54.8 パスワード生成ポリシー

パスワード・ポリシーは、組織のセキュリティを確保しながらユーザー・ログオンを容易にします。アクセス・ポータル・サービスによって、管理者は自動パスワード生成を制御するポリシーを設定できます。

ほとんどのアプリケーションには、どれくらいの長さにできるか、またはそうする必要があるか、数値および記号を含める必要があるか、または含めてはいけないかといった、パスワードの制約があります。アクセス・ポータル・サービスのパスワード生成機能により、パスワード・ポリシーとして格納される、事前定義された制約セットに従って、ランダムな文字で構成されるパスワードを自動的に作成することで、アプリケーションのログオン・セキュリティを向上できます。各ポリシーは、複数のアプリケーションまたはサブスクライバに適用できます。

事前定義されたパスワード・ポリシーを使用することで、パスワードの変更を完全に自動化して、複雑なパスワードやユーザーには知られないアプリケーション固有のパスワードを含む、高度なセキュリティ・スキームを実装できます。

パスワード生成ポリシーを管理するには、管理コンソールの上部にある「フェデレーション」をクリックしてから、「アクセス・ポータル・サービス」セクションの「パスワード生成ポリシー」をクリックします。検索と作成のオプションを含む新しいタブが開きます。

図54-1 パスワード生成ポリシーの検索/作成のタブ

「図54-1 パスワード生成ポリシーの検索/作成のタブ」の説明

54.8.1 既存のパスワード生成ポリシーの検索

既存のパスワード生成ポリシーを検索できます。

検索するには、次のようにします。

1. 「名前」フィールドに名前または部分文字列を入力して、「検索」ボタンをクリックします。「検索結果」表に結果が表示されます。
2. 「検索結果」リスト内の任意のポリシーをクリックして、ポリシー構成を編集します。これらの設定を構成する方法の詳細は、次の項のステップ3を参照してください。

54.8.2 新しいパスワード生成ポリシーの作成

新しいパスワード生成ポリシーを作成できます。

新しいパスワード生成ポリシーを作成するには、次のようにします。

図54-2 新規パスワード生成ポリシーの「サマリー」タブ

「図54-2 新規パスワード生成ポリシーの「サマリー」タブ」の説明

1. 「パスワード生成ポリシーの作成」ボタンをクリックして、次の2つのサブタブを含む「新規パスワード・ポリシー」ページを開きます。

   • サマリー

   • パスワードの制約

2. 「サマリー」タブで、次の情報を入力します。

   • ポリシーの別個の名前

   • (オプション)ポリシーを識別する意味のある説明

   • (オプション)ポリシーのバージョン/バリアントを説明する内部参照情報

3. 「パスワードの制約」タブをクリックします。

   ノート:

   正規表現を使用してパスワード制約を指定する場合は、「正規表現制約」フィールドに目的のREGEX文字列を入力します。これを行うと、次に示す手動の制約オプション(「前のパスワードの制約」オプションを除く)がオーバーライドされて無効になります。

4. 「パスワードの制約」タブで、次の情報を指定します。

   • 長さ制約

   • • 最小パスワード長。オプションは1-128です。デフォルトは8文字です。

     • 最大パスワード長。オプションは1-128です。デフォルトは8文字です。

   • 英文字

     • 大文字の使用を許可するには、チェック・ボックスを選択します。チェック・ボックスを選択した場合、必要な最小数を指定する必要があります。デフォルトは0です。

     • 小文字の使用を許可するには、チェック・ボックスを選択します。チェック・ボックスを選択した場合、必要な最小数を指定する必要があります。デフォルトは0です。

   • 特殊文字

     • 英文字または数値以外の文字を許可するには、このチェック・ボックスを選択します。チェック・ボックスを選択した場合、許可される最小および最大数を指定する必要があります。デフォルトの最小値は0です。デフォルトの最大値は8です。

     • パスワードを開始または終了する特殊文字の使用を許可するには、チェック・ボックスを選択します。

   • 除外する文字

     • パスワードから除外する特殊文字のリストを入力します。デリミタは使用しないでください。

   • 繰返しの制約

     • 1つのパスワード内で特定の文字を(任意の場所で)繰り返して使用できる最大回数を入力します。オプションは0-127です。デフォルトは7です。

     • 特定の文字を連続して(隣接して)繰り返し使用できる回数を入力します。オプションは0-127です。デフォルトは7です。

   • 数字

     • 数字の使用を許可するには、チェック・ボックスを選択します。チェック・ボックスを選択した場合、許可される最小および最大数を指定する必要があります。デフォルトの最小値および最大値は0です。

     • パスワードを開始または終了する数字の使用を許可するには、チェック・ボックスを選択します。

   • その他の文字

     • その他の文字をパスワードに含めることを許可するには、チェック・ボックスを選択します。

   • 前のパスワードの制約

     • 前のパスワードの使用禁止: 前のパスワードの再使用を完全に禁止するには、このチェック・ボックスを選択します。

     • 前のパスワード文字の使用制限: 前のパスワードの文字の繰り返しを制限するには、このチェック・ボックスを選択します。

     • 前のパスワード文字の最大数: 前のパスワードの一部の文字の使用を許可する前述のチェック・ボックスを選択している場合、許可する文字の最大数を選択します。

     ノート:

     アクセス・ポータル・サービスでは、同じ文字の複数の出現を認識し、新しいパスワードでのその文字の複数の出現を許可します。

     そのため、前のパスワードに3つのAが含まれており、前のパスワードの1文字を繰り返し使用可能に指定している場合、アクセス・ポータル・サービスでは、新しいパスワード内で複数のAの出現を許可します。

5. 「保存」をクリックしてポリシー構成を完了するか、「取消」をクリックしてポリシーを保存せずにタブを閉じます。

図54-3 パスワード生成ポリシーの「パスワードの制約」タブ

「図54-3 パスワード生成ポリシーの「パスワードの制約」タブ」の説明

54.8.3 ポリシー・サブスクライバの管理

パスワード生成ポリシーを使用するアプリケーションは、サブスクライバと呼ばれます。ポリシーの作成時またはそれ以降の任意の時点で、サブスクライバを追加できます。ポリシーにサブスクライバを追加する手順は次のとおりです。

ポリシー・サブスクライバを管理するには、次のようにします。

図54-4 「アプリケーションの追加」ダイアログ

「図54-4 「アプリケーションの追加」ダイアログ」の説明

1. パスワード生成ポリシーの「サマリー」ページで、「追加」アイコンをクリックします。「アプリケーションの追加」ダイアログが表示されます。
2. 「名前」フィールドで、名前またはテキスト文字列を入力し、「検索」をクリックします。このフィールドを空白のままにして、使用可能なアプリケーションすべてを返すようにすることもできます。
3. 検索を実行すると、検索条件に一致するすべてのアプリケーションが「使用可能なアプリケーション」リストに表示されます。各アプリケーションに対して、リストにはそのアプリケーションがサブスクライブするポリシーが含まれます。
4. 「使用可能なアプリケーション」リストから1つ以上のアプリケーションを選択して、「選択済の追加」をクリックします。または、「すべて追加」をクリックして、検索によって返されたすべてのアプリケーションを追加します。

   すでに別のポリシーのサブスクライバであるアプリケーションを選択すると、そのアプリケーションは元のポリシーのサブスクライバではなくなります。

5. 完了したら、「追加」をクリックするか、「取消」をクリックして変更を行わずにダイアログを閉じます。
6. 「保存」をクリックしてポリシーを保存します。