場合、Title Bar Buttonの設定によって、すべてのウィンドウのタイトル・バーの右上隅にあるLogon Managerアイコンがアクティブになります。
このボタンをダブルクリックすると、Logon Managerに対してアプリケーションへのログオンを試行するよう指示されます(システム・トレイ・アイコン・メニューの「Log On Using」オプションと同じ機能)。
Logon Managerのタイトル・バー・ボタンをクリックすると、ドロップダウン・メニューを表示することもできます。
これら2つの設定は、「Display the Logon Manager button on all window title bars」および「Provide a dropdown menu from title bar button」というチェック・ボックスによって有効化できます。
「Exclusions」タブでは、Logon Managerに対して以前無視するよう指定したアプリケーション・ログオンの自動プロンプト機能を確認し、復元できます。
注意: 管理者は、次に説明する設定を有効化、無効化またはオーバーライドできます。 |
Logon Managerアカウントを持っていない場合に、パスワードで保護されたアプリケーションを起動すると、Logon Managerはその状況を認識します。資格証明の自動取得を使用するように管理者がシステムを構成した場合、Logon Managerはユーザーが入力した資格証明を取得します。資格証明の自動取得が無効である場合、Logon Managerは新規アカウントを作成するかどうかをユーザーに確認します。次のオプションがあります。
アカウントの資格証明を入力して、「Save」をクリックします。
現時点では「Logon」ダイアログを閉じるように選択して、「Cancel」をクリックします。
永続的に「Logon」ダイアログを閉じて、「Disable」をクリックします。この選択により、アプリケーションは「Exclusions」リストに追加されます。
以前除外したアプリケーションのアカウントを追加することを後で決めた場合は、「Exclusions」リストからアプリケーションを削除(該当するチェック・ボックスを選択解除)すると、アプリケーションの次回起動時に、Logon Managerはユーザーにアカウントの作成を求めるようになります。
これらの機能の詳細は、「自動プロンプトを使用したアカウントの設定」および「資格証明の自動取得」を参照してください。
Logon Managerを開きます。
「Settings」パネルで、「Exclusions」タブをクリックします。
このパネルには、Logon Managerが現在無視するよう設定されているアプリケーションのリストが含まれます。
自動プロンプトを復元するアプリケーションのチェック・ボックスをクリックして選択解除してから、「Apply」または「Cancel」をクリックして、変更内容を破棄します。
ウィンドウをリフレッシュすると、選択解除したアイテムは「Exclusion」リストに表示されなくなります。パスワードで保護された選択解除済のアプリケーションを次回起動すると、Logon Managerはアカウントを作成するかどうかをユーザーに確認します。
この項では、Logon Managerおよびターゲット・アプリケーション内でパスワードを管理して変更する方法について説明します。
ほとんどのアプリケーションは、いつでもパスワードを変更できますが、一部のアプリケーションは、定期的に(たとえば30日ごとに)パスワードの変更が求められるものもあります。Logon Managerを使用して、これらの変更を適用したり追跡することができます。
Logon Managerの自動化されたパスワード変更機能により、パスワードの選択および管理が不適切になる可能性がなくなるため、セキュリティが向上します。また、パスワードを作成、変更および記憶する手間が省けるため、使い勝手が向上します。
Logon Managerは、アプリケーションがパスワードの変更をリクエストした場合に検出します。構成に応じてLogon Managerは次のいずれかを実行します。
管理者が設定するパスワード・ポリシー(有効なパスワードがどのようなものであるかを制御するルール)に準拠した新しいパスワードを自動的に生成します。
「Change Password」ダイアログを表示します。ここでは、自動的にパスワードを生成するか、または新しいパスワードを選択するかのオプションがあります。
パスワードは手動変更が可能であり、システム生成プロンプトに応じてパスワードを変更するようリクエストされる場合もあります。どちらの場合も、次のステップが適用されます(1つの例外についてステップ1で説明しています)。
アプリケーションがパスワードの変更をリクエストした場合、Logon Managerによって「Change Password」ダイアログが表示されます(ただし、管理者がLogon Managerによる変更の自動実行を構成していない場合)。
注意: アプリケーションでログオンおよびパスワード変更のフィールドが同じウィンドウに表示されている場合、「Action Chooser」では、アプリケーションの起動時にログオンするか、またはパスワードを変更するかを選択するようにプロンプトが表示されます。Logon Managerには、選択に基づいて適切な画面が表示されます。 |
パスワードを変更するには、次のいずれか1つを実行します。
パスワードを手動で入力して確認します。
注意: 新しいパスワードを入力すると、「Password policy status」が変更されます。新しいパスワードを有効にするには、これらの各ルールに準拠する必要があります。パスワードを入力すると、それが準拠するルールが自動的にチェックされます。すべてのルールがチェックされると、パスワードは有効になります。すべてのパスワード・ポリシーを満たしていると、「Submit」ボタンがアクティブになります。「許可される特殊文字」ポリシーは、パスワードでの使用が許可される特定の特殊文字を示します。特殊文字が許可されない場合、このポリシーは「許可される特殊文字: なし」と表示します。 |
「Generate」ボタンをクリックして、Logon Managerでパスワードが自動的に生成されるようにします。
パスワードを表示するには、「Reveal」をクリックします。
「Submit」をクリックします。
アプリケーションがパスワードの変更を受け入れた場合、パスワードが受け入れられたことを示すメッセージが表示されます。「OK」をクリックすると、Logon Managerでパスワードが保存されます。
アプリケーションがパスワードを拒否した場合、拒否されたことを示すメッセージが表示されます。別のパスワードに変更して再送信するか、または「Cancel」ボタンをクリックします。
注意: 管理者が設定したパスワード・ポリシーをパスワードが満たしているにもかかわらず、アプリケーションによって拒否された場合、システム管理者に連絡してください。 |
作業環境によっては、エージェント構成にKiosk Managerが含まれている場合があります。Kiosk Managerは、キオスク環境で求められる従来のシングル・サインオンに対応する、セキュアで使いやすく、管理が容易なソリューションです。Kiosk Managerには、非アクティブなセッションを一時停止または終了して、すべてのアプリケーションをシームレスに停止できるクライアントサイド・エージェントが用意されています。
Kiosk Managerを終了できるのは管理者のみです。
注意: ユーザーが自分のセッションにログオンするには、管理者がそのユーザーの同期を設定しておく必要があります。Logon Managerを使用して初めてKiosk Managerにログオンすると、Logon Managerの設定ウィザード(FTU)が表示されます。プロンプトの指示に従います(サポートが必要な場合は「Help」をクリックします)。プライマリ・ログオン方法として適切な認証方法を選択します。 |
デスクトップ・マネージャは、Kiosk Managerセッションを管理するログオン・ダイアログです。エンド・ユーザーはセッションを起動およびロック解除でき、管理者はセッションの終了、Kiosk Managerの停止、再起動および終了が可能です。
デスクトップ・マネージャには、次の情報および選択肢が含まれます。
デスクトップ・マネージャの上部にある「Administration」メニューをクリックします。これらのメニュー・オプションは、システム構成によっては使用できないことがあります。
コマンド | 機能 |
---|---|
Shutdown Computer | このオプションはキオスクを停止します。このコンピュータを停止するかどうかを確認するウィンドウが表示される場合があります。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示される場合があります。 |
Restart Computer | このオプションはキオスクを再起動します。このコンピュータを再起動するかどうかを確認するウィンドウが表示される場合があります。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示される場合があります。 |
Terminate Sessions | このオプションは、開いているセッションの終了を管理者に許可します。このアクションを実行する前に、資格証明の入力を管理者に求める「Terminate Sessions」認証ダイアログが表示されます。 |
Exit Kiosk Manager | このオプションは、Kiosk Managerの終了を管理者に許可します。このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示されます。 |
Reset Password | システムの構成によっては、このオプションが表示される場合があります。このオプションによってPassword Reset Webアプリケーションが起動し、パスワードをリセットできます。後述の「パスワードのリセット」を参照してください。 |
デスクトップ・マネージャには、開いているすべてのセッションが表示されたリストが含まれます。自分の名前がリストに表示されない場合は、名前を入力して新規セッションを開始します。セッションが開始された後、パスワードの入力を求める「Connect to Server」ダイアログが表示されます。パスワードを入力し、「OK」をクリックします。
セッション・オプション | 機能 |
---|---|
「Log On」テキスト・フィールド | ユーザー名が「Open Sessions」リストに表示されない場合は、このフィールドにユーザー名を入力し、「Log On」をクリックします。新規セッションが自動作成されます。このフィールドは編集可能です。 |
「Log On」ボタン | フィールドにユーザー名を入力してからこのボタンをクリックします。「Open sessions」リストでユーザー名をダブル・クリックすると、自動的にこの機能が開始されます。 |
「Cancel」ボタン | このボタンで処理中のログオンを終了できます。このボタンは、ログオンの開始後に有効になります。 |
「Open Sessions」リスト | 「Open sessions」リストには、このワークステーション上に開いているセッションがあるすべてのユーザーの名前が含まれます。リスト内をシングルクリックすると、ユーザー名が「Log On」フィールドに移動します。ダブルクリックすると、セッションのオープンが試行されます。 |
システムの構成によっては、パスワードのリセット・バナーがデスクトップ・マネージャの上部に表示される場合があります。
このバナーをクリックすると、Password Reset Webインタフェースが起動します。「User Name」を入力して「OK」をクリックし、プロンプトの指示に従ってパスワードをリセットします。
セッションを終了するには、次の手順を実行します。
デスクトップ・マネージャの「Administration」メニューから、「Terminate Sessions」をクリックします。
「Authenticate as Administrator」ダイアログで、管理資格証明を入力します。
「Username/ID」、「Password」および「Domain」を入力します。「OK」をクリックします。
終了するセッションの選択を求める「Terminate Sessions」ダイアログが表示されます。
「Open Sessions」リスト・ボックスからセッションを選択し、「Terminate session」をクリックします。一度に選択できるのは1つのセッションのみです。セッションは「Open sessions」リストから削除されます。
「Cancel」をクリックしてこのダイアログを閉じます。
システムの構成によっては、セッション中に「Session Owner」ウィンドウがデスクトップの右上隅に表示される場合があります。
このウィンドウからセッション所有者の表示またはセッションのロックを行うことができます。
セッションをロックするには次のいずれかを実行します。
「Desktop Status」ウィンドウの「Lock Session」ボタンをクリックします。
Kiosk Managerトレイ・アイコン・メニューを選択して、「Lock Session」をクリックします。
スマート・カード、近接型カードまたはその他のプレゼンス・センシング・オーセンティケータに対応するように構成されている場合は、カードを取り出します。厳密なオーセンティケータが存在しなくなると(リーダーから取り出されたか、または識別範囲外になった場合)、Kiosk Managerは自動的にセッションをロックします。
スクリーン・セイバーの起動を許可します。キオスクのスクリーン・セイバーが正常に起動すると、Kiosk Managerはセッションをロックします。
Logon Managerを停止します。
デスクトップを正常にロックするアクティビティを実行します。これにより、Kiosk Managerがセッションをロックします。
[Ctrl] + [Alt] + [Delete]をクリックします。
アプリケーションでダイアログ(「Save As」ダイアログなど)を開いている間に、ユーザーがセッションをロックするか、またはキオスクを終了すると、Kiosk Managerはそのダイアログを閉じることができなくなり、アプリケーションが強制終了される場合がありますので注意してください。セッションをロックするかまたはキオスクを終了する前に、データを保存することを強くお薦めします。
セッションのロックを解除するには、次のいずれかを実行します。
スマート・カード、近接型カードまたはその他のプレゼンス・センシング・オーセンティケータに対応するように構成されている場合、厳密なオーセンティケータが検出されると(リーダーに挿入されるか、または識別範囲内になった場合)、Kiosk Managerは自動的にセッションを開始します。
名前の選択と資格証明の再入力によって、現行のセッションはDesktop Managerのロックから解除されます。