このセクションでは、パスワードセルフ サービスの設定と管理について説明します。
セルフ(自己)サービスを設定すると、ユーザがパスワードを忘れた場合に復元したり、パスワードポリシーで指定済みのルールを見ながらパスワードをリセットしたりできるため、ヘルプデスクの負担を減らすことができます。
パスワードセルフサービスのポリシーを管理するには、次のいずれかを使用します。
iManager
この章では主に、iManagerを使用してパスワードセルフサービスを管理する方法について説明します。
Identity Managerユーザアプリケーション
Identity Managerユーザアプリケーションでパスワードセルフサービスを管理する方法については、『NetIQ Identity Manager Roles Based Provisioning Module 4.5 User Application User Guide』の「Using the Identity Self-Service Tab」を参照してください。
ユーザは、次のいずれかを使用してパスワードセルフサービス機能にアクセスします。
iManagerポータル
Identity Managerユーザアプリケーションのポートレット
Identity Managerユーザアプリケーションでパスワードセルフサービスを使用する方法については、『NetIQ Identity Manager Roles Based Provisioning Module 4.5 User Application User Guide』の「Using the Identity Self-Service Tab」を参照してください。
Novell Client
Novell Clientでパスワードセルフサービスを使用する方法については、『Novell Client for Windows Administration Guide』の「Using Forgotten Password Self-Service」を参照してください。
セクション 26.4, パスワードポリシーを使用したパスワードの管理の情報を確認して、セクション 26.4.3, パスワードポリシーを使用するために必要な事前タスクの前提条件を満たすようにしてください。
ユニバーサルパスワードを展開しなくてもパスワードセルフサービスの一部の機能を使用できますが、パスワードポリシーのすべての機能を使用できるようにするために、環境を準備してユニバーサルパスワードを有効にすることをお勧めします。
また、Novell Clientでもパスワードセルフサービス機能を利用します。『Novell Client for Windows Administration Guide』の「Using Forgotten Password Self-Service」を参照してください。
次のセクションでは、iManagerを使用して「パスワード忘れ」(パスワードを忘れた場合の機能)を管理する方法について説明します。
Identity Managerユーザアプリケーションを使用してパスワード忘れを管理する方法については、『NetIQ Identity Manager 4.5 Password Management Guide』の「Password Management Configuration」を参照してください。
ユーザがパスワードを忘れた場合にヘルプデスクに連絡せずに回復できるようにするには、パスワード忘れ機能を有効にします。次の図に示すように、パスワードポリシーウィザードを使用してパスワードポリシーを作成するときに、このオプションが表示されます。パスワードポリシーウィザードの詳細については、パスワードポリシーウィザードの使用中に秘密の質問を作成するには、次の手順を実行します。を参照してください。
図 26-6 パスワードを忘れた場合の処理を有効にする
また、次のようにして既存のパスワードポリシーでパスワード忘れ機能を有効にすることもできます。
iManagerで、[パスワード]>[パスワードポリシー]の順にクリックします。
ポリシーの名前をクリックします。
[パスワードを忘れた場合]タブをクリックします。
[パスワードを忘れた場合の処理を有効にする]を選択し、秘密の質問を選択または作成し、アクションを指定し、[認証]オプションを選択して、[OK]をクリックします。
秘密の質問とは本人確認のためにユーザが答える質問のセットであり、ユーザがパスワードを使用せずに自分の識別情報を答えとして入力します。秘密の質問はパスワードポリシーに割り当てられ、パスワードポリシーの認証方式の一部として使用されます。これらの秘密の質問に対するユーザの答えでは、大文字小文字が区別されます。
ユーザ向けの「パスワード忘れ」セルフサービス機能の一部として、秘密の質問を使用することができます。忘れたパスワードを受け取る前に秘密の質問に答えるようユーザに要求することで、セキュリティのレベルが追加されます。
パスワードポリシーを作成するときに「パスワード忘れ」セルフサービスを有効にすると、ユーザはヘルプデスクに電話しなくても支援を受けることできます。セルフサービスの安全性を高めるには、秘密の質問を作成して、パスワード忘れの支援をユーザが利用する前に必ず秘密の質問に答えるように指定できます。また、ユーザが質問に答えた後に実行する支援動作(たとえばパスワードのヒントを表示するなど)も指定します。これらのセルフサービス機能は、iManagerを通してユーザに提供されます。選択肢については、パスワードを忘れた場合のアクションの選択の説明をブラウズしてください。
iManagerで[パスワード]>[Challenge Sets]をクリックします。
[新規作成]をクリックします。
[Challenge set name]フィールドに名前を入力し、秘密の質問が作成されるコンテナを選択して、秘密の質問を選択または作成します。
秘密の質問のデフォルトの質問を選択するには、該当するチェックボックスを選択します。
質問や、答えとして許可される(最小または最大)文字数を編集するには、質問をクリックします。
質問を作成してそれを秘密の質問に追加するには、[Add Question]をクリックします。
ユーザ定義: このオプションを選択した場合、ユーザは独自の秘密の質問を作成できます。
NMASは、ユーザ定義の質問および答えをeDirectoryに格納します。
必須の質問: ユーザがパスワードセルフサービスを使用するときには、このリストに含まれる質問が常に表示されます。
ランダムな質問: ユーザが初めて秘密の質問に答えることによってパスワード忘れ機能をセットアップするとき、このリストの質問が一度だけ完全なセットとして表示されます。その後、パスワード忘れ機能を利用する必要が生じた場合には、質問セットの一部のみが提示され、ユーザはその質問に答えます。ランダムに表示される質問の数は、指定した数によって決まります。
OKをクリックします。
iManagerで[パスワード]>[パスワードポリシー]>[新規]をクリックしてウィザードを起動します。
ステップ4で[はい]をクリックして、パスワード忘れ機能を有効にします。
ステップ5で[Require a Challenge Set]を選択して、[New challenge set]をクリックします。
既存の秘密の質問を使用するには、それをブラウズして選択します。
作成した秘密の質問が入るコンテナを指定します。[Challenge Set Name] フィールドに名前を入力して、[次へ]をクリックします。
必須またはランダムの秘密の質問を選択するか、作成します。
新しい質問を作成する必要がない場合は、既存の質問を選択してください。
ユーザが独自の質問を追加できるようにするには、[ユーザ定義]を選択します。
新しい質問を作成するには、次の手順を実行します。
[Add Question]をクリックします。
[Administrator Defines the Question]を選択し、[追加]をクリックし、ドロップダウンメニューから言語を指定し、質問を入力して、[OK]をクリックします。
この質問が必須か、それともランダムかを指定します。
必要に応じて最小文字数と最大文字数を指定し、[OK]をクリックします。
ランダムな質問の数を指定して、[次へ]をクリックします。
パスワードポリシーウィザードの残りのステップを完了します。
iManagerで、[パスワード]>[パスワードポリシー]の順にクリックします。
ポリシーの名前をクリックします。
[パスワードを忘れた場合]タブをクリックします。
[パスワードを忘れた場合の処理を有効にする]>[Require a Challenge Set]を選択します。
既存の秘密の質問をブラウズして選択するか、新しい秘密の質問を作成してそれを選択します。
新しく作成するには、次の手順を実行します。
[Challenge Sets]リンクをクリックします。
[Challenge Sets]ダイアログボックスで、[新規]をクリックします。
[Challenge Sets]ダイアログボックスで、秘密の質問に名前を付け、作成した秘密の質問が入るコンテナを指定し、必須またはランダムの質問を選択または追加して、ユーザに提示するランダム質問の数を指定します。
OKをクリックします。
iManagerで、[パスワード]>[パスワードポリシー]の順にクリックします。
ポリシーの名前をクリックします。
[パスワードを忘れた場合]タブをクリックします。
[パスワードを忘れた場合の処理を有効にする]チェックボックスを選択します。
アクションを選択します。
ユーザがパスワードをリセットできるようにする: 秘密の質問に答えて自分を識別する情報を入力した後、ユーザは新しいパスワードに変更することを許可されます。ユーザは秘密の質問に答えることによってすでに認証されているため、古いパスワードを入力しなくてもパスワードを変更することができます。このオプションを使用するには、管理者が秘密の質問を要求する必要があります。さらに、ユーザが秘密の質問に答えることによってiManagerポータルでパスワード忘れ機能をすでにセットアップしている必要もあります。
現在のパスワードを電子メールでユーザに送信する: 秘密の質問に答えて自分を識別する情報を入力した後、ユーザは現在のパスワードを電子メールで受け取ります。このオプションを使用するには、次の操作をする必要があります。
ポリシーのユニバーサルパスワードを有効にします。これは[ユニバーサルパスワード]の[環境設定オプション]にあります。
[Allow User to Retrieve Password]オプションを有効にします([ユニバーサルパスワード]の下の[環境設定オプション])。
セクション 26.5.6, パスワードセルフサービスの電子メール通知の設定の説明に従って電子メール通知を設定します。
さらに、ユーザが秘密の質問にすでに答えることで、iManagerのパスワード忘れ機能をセットアップしていなければなりません。
ユーザにヒントを送信する: ユーザはパスワードのヒントを電子メールで受信します。このオプションを使用するには、セクション 26.5.6, パスワードセルフサービスの電子メール通知の設定の説明に従って電子メール通知をセットアップする必要があります。
さらに、ユーザがパスワードのヒントをすでに入力した結果として、iManagerのパスワード忘れ機能がセットアップ済みである必要もあります。
ヒントをページに表示: iManagerポータルで、パスワードのヒントがユーザに表示されます。このオプションを使用するには、ユーザがすでにパスワードのヒントを指定して、iManagerのパスワード忘れ機能をセットアップ済みである必要があります。
パスワード忘れ機能のアクションとしてパスワードのヒントを要求するよう指定した場合、ユーザはパスワードを思い出すためのヒントを入力できます。
パスワードヒント属性(nsimHint)はパブリックに読み込み可能です。これにより、認証を受けていない、パスワードを忘れたユーザは自分のヒントにアクセスできます。パスワードヒントを使用すると、ヘルプデスクへの問い合わせが非常に少なくなる可能性があります。
セキュリティのため、パスワードヒントにユーザの実際のパスワードが含まれていないかどうか検査されます。ただし、作成したパスワードヒントでユーザがパスワードに関する情報を多くの与えすぎてしまう可能性が依然としてあります。
パスワードヒントを使用する際のセキュリティを強化するには、以下を行います。
パスワードセルフサービスに使用されるnds-cluster-configサーバ上のnsimHint属性にのみアクセスを許可する。
自分だけが理解できるパスワードヒントを作成するようユーザに促す。パスワードポリシーの[パスワード変更メッセージ]は、これを実行する1つの方法です。詳細については、セクション 26.5.5, パスワード変更メッセージの追加を参照してください。
セキュリティ保護されたヒント属性(nsimPasswordReminder)はパブリックに読み取り可能でないため、より安全です。この場合、ヒントが表示される前に、ユーザは秘密の質問に答える必要があります。
本人確認と回答の要件は、[パスワードポリシー]プロパティの[パスワードを忘れた場合]セクションで設定されます。
パスワードヒントを使用しないことを選択した場合は、どのパスワードポリシーでもそれを決して使用しないでください。
[Forgot your password?]リンクをポータル(デフォルトではhttps://www.servername.com/nps)へのログイン時にクリックした場合、以下の条件が満たされない限り、そのユーザのリンクは機能しません。
管理者が[パスワードを忘れた場合]を有効にしてパスワードポリシーをすでにセットアップした。
[パスワードを忘れた場合]の設定で秘密の質問またはパスワードヒントのいずれかが指定されている場合、ユーザがすでに質問またはヒントをセットアップした。
パスワード忘れ機能のアクションによっては、ユーザがパスワード忘れセルフサービスを使用する前に何らかのセットアップをする必要が生じます。たとえば、ユーザを識別するために秘密の質問を使用するようパスワードポリシーで指定されている場合、パスワードを忘れた場合のアクションが「ユーザにパスワードヒントを電子メールで送信する」であれば、まずユーザが秘密の質問に答えてパスワードヒントを作成した後で、パスワード忘れセルフサービスを使用できるようになります。
ユーザはこれらの機能のセットアップをポータルで自主的に開始できます。あるいは、認証後サービス(ポータルへのユーザログイン後に表示されるページ)を使ってユーザにセットアップを要求することもできます。
ログイン時にこれらの機能をセットアップするようユーザに求めるには、パスワードポリシーインタフェースの[パスワードを忘れた場合]ページの下部にある[Force users to configure Challenge Questions and/or Hint upon authentication]オプションを選択します。ポリシーを作成するとき、これがデフォルトで選択されます。
図 26-7 パスワードポリシー
ユーザに任意の時点でパスワード忘れ機能をセットアップさせるには、ポータルのURL (たとえばhttps://www.my_iManager_server.com/nps)をユーザに提供する必要があります。
ユーザ側で設定する方法には、次の2つがあります。
管理者は[パスワードを忘れた場合]オプションを選択して、ユーザのログイン成功後にパスワード忘れ機能をセットアップするようユーザに要求できます。これにより、認証後に秘密の質問またはヒントを設定するようユーザに強制します。このオプションを選択した場合、ユーザが質問またはヒントをまだセットアップしていなければ、ユーザが次回にポータルからログインしたとき、パスワード忘れ機能設定ガジェットが表示されます(ポータルのデフォルトはhttps://www.servername.com/nps)。これを認証後セットアップといいます。
ユーザがiManagerポータルからログインするとき、パスワード忘れセルフサービスの秘密の質問とパスワードヒントをセットアップまたは変更するためのガジェットにアクセスできます。これは、ユーザがパスワード変更操作を開始できる場所と同じです。ここから、次のガジェットにアクセスできます。
ヒントのセットアップ
秘密の質問に答える
(ユニバーサル)パスワードの変更
ユーザは、いつでもこれらの変更を開始できます。ただし、ユーザのパスワードポリシーでヒントや秘密の質問が必要とされない場合は、ユーザはこれらをセットアップできません。オプションを利用できないことを示すメッセージがページに表示されます。
各アプリケーション(iManager 2.02以降、ユーザアプリケーションポートレット、Novell Client)でのこれらのユーザオプションの外観を示す例については、各アプリケーションのマニュアルを参照してください(セクション 26.5.1, パスワードセルフサービスの概要を参照)。
パスワードポリシーを作成または変更した場合、ユーザがポータルから次回ログインしたときに、準拠しない既存のパスワードを変更するようユーザに要求できます。
これを行うには、[環境設定オプション]の下の[ユニバーサルパスワード]タブを使用してパスワードポリシーのオプションを設定します。これは[Verify whether existing passwords comply with the password policy (verification occurs on login)]というオプションです。新しいパスワードポリシーを作成するとき、デフォルトでこのオプションは無効です。次の図は、このオプションを設定するページを示しています。
図 26-8 既存のパスワードの準拠を要求する
このオプションを設定すると、ユーザが次回ポータルを介してログインしたとき、パスワードがパスワードポリシーに準拠しているかどうか検査されます。パスワードが準拠していない場合、次のようなページが表示され、ユーザはパスワードを変更しない限りログインを許可されません。
図 26-9 パスワードの変更
Identity Managerに付属のiManagerプラグインをインストールした後、次の図のような[パスワードを忘れた場合]リンクがiManagerポータル(デフォルトではhttps://www.servername.com/nps)に表示されます。
図 26-10 iManagerでの[パスワードを忘れた場合]
Novell Clientで認証するときにも、同じようなリンクが表示されます。
ユーザがこのリンクをクリックすると、次のページが表示され、ユーザ名の入力を求められます。
図 26-11 Virtual OfficeおよびNovell Clientでの[パスワードを忘れた場合]
ユーザ名を入力した後、パスワード忘れ機能の設定に応じて、ユーザに表示される内容が異なります。
たとえば、パスワードポリシーで秘密の質問を使用するよう管理者が指定した場合、次のようなページが表示されます。この場合、ユーザは秘密の質問に答えることで本人確認の情報を提供する必要があります。
図 26-12 パスワードを忘れた場合の秘密の質問
パスワードを忘れた場合のアクションとして[ヒントをページに表示]を管理者が指定した場合、次のようなページが表示されます。
図 26-13 パスワードを忘れた場合のヒント
パスワードを忘れた場合のアクションとして[E-mail Current Password to User]または[E-mail Hint to User]を管理者が指定した場合、パスワードまたはヒントが電子メールですでに送信されたことを示すメッセージが表示されます。
ユーザが自分のパスワードをリセットできるように、パスワードポリシーを設定することができます。このタスクがどのようにユーザに表示されるかは、ユーザが使用するアプリケーションによって異なります。さまざまなアプリケーションのマニュアルのリンクについては、セクション 26.5.1, パスワードセルフサービスの概要を参照してください。
ユーザは任意の時点で自分のパスワードを変更できますが、通常は、できるだけ長期にわたって同じパスワードを使用しようとします。セキュリティを強化するために、パスワードポリシーを使用してパスワードの変更を要求することができます。パスワード変更メッセージおよびパスワードルールをそのポリシーに含めることができます。ユーザがパスワードを変更するたびに、次のメッセージおよびルールがユーザに表示されます。
パスワードポリシーを編集してこのメッセージを作成するには、次の手順を実行します。
iManagerで、[パスワード]>[パスワードポリシー]の順にクリックします。
メッセージの追加先となるパスワードポリシーの名前をクリックします。
[Policy Summary]>[パスワード変更メッセージ]をクリックします。
ユーザに対して表示するメッセージを入力して、[OK]をクリックします。
iManagerの「通知の設定」という役割を使用すると、電子メールサーバを指定し、電子メール通知用のテンプレートをカスタマイズすることができます。
パスワード同期およびパスワードセルフサービスから自動化された電子メールをユーザに送信するために、電子メールのテンプレートが提供されています。
テンプレートは作成しません。代わりに、これらを使用するアプリケーションによって用意されています。電子メールテンプレートは、eDirectoryのテンプレートオブジェクトで、通常は、ツリーのルートにあるセキュリティコンテナに配置されています。これらはeDirectoryオブジェクトですが、iManagerインタフェースからのみ編集することをお勧めします。
これはモジュラフレームワークです。電子メールテンプレートを使用する新しいアプリケーションが追加された場合、テンプレートは、それを使用するアプリケーションとともにインストールできます。
Identity Managerには、パスワード同期およびパスワードを忘れた場合の通知用のテンプレートが用意されています。iManagerインタフェースでの選択に基づき、電子メールを送信するかどうかが制御されます。
パスワード忘れ機能では、パスワードを忘れた場合のアクションとして[E-mail Current Password to User]または[e-mail password hint to user]を選択した場合のみ、電子メール通知が送信されます。
このセクションでは、次の点について説明します。
eDirectoryユーザがInternet EMail Address属性に入力済みであることを確認します。
iManagerで、[パスワード]>[Email Server Options]の順にクリックします。
次の情報を指定します。
ホスト名
電子メールメッセージの[送信者]フィールドに表示する名前(たとえば「管理者」)
サーバに対して認証するためのユーザ名とパスワード(必要な場合)
OKをクリックします。
の説明に従い、電子メールテンプレートをカスタ\'83\'7dイズします。通知のための電子メールテンプレートの設定
メッセージを送信する機\'94\'5cを使用する場合は、電子メールサーバの設定後、電子メールテンプレートを使用するアプリケーションから電子メールメッセージを送信できます。
これらのテンプレートは、独自のテキストでカスタマイズできます。テンプレートの名前は、使用目的を示します。電子メールテンプレートには言語サポートが備わっています。
iManagerで、[パスワード]>[Edit Email Templates]の順にクリックします。テンプレートのリストが表示されます。
必要に応じてテンプレートを編集します。
置換タグを追加する場合は、追加の作業が必要となることがあります。
機能が正しく設定されていることを確認するには、パスワードセルフサービスのテストの一部として、次を実行します。
次の特徴を持つポリシーを作成します。これを行う方法については、秘密の質問の作成または編集を参照してください。
パスワードを忘れた場合の処理を有効にする
秘密の質問を必要とする
このオプションを選択すると、ログイン時に秘密の質問の答えとヒントが設定されていることを確認します。
テストに使用できる少なくとも1人のユーザを含むコンテナにパスワードポリシーを割り当てます。このユーザは、ユーザオブジェクトの[インターネット電子メールアドレス]属性に電子メールアドレスが示されているユーザです。
パスワードポリシーが割り当てられていない、テストで使用できる別のユーザが存在することを確認します。
パスワードセルフサービスをテストするには、Identity Managerユーザアプリケーションを使用します。その方法については、『NetIQ Identity Manager Roles Based Provisioning Module 4.5 User Application User Guide』の「Using the Identity Self-Service Tab」を参照してください。
Windowsユーザの場合は、Novell Clientを使用してパスワードセルフサービスをテストします。その方法については、『Novell Client for Windows Administration Guide』の「Using Forgotten Password Self-Service」を参照してください。
パスワードセルフサービスのセクションのほとんどの手順では、(パスワードセルフサービス機能をサポートする最後のiManagerバージョンである)iManager 2.0.2サーバ上でパスワードセルフサービス機能を使用することを想定しています。iManager 2.0.2より後のバージョンを使用している場合は、NetIQのユーザアプリケーションを介してのみ、パスワードセルフサービスを実行できます。NetIQのユーザアプリケーションを使ってパスワードセルフサービスを実行する方法について、詳しくは『NetIQ Identity Manager Roles Based Provisioning Module 4.5 User Application User Guide』の「Using the Identity Self-Service Tab」を参照してください。
iManager以外の製品を含むさまざまなポータル製品でパスワードセルフサービス機能を使用する方法については、次の表を参照してください。
ユーザがiManagerポータル(https://iManager_server_IP_address/nps)にログインしたとき、次の条件が当てはまる場合には、いくつかの認証後ページで操作を実行するよう促されます。
ユーザのパスワードがパスワードポリシーの高度なパスワードルールに準拠していない
パスワード忘れセルフサービスの使用時に秘密の質問を必要とするようパスワードポリシーで指定されているが、ユーザがこれらの質問をまだ設定していない
パスワードを忘れた場合のアクションとしてパスワードヒントを表示するようパスワードポリシーで指定されているが、ユーザがヒントをまだ設定していない
たとえば、ユーザがパスワード忘れセルフサービスを確実に使用できるようにするには、これらのプロンプトが必要です。ユーザが秘密の質問に答えるようパスワードポリシーで指定されているが、ユーザが最初にそれらを設定していない場合、ユーザはパスワード忘れセルフサービスにアクセスできません。ユーザがまだパスワードヒントを作成していない場合、ユーザはパスワードを思い出すためのヒントを取得することができません。
他のポータルの製品では認証後機能が自動的に提供されないため、ユーザはiManagerポータルに少なくとも1回ログインし、準拠するパスワードを作成してパスワード管理セットアップを完了する必要があります。さらに、パスワードポリシーを変更したときにも必ずこの操作を再び行う必要があります。
秘密の質問の答えを使用するには、iManager 2.02でサポートされるブラウザを必ず使用してください。
SSLを正しくセットアップしていない場合、iManagerやポータルにはログインできません。iManagerに正常にログインでき、単純認証用にTLSを要求している場合には、SSLが正しくセットアップされています。したがってパスワードセルフサービスのトラブルシューティング時にSSL関連の問題の可能性を排除できます。