委任認証でのネットワーク障害の処理
委任認証でのネットワーク障害を処理します。
ほとんどの組織では、ユーザー・アカウントの管理に現在もMicrosoft Active Directory (AD)を使用しており、ユーザーは様々なシステムへの認証およびアクセスにActive Directoryを使用しています。なんらかの理由で、ユーザーは、Active Directory資格証明を使用して自分自身を認証できない場合があります。これは、組織の日常業務やビジネスに大きな影響を与えます。
このような状況を回避するために、IAMにはネットワーク障害の処理機能があります。この機能は、IAMがActive Directory (AD)ブリッジにアクセスできない場合でも、ユーザーがActive Directory資格証明でサインインするのに役立ちます。
IAMでADドメインの委任認証を構成して、ユーザーがActive Directoryパスワードを使用してIAMに対して認証できるようにします。
ADブリッジにアクセスできない場合、ユーザーはActive Directoryで資格証明を検証できないため、IAMにサインインできません。Active Directoryにアクセスできない場合にはいくつかの理由があります。ADブリッジとIAM間のネットワーク接続が停止していることが原因である可能性があります。
この状況を回避するために、IAMには、ADブリッジにアクセスできない場合にローカル認証を実行するためのローカル・パスワード・キャッシュ機能があります。この機能は、ADブリッジにアクセスできない場合でも、委任されたユーザーがIAMにサインインするのに役立ちます。セキュリティ上の理由から、このパスワードはIAMのハッシュ形式で格納されます。
IAMのこのキャッシュ・パスワードの存続期間が制限されていることを確認します。IAMでパスワードをキャッシュするように設定した最大期間(5日間)を構成できます。たとえば、ネットワーク接続が停止して、パスワード・キャッシュ期間を2日間に設定している場合、ユーザーは2日間のみIAMにサインインできます。ただし、指定した期間より長くActive Directoryにアクセスできない場合は、IAMにサインインできません。
誰かが総当たり攻撃を使用してアカウントにアクセスできる可能性を排除するために、IAMでのパスワード・キャッシュ期間中のパスワード試行の失敗回数を制限できます。何度か試行に失敗すると、IAMはユーザー・アカウントをロックします。構成可能な制限は5回です。
-
ユーザーは、自分のパスワードを変更できません
-
ユーザーは、トークンを検証して自分のパスワードをリセットできません
-
ユーザーは、自分の電子メール・アドレスを変更できません
-
管理者は、ユーザーのパスワードを既知の値に変更できません
-
管理者は、Active Directoryによって認証されるユーザーのパスワードをリセットできません
ただし、Active Directoryで最近パスワードを変更した場合、Active Directoryが使用可能である間にすでにIAMにログインしていれば、接続の停止中にそのパスワードを使用してIAMにサインインできます。
正しいパスワードを指定した場合でも、システム・エラーが発生することがあります。これは、パスワード・キャッシュが空であるか、パスワードが期限切れになったためです。
ローカル・パスワード・キャッシュのアクティブ化
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「委任認証」を選択します。
- パスワード・キャッシュをアクティブ化するADブリッジの右側にあるノードを展開します。
- 「パスワード・キャッシュのアクティブ化」スイッチを「オン」にします。
- このパスワードをキャッシュする期間を「パスワード・キャッシュ期間(日)」に設定します。
- 「パスワード・キャッシュ中のパスワード試行の失敗回数」で、パスワード・キャッシュ中のパスワード試行の失敗回数を選択します。
- 「保存」を選択します。