Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
パスワード管理機能は、使用されるアイデンティティ・ストアがLDAPディレクトリである場合にのみサポートされます。
パスワード管理を有効にすると、次のシナリオで使用できます。
ユーザー・アカウントが管理者によって無効にされると、ユーザーはシステムに入ることができません。ユーザーがアクセスをリクエストすると、該当のエラー・メッセージが表示されます。
ユーザー・アカウントが管理者によってロックされると(不正なパスワードまたはチャレンジにより永続的または一時的に)、ユーザーはシステムに入ることができません。ユーザーがアクセスをリクエストすると、該当のエラー・メッセージが表示されます。
特定の値がユーザーのLDAPエントリに設定されている場合、ユーザーは管理者によってパスワードを変更するように強制される場合があります。
有効期限が間もなく切れるパスワードをユーザーが変更する必要がある場合、パスワードをすぐに変更するか、またはパスワードを変更せずにリクエスト・ページに進むか、いずれかのオプションを選択できる画面が表示されます。
パスワードのリセット操作中に無効な文字でパスワードを送信すると、ユーザーが従う必要のあるパスワード作成ルールのエラー・メッセージが表示される場合があります。
「Oracle提供のパスワード・フォーム」では、エラー・メッセージのスクリーンショットについて説明します。
統合デプロイメントの注意事項
Oracle Internet Directoryで、Oracle Identity ManagementとOracle Access Managementを使用する場合、2種類のパスワード・ポリシー定義および施行が存在します。パスワード・ポリシー定義は、Oracle Identity ManagementおよびOracle Internet Directoryの両方に構成できます。パスワード・ポリシーの実施は、次に従って実行されます。
Oracle Access Managementは、Webアクセスの間に状態ポリシー(間違ったパスワードなど)を施行します。Oracle Internet Directoryは独自の状態ポリシーとLDAP処理(バインドや比較など)を施行します。
Oracle Identity Managementは、パスワード更新のユーザー作成の間に値ポリシー(パスワードの特性)を施行します。Oracle Internet Directoryは独自の値ポリシーとLDAP処理用のポリシー(追加や変更など)を施行します。
パスワード・ポリシーは、構成されたアイデンティティ・ストアがLDAPディレクトリである場合にのみ認証されます。仮想化LDAPディレクトリ(別のデータ・リポジトリの前面に配置するOracle Virtual Directoryなど)や非LDAPディレクトリの場合は、認証されません。
LDAPディレクトリ(Oracle Internet Directoryなど)には、ユーザー・パスワードが準拠する必要がある字句制約(最小文字数、パスワードの最大有効期間、特殊文字の使用など)を定義するパスワード・ポリシーを構成する方法があります。このパスワード・ポリシーは、ユーザーのパスワードがLDAPディレクトリで変更されると適用されます。このLDAPディレクトリのパスワード・ポリシーが、OAMで構成されているパスワード・ポリシーと競合しないことを確認するには、管理者は、LDAPパスワードを手動で調べて次のいずれかを実行する必要があります。
バックエンドLDAPアイデンティティ・ストア・ポリシーをOracle Identity ManagementおよびOracle Access Managementポリシーよりも低い優先度か同じ優先度にします。ただし、これにより2つの施行が発生します。
ネイティブのLDAPパスワード・ポリシー検証を無効にします。ただし、直接のLDAP操作に対するポリシー強制もなくなります。