20 パスワード・ポリシーの管理

組織ごとに異なるパスワード・ポリシーを指定して、パスワードおよびチャレンジ質問の細かい制御が可能になります。

この章では、次の各項でパスワード・ポリシー管理について説明します。

• パスワード・ポリシーについて

• パスワード・ポリシーの検索

• パスワード・ポリシーの作成

• パスワード・ポリシー・ルールの理解

• パスワード・ポリシーの評価

• チャレンジ・オプションの設定

• パスワード・ポリシーの削除

• パスワード・ポリシーと組織の関連付け

20.1 パスワード・ポリシーについて

Oracle Identity Managerは、Oracle Identity ManagerとOracle Access Manager (OAM)の間に共通パスワード・ポリシー管理フレームワークを提供しています。チャレンジ・ポリシーの概念も導入され、チャレンジ質問をシステム定義とエンドユーザー定義のどちらにするか(または両方の組合せにするか)を指定できます。

組織管理者はパスワード・ポリシーを組織に関連付けることができます。組織管理者は、システム管理者によって作成されたパスワード・ポリシーから関連するパスワード・ポリシーを選択できます。組織に設定されたパスワード・ポリシーは、その組織とすべての下位組織に適用されます。下位組織レベルの管理者が、その組織に別のパスワード・ポリシーを設定すると、親組織のパスワード・ポリシーが新しいポリシーでオーバーライドされ、この組織のすべての下位組織に新しいポリシーが適用されます。ユーザーが複数の組織のメンバーである場合、そのユーザーのパスワード・ポリシーは、ホーム組織とホーム組織階層に応じて異なります。

また、ユーザーが複数の組織のメンバーである場合、そのユーザーに適用されるパスワード・ポリシーはパスワード・ポリシーの優先度で決まります。組織が階層内にある場合は、親組織に関連付けられたパスワード・ポリシーの方が優先度が高い場合にも、ユーザーに最も近い組織のパスワード・ポリシーが適用されます。ユーザーの作成時に、Oracle Identity Managerは最上位の組織にアタッチされたデフォルトのパスワード・ポリシーに対して手動で指定された、または自動生成されたパスワードを検証します。ユーザーが最初にログインしてパスワードを変更する場合、ユーザーの組織に適用される優先度が最も高いパスワード・ポリシーが適用されます。

20.2 パスワード・ポリシーの検索

「パスワード・ポリシー」ページを使用して、パスワード・ポリシーの単純検索および拡張検索を実行します。

パスワード・ポリシーを検索するには、次のいずれかを実行できます。

• パスワード・ポリシーの基本検索の実行

• パスワード・ポリシーの拡張検索の実行

20.2.1 パスワード・ポリシーの基本検索の実行

パスワード・ポリシーを検索するには:

1. Identity Self Serviceにログインします。
2. 「管理」をクリックします。マウス・ポインタを「ポリシー」ボックスの上に置き、「パスワード・ポリシー」をクリックします。「パスワード・ポリシー」ページが表示されます。
3. 「ポリシー名」フィールドに、検索するポリシー名を入力します。
4. 「検索」をクリックします。検索条件のポリシー名に一致するパスワード・ポリシーが表示されます。

20.2.2 パスワード・ポリシーの拡張検索の実行

拡張検索を実行するには:

1. Identity Self Serviceにログインします。

2. 「管理」をクリックします。マウス・ポインタを「ポリシー」ボックスの上に置き、「パスワード・ポリシー」をクリックします。「パスワード・ポリシー」ページが表示されます。

3. 「拡張」リンクをクリックします。拡張パスワード・ポリシー検索ページが表示されます。

4. 検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。他のオプションには、「次と等しい」、「次で終わる」、「次と等しくない」および「次を含む」があります。

   ワイルドカード文字を使用して、パスワード・ポリシー名を指定できます。

5. 検索するフィールドを追加するには:

   1. 「フィールドの追加」をクリックし、ポリシー名を選択します。

   2. 追加した検索属性の値を入力します。

   このオプションは、Testで始まるポリシー名やUserで終わるポリシー名など複雑な条件を作成する場合に便利です。この場合、2つのフィールドを含める必要があります。

   検索に追加したフィールドを削除するには、フィールドの横にある十字アイコンをクリックします。

6. 検索要素リストを並べ替えるには、「並替え」をクリックします。「検索フィールドの並替え」タブが開きます。並べ替える必要がある検索要素を選択して、矢印キーを使用して並べ替えます。「OK」をクリックします。

   検索要素がリストされる順序が適宜変更されます。

7. 「検索」をクリックします。結果は検索結果表に表示されます。

20.3 パスワード・ポリシーの作成

パスワード・ポリシーを作成にするには、パスワードの制限の設定、チャレンジ質問の制限、およびパスワード・ポリシーに関連付けられるルールが必要になります。

パスワード・ポリシーの作成によって可能なことは、次のとおりです。

• パスワードの制限の設定、たとえばパスワードの最小長と最大長の定義など

• チャレンジ質問の制限の設定

• パスワード・ポリシーに関連付けられているルールの参照

ノート:

LDAP同期が有効になっている環境の場合、次のいずれかにする必要があります。

• Oracle Identity Managerに設定されているパスワード・ポリシーは、LDAPサーバーに設定されているパスワード・ポリシーよりも厳格にする必要があります。

• Oracle Identity Managerに設定されているパスワード・ポリシーは、LDAPサーバーに設定されているパスワード・ポリシーに一致する必要があります。

パスワード・ポリシーを作成するには:

1. 「パスワード・ポリシー」ページの「アクション」メニューから、「作成」を選択します。または、ツールバーにある「作成」をクリックします。
2. ポリシー名フィールドに、パスワード・ポリシーの名前を入力します。
3. 「説明」フィールドに、パスワード・ポリシーの簡単な説明を入力します。
4. 「ポリシー・ルール」タブで、値を指定してパスワード・ポリシーのルールを設定します。「ポリシー・ルール」タブの各フィールドの説明は、「パスワード・ポリシー・ルールの理解」を参照してください。

   ノート:

   「ポリシー・ルール」タブのフィールドを空白のままにして「適用」をクリックして、パスワード・ポリシーを保存できます。その後でパスワード・ポリシーを開いて、「パスワード・ポリシー・ルールの理解」の説明に従ってポリシー・ルールを設定できます。

5. 「チャレンジ・オプション」セクションで、「チャレンジ・ポリシーのサポートの有効化」を選択してチャレンジ・ポリシー・オプションの構成を有効にします。「チャレンジ・オプション」セクションの各フィールドの説明は、「チャレンジ・オプションの設定」を参照してください。
6. 「適用」をクリックします。

ノート:

パスワード・ポリシーは、信頼できるソース・リコンシリエーションによるOracle Identity Managerユーザーの作成時には適用されません。

20.4 パスワード・ポリシー・ルールの理解

パスワード・ポリシー・ルールを設定するには、パスワード・ポリシーの詳細ページにある「ポリシー・ルール」セクションで、パスワード・ポリシーの条件を指定する必要があります。

この項では、次の各トピックでパスワード・ポリシー・ルールについて説明します。

• パスワード・ポリシー・ルール

• パスワード・ポリシー・ルールの設定

20.4.1 パスワード・ポリシー・ルール

パスワード・ポリシー・ルールを設定する場合は、パスワードの最小長と最大長など、パスワード・ポリシーの基準を指定する必要があります。

パスワードの制限を設定するには、次のいずれか(または両方)の方法を使用できます。

• 適切なフィールドに情報を入力するか、必要なチェック・ボックスを選択します。たとえば、パスワードの最小長を4文字にする必要があることを指定するには、「最小長」フィールドに4を入力します。

• 「パスワード・ファイル」フィールドに、パスワード・ポリシー・ファイルのディレクトリ・パスと名前(たとえば、c:\Xellerate\userlimits.txt)を入力します。このファイルには、パスワードとしての使用を避ける必要がある事前定義済の単語が含まれます。これらの単語は、「ファイル・デリミタ」フィールドで指定したデリミタによって区切られます。ファイル内の事前定義済の単語はパスワードとして使用できません。たとえば、このファイルにwelcomeという単語が含まれている場合、welcome、Welcomeおよびwelcome123は無効なパスワードになります。

20.4.2 パスワード・ポリシー・ルールの設定

パスワード・ポリシーにルールを設定するには:

1. 「パスワード・ポリシー」ページで、開くパスワード・ポリシーを検索し、選択します。
2. 「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。パスワード・ポリシーの詳細ページが表示されます。

   ノート:

   パスワード・ポリシーの作成時にパスワード・ポリシー・ルールを設定することもできます。

3. 「ポリシー・ルール」タブで、表20-1に示すようにフィールドに値を入力します。

   ノート:

   ポリシーのデータ・フィールドが空欄の場合、パスワードを有効にするために、このポリシーに適合するパスワードがそのフィールドの基準を満たす必要はありません。たとえば、最小英数字データ・フィールドが空欄の場合、Oracle Identity Managerでは、文字数に関係なくパスワードが受け入れられます。

   表20-1 「ポリシー・ルール」セクションのフィールド

   フィールド名	説明
   最小長	パスワードを有効にするために必要な最小文字数。 たとえば、最小長フィールドに4を入力した場合、パスワードは4文字以上にする必要があります。 このフィールドには0 - 999の値を入力できます。
   最小パスワード期間(日数)	パスワードを使用できる最小日数。 たとえば、「最小パスワード期間(日数)」フィールドに2を入力した場合、ユーザーはパスワード作成から2日経過するまでパスワードを変更できません。 このフィールドの値は「有効期限切れまで(日数)」フィールドの値よりも小さくする必要があります。たとえば、「有効期限切れまで(日数)」フィールドに30を入力し、「最小パスワード期間(日数)」フィールドに31を入力した場合、エラーが表示されます。
   警告まで(日数)	パスワードが指定の日付に期限切れになることをユーザーに通知するまでの経過日数。 たとえば、「有効期限切れまで(日数)」フィールドに30を入力し、「警告までの期間(日数)」フィールドに20を入力し、パスワードが11月1日に作成されたとします。11月21日に、パスワードが12月1日に期限切れになることがユーザーに通知されます。 このフィールドには0 - 999の値を入力できます。
   過去のパスワードの禁止	旧パスワードを再利用できる頻度。このポリシーにより、一連の共通パスワードが使い回されることのないようにします。 たとえば、「過去のパスワードの禁止」フィールドに10を入力した場合、10個の異なるパスワードを使用した後にのみパスワードを再利用できます。 このフィールドには0 - 24の値を入力できます。
   有効期限切れまで(日数)	パスワードを使用できる最大日数。 たとえば、有効日数フィールドに30を入力した場合、パスワードを作成または最終変更したときから30日目までに変更する必要があります。 このフィールドには0 - 999の値を入力できます。 ノート: 有効日数フィールドに指定された日数が経過すると、パスワードの変更を求めるメッセージが表示されます。

4. デフォルトの複雑なパスワード・ポリシーまたはカスタム・パスワード・ポリシーを構成できます。「複雑なパスワード」オプションを選択すると、「カスタム・ポリシー」オプション設定は使用できず、パスワードは複雑なパスワードの基準に対して評価されます。

   • 複雑なパスワード: このオプションを選択すると、次の複雑なパスワードの基準が設定されます。

     • パスワードの長さは6文字以上であること。

     • パスワードには、次の5種類のうち3種類以上の文字が含まれていること。

       - 英大文字(A - Z)

       - 英小文字(a - z)

       - 10進数の数字(0 - 9)

       - 英数字以外の文字(!、$、#、^など)

       - Unicode文字

     • パスワードには、2文字を超えるユーザーID、名または姓を含めることはできません。

       名前は、カンマ、ピリオド、ダッシュ/ハイフン、アンダースコア、スペース、ポンド記号、タブをデリミタとして解析されます。これらのデリミタのいずれかが検出されると、名前は分割され、すべての部分がパスワードに含まれていないか検証されます。たとえば、ユーザー名がjohn-dの場合は、dは長さが2未満のため、パスワードでチェックされません。同様に、名前がJohn Richard Doeの場合は、john、richard、doeはパスワードに含めることはできません。

       ユーザーの氏名に対するチェックでは、カンマ、ピリオド、ダッシュやハイフン、アンダースコア、スペース、ポンド記号、タブなどの文字は、名前を個別の文字セットに区切るデリミタとして扱われます。3文字以上を含む各文字セットが、パスワード内で検索されます。その文字セットがパスワード内に存在する場合、パスワード変更は却下されます。たとえば、名前John Richard-Doeは、3つの文字セット(John、RichardおよびDoe)に分けられます。このユーザーは、パスワード内のどの場所であっても、John、RichardまたはDoeからの連続した3文字で構成されるパスワードを持つことはできません。ただし、パスワードには部分文字列d-Dを含めることができます(ハイフン(-)は部分文字列RichardとDoeの間のデリミタとして扱われるため)。また、パスワード内の文字セットの検索では、大文字と小文字は区別されません。

       ノート:

       Oracle Identity Governanceバンドル・パッチ12.2.1.4.200624を適用すると、名前がActive Directoryと互換性のあるOIM複合パスワード・ポリシー、キーワードが OIM.ADPasswordPolicyCompatibilityEnabledの新しいシステム・プロパティが使用可能になります。OIG複合パスワード・ポリシーの最後のルール(パスワードにユーザーID、名または姓を含む)をActive Directory (AD)パスワード・ポリシー(パスワードに表示名およびユーザー・ログインを含む)に置き換える場合は、Active Directoryと互換性のあるOIM複合パスワード・ポリシーシステム・プロパティの値をTRUEに設定します。このプロパティは、すべての複合パスワード・ポリシーに適用できます。このシステム・プロパティの詳細は、『Oracle Identity Governanceの管理』のOracle Identity Governanceのデフォルトのシステム・プロパティに関する項を参照してください。

     ノート:

     ユーザーのフル・ネームの長さが3文字未満の場合、パスワードが拒否される確率が高すぎるため、パスワードはフル・ネームと照合されません。

   • カスタム・ポリシー: 「カスタム・ポリシー」オプションを選択すると、表20-2に示すフィールドを使用してカスタム・パスワード・ポリシーを設定できます。

     表20-2 「カスタム・ポリシー」セクションのフィールド

     フィールド名	説明
     最大長	パスワードに含めることができる最大文字数 たとえば、最大長フィールドに8を入力した場合、9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。
     繰返し文字の最大文字数	パスワードで文字を繰り返すことができる最大回数。 たとえば、「最大限の繰返し文字数」フィールドに2を入力した場合、文字が3回以上繰り返されているパスワードは使用できません。たとえば、RL112211は、文字1が3回繰り返されているため、有効なパスワードではありません。 ノート: この例では、文字1は4つあり、3回繰り返されていることになります。 このフィールドには1 - 999の値を入力できます。
     数字の最小文字数	パスワードに含める必要がある最小限の数字の数。 たとえば、「最小限の数字数」フィールドに1を入力した場合、パスワードには少なくとも1つの数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。
     英数字の最小文字数	パスワードに含める必要がある文字または数字の最小数。 たとえば、「最小限の英数字数」フィールドに6を入力した場合、パスワードには少なくとも6つの文字または数字が含まれる必要があります。 このフィールドには0 - 999の値を入力できます。
     一意の最小文字数	パスワードに含める必要がある、繰り返されない文字の最小数。 たとえば、「最小限のユニーク文字数」フィールドに1を入力した場合、パスワード内の少なくとも1つの文字が繰り返されていなければパスワードは受け入れられます。たとえば、1a23321では、文字aが繰り返されていないため、他の文字が繰り返されていても有効なパスワードです。 このフィールドには0 - 999の値を入力できます。
     英字の最小文字数	パスワードに含める必要がある最小限の文字数。 たとえば、「最小限の英字数」フィールドに2を入力した場合、2文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。
     大文字の最小文字数	パスワードに含める必要がある大文字の最小数。 たとえば、「大文字: 最小」フィールドに8を入力した場合、大文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。
     小文字の最小文字数	パスワードに含める必要がある小文字の最小数。 たとえば、「最小限の小文字数」フィールドに8を入力した場合、小文字が8文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。
     特殊文字: 最小	パスワードに含める必要がある特殊文字の最小数。 たとえば、「特殊文字: 最小」フィールドに2を入力した場合、特殊文字が2文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。
     特殊文字: 最大	パスワードに含めることができる特殊文字の最大数。 たとえば、特殊文字: 最大フィールドに5を入力した場合、特殊文字が6つ以上含まれるパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。
     Unicode文字: 最小	パスワードに含める必要があるUnicode文字の最小数。 たとえば、Unicode文字: 最小数フィールドに3を入力した場合、Unicode文字が3文字未満のパスワードは使用できません。 このフィールドには0 - 999の値を入力できます。
     Unicode文字: 最大	パスワードに含めることができるUnicode文字の最大数。 たとえば、Unicode文字: 最大数フィールドに8を入力した場合、Unicode文字が9文字以上のパスワードは使用できません。 このフィールドには1 - 999の値を入力できます。
     パスワード・ファイル	パスワードとして許可されない事前定義済の用語が含まれるファイルのパスと名前。このファイルは、Oracle Identity Managerがデプロイされているホストに格納する必要があります。 ノート: 「ポリシー・ルール」タブ上の設定は、パスワード・ファイル内の仕様よりも優先されます。たとえば、許可されない用語が「ポリシー・ルール」タブで指定されていないときに、パスワード・ファイルの許可されない用語がポリシー内で使用されることがあります。
     ファイル・デリミタ	パスワード・ファイル内で用語を区切るために使用されるデリミタ文字。 たとえば、パスワード・ファイル・デリミタ・フィールドにカンマ(,)を入力した場合、パスワード・ファイル内の用語はカンマで区切られます。 ノート: パスワード・ポリシー内で使用するエスケープ文字は定義されていません。
     必須の文字	パスワードに含める必要がある文字。 たとえば、「必須の文字」フィールドにxを入力した場合、文字xを含むパスワードのみ使用できます。 「必須の文字」フィールドに指定する文字は、「許可される文字」フィールドで指定する必要があります。「許可された文字」フィールドに存在しない文字を「必須の文字」フィールドに入力すると、必須の文字は許可された文字のリストに含まれている必要があること、および必須の文字は許可されない文字に含まれていてはいけないことを示すエラーが表示されます。 また、2文字以上を指定する場合は、デリミタを付けないでください。このフィールドではカンマとスペースも文字として解釈されます。たとえば、「a,x,c」などの文字を指定した場合、カンマを含まないパスワードは使用できません。 ノート: 指定する文字では大文字と小文字が区別されます。
     許可された文字	パスワードに含めることができる文字。 たとえば、「許可される文字」フィールドにパーセント記号(%)を入力した場合、他の基準をすべて満たしていれば、パーセント記号を含むパスワードを使用できます。 ノート: パスワードに文字が含まれており、その文字が「許可される文字」フィールドにない場合、パスワードは拒否されます。たとえば、「許可される文字」フィールドでabcが指定されており、パスワードがdadの場合、dは「許可される文字」フィールドにないため、このパスワードは拒否されます。 「許可される文字」フィールドと「許可されない文字」フィールドに同じ文字を指定すると、パスワード・ポリシーの作成時にエラー・メッセージが返されます。 ノート: 指定する文字では大文字と小文字が区別されます。
     許可されない文字	パスワードに含めてはならない文字。 たとえば、「許可されない文字」フィールドに感嘆符(!)を入力した場合、感嘆符を含むパスワードは使用できません。 ノート: 指定する文字では大文字と小文字が区別されます。
     許可されない部分文字列	パスワードに含めてはならない英数字の連続文字列。 たとえば、「許可されない部分文字列」フィールドにoracleを入力した場合、文字o、r、a、c、l、eの順に連続して含まれるパスワードは使用できません。
     不正なログインの最大試行カウンタ	不正なログインの最大試行カウンタがユーザーに対して許可されます。最大数の試行に失敗すると、ユーザーがロックされます。ユーザーを永続的にロックするか、または一定期間ロックするかを設定できます。値をこのフィールドに入力すると、「永続的ロックアウト」および「ロックの継続時間」が有効になります。
     永続的ロックアウト	ユーザーが不正なログインの最大試行を超えた場合、そのユーザーを永続的にロックアウトできます。これを有効にするには、このチェック・ボックスを選択します。このオプションを有効にすると、ロックの期間を設定できません。ノート: このオプションが有効な場合、管理者のみがユーザーをロック解除できます。
     ロック期間	ユーザーが不正なログインの最大試行を超えた場合、ユーザーを特定の期間ロックできます。ユーザーをロックする期間が分単位で設定されます。たとえば、ロックの期間が5分に設定されている場合、ロックされているユーザーが5分後にロック解除されます。 「永続的ロックアウト」が有効な場合、このフィールドは適用できません。
     アルファベットで開始	パスワードが英字で始まる必要があるかどうか。 たとえば、このオプションを選択した場合、パスワード123welcomeは、先頭が文字でないため使用できません。ただし、このオプションを選択しない場合、パスワードは英字、数字または特殊文字で始めることができます。
     名の禁止	このチェック・ボックスは、パスワードの全部または一部としてユーザーのファースト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、パスワード・フィールドにユーザーのファースト・ネームが入力されると、パスワードは無効になります。また、ユーザーのファースト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのファースト・ネームが含まれているパスワードを使用できます。
     ユーザーIDの禁止	このチェック・ボックスは、パスワードの全部または一部としてユーザーIDを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合、パスワード・フィールドにユーザーIDが入力されると、パスワードは無効になります。また、「パスワード」フィールドにパスワードの一部としてユーザーIDが入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーIDが含まれているパスワードを使用できます。
     姓の禁止	このチェック・ボックスは、パスワードの全部または一部としてユーザーのラスト・ネームを使用できるかどうかを指定します。 このチェック・ボックスを選択した場合は、「パスワード」フィールドにユーザーのラスト・ネームが入力されると、パスワードは無効になります。また、ユーザーのラスト・ネームがパスワードの一部として入力されると、パスワードは無効になります。 このチェック・ボックスの選択を解除した場合は、ユーザーのラスト・ネームが含まれているパスワードを使用できます。
     空白の禁止	このチェック・ボックスでは、パスワードに空白を含めることができるかどうかを指定します。 このチェック・ボックスを選択した場合、パスワードに空白が含まれていると、パスワードは無効になります。 このチェック・ボックスの選択を解除すると、空白を含むパスワードが受け入れられます。 ノート: 「許可されない文字」フィールドの値に空白が含まれていないかぎり、このフィールドはデフォルトで選択解除されます。

5. 「適用」をクリックし、パスワード・ポリシーを保存します。

ノート:

パスワード・ポリシーの作成後、ポリシーを組織に関連付ける必要があります。ポリシーのルールがその組織のユーザーと下位組織に適用されます。詳細は、「パスワード・ポリシーの評価」を参照してください。

20.5 パスワード・ポリシーの評価

Oracle Identity Managerは、ユーザーがOracle Identity Managerに登録されたとき、またはユーザーが忘れたパスワードをリセットしたときに、ユーザーに適用可能なパスワード・ポリシーを評価します。

Oracle Identity Managerでは、次のようなシナリオでパスワード・ポリシーが評価されます。

• ユーザーがOracle Identity Managerに自分自身を登録して、Identity Self ServiceまたはOracle Identity System Administrationの特定のタスクを実行する場合。

• ユーザーが「パスワードを忘れた場合」リンクを使用してパスワードをリセットする場合。

• ユーザーが「本人情報」ページの「パスワードの変更」セクションから、エンタープライズ・パスワードまたはターゲット・システム・アカウントのパスワードを変更する場合。

• 管理者がユーザーのパスワードを手動で設定または変更する場合。

次に、ユーザーの有効なパスワード・ポリシーが評価される順序を示します。

1. ユーザーのホーム組織に設定されているパスワード・ポリシー(ある場合)は、ユーザーに適用されます。

2. パスワード・ポリシーがユーザーのホーム組織に設定されていない場合は、ユーザーのホーム組織の組織階層の次のレベルの組織のポリシーが選択されます。パスワード・ポリシーに関連付けられた組織が決定されるまで、ユーザーのホーム組織の階層の次のレベルの組織を識別するこの手順は繰り返されます。このパスワード・ポリシーはユーザーに適用されます。

3. 階層のどの組織にもパスワード・ポリシーが設定されていない場合は、最上位組織に付加されたパスワード・ポリシーが適用されます。最上位組織に付加されたパスワード・ポリシーがない場合には、XellerateUsersリソースのデフォルト・パスワード・ポリシーが適用されます。

20.6 チャレンジ・オプションの設定

Oracle Identity Managerを使用すると、管理者は忘れたパスワードをリセットする前に、ユーザーに表示されるチャレンジ質問のセットを構成して、ユーザーのIDを検証できます。

パスワード・ポリシーのチャレンジ質問オプションを設定するには:

1. 「パスワード・ポリシー」ページで、開くパスワード・ポリシーを検索し、選択します。

2. 「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。パスワード・ポリシーの詳細ページが表示されます。

   ノート:

   パスワード・ポリシーの作成時にチャレンジ・オプションを設定することもできます。

3. 「チャレンジ・オプション」セクションで、「チャレンジ・ポリシーのサポートの有効化」が有効な場合、表20-3に示すフィールドを構成できます。

   表20-3 「チャレンジ・オプション」セクションのフィールド

   フィールド名	説明
   許可されているチャレンジ	このフィールドでは、ユーザーに表示するチャレンジ質問のセットを選択できます。オプションは、「ユーザー定義」、「管理者が定義されました」または「ユーザーまたは管理者が定義されました」です。 「ユーザー定義」が選択される場合、チャレンジ質問がユーザーによって設定されます。 「管理者が定義されました」が選択される場合、チャレンジ質問が管理者によって提供されたリストから選択されます。 「ユーザー」または「管理者が定義されました」が選択される場合、質問の組合せが定義された管理者とカスタマイズされたユーザーです。
   収集される質問合計	これにより、ユーザーがログイン時に入力する必要があるチャレンジ質問の合計数が決定されます。
   チャレンジ時の最小正答数	ユーザーがチャレンジ質問を求められた場合に提供する必要がある最小正答数。
   重複レスポンスの許可	これにより、重複レスポンスを許可するかどうかを選択できます。
   最小回答長	チャレンジ質問の回答の最小長。
   試行後にユーザーをロック	ユーザーがチャレンジ質問に間違った回答を入力した場合にユーザーをロックするまでの試行数。

4. 「許可されているチャレンジ」が「管理者が定義されました」または「ユーザーまたは管理者が定義されました」に設定されている場合、チャレンジ質問を追加する必要があります。チャレンジ質問の数は、「収集される合計質問数」フィールドによって決定されます。

   質問を追加するには:

   1. 「チャレンジ質問」セクションで、「追加」をクリックします。

   2. 「質問」表にチャレンジ質問を入力します。追加の質問を含めるには、「追加」をクリックします。

   3. 質問を削除するには、質問を選択して「削除」をクリックします。

   ノート:

   チャレンジ質問をカスタマイズした場合は、IDM_HOME/server/customResources/ディレクトリのcustomResourcesプロパティを変更して、ローカル・メッセージを追加します。

5. 「適用」をクリックして、パスワード・ポリシーの変更を保存します。

20.7 パスワード・ポリシーの削除

不要または使用されていないパスワード・ポリシーを削除します。

パスワード・ポリシーを削除するには:

1. 「パスワード・ポリシー」ページで、削除するパスワード・ポリシーを検索し、選択します。
2. 「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
3. 「はい」をクリックし、削除を確定します。

20.8 パスワード・ポリシーと組織の関連付け

パスワード・ポリシーを組織に関連付け、パスワード・ポリシーを使用してOracle Identity Managerユーザーのパスワードを管理するには、「組織の作成」を参照してください。

パスワード・ポリシーをリソースに関連付けるには、Oracle Identity Governanceの管理のアプリケーション・インスタンス用のパスワード・ポリシーの構成に関する項を参照してください。