Password Policy (パスワードポリシー)は、エンドユーザパスワードの作成および交換に関する基準を指定した管理者定義ルールの集まりです。NMASを使用すると、eDirectoryのユーザに割り当てるパスワードポリシーを強制できます。パスワードポリシーには[パスワードを忘れた場合]セルフサービス機能を含めて、パスワードを忘れた場合のヘルプデスクへの呼び出しを減らすこともできます。セルフサービス機能としては、パスワードリセットセルフサービスもあります。パスワードリセットセルフサービスでは、ユーザが管理者によってパスワードポリシーに指定されたルールを確認しながら、自分のパスワードを変更することができます。ユーザはこれらの機能に、Identity ManagerユーザアプリケーションまたはIdentity Consoleからアクセスします。
パスワードポリシーモジュールを使用して、次のタスクを実行できます。
新しいパスワードポリシーを作成するには、次の手順を実行します。
Identity Consoleのランディングページから、[認証管理]>[パスワードポリシー]オプションをクリックします。
アイコンをクリックして、新しいパスワードポリシーを作成します。
次の画面で、名前、コンテキスト、説明、およびパスワード変更メッセージを指定します。
デフォルト設定でパスワードポリシーを作成する場合は、[Create a new Password Policy based on default settings(デフォルト設定に基づいて新しいパスワードポリシーを作成する)]チェックボックスをオンにし、[次へ]をクリックして[概要]ページを表示します。
[概要]ページで詳細を確認し、[作成]をクリックします。
パスワードポリシーが正常に作成されたことを示す確認メッセージが表示されます。
図 18-9 デフォルト設定を使用したパスワードポリシーの作成
カスタム設定値でパスワードポリシーを作成するには、次の手順を実行します。
Identity Consoleのランディングページから、[認証管理]>[パスワードポリシー]オプションをクリックします。
アイコンをクリックして、新しいパスワードポリシーを作成します。
次の画面で、名前、コンテキスト、説明、およびパスワード変更メッセージを指定します。
カスタム設定値でパスワードポリシーを作成する場合は、[次へ]をクリックします。
[環境設定]ページで次のアクションを実行します。
ユニバーサルパスワードを有効にする: ポリシーにユニバーサルパスワードを有効にすることで、[パスワードポリシー]機能のオプションを使用できるようになります。ただし、ポリシーでユニバーサルパスワードを有効にする前に、使用環境でユニバーサルパスワードの前提条件を満たしている必要があります。
高度なパスワードルールを有効にする: このオプションにより、[高度なパスワードルール]にあるパスワードルールが有効になります。これらのルールは、パスワードの有効期間や文字、数字、大文字または小文字、特殊文字の組み合わせなどのパスワードの内容を制御することで、環境のセキュリティを確保するのに役立ちます。会社名などの、安全でないと思われるパスワードを除外することができます。
パスワード同期: これらのオプションでは、 eDirectory内で、ユニバーサルパスワードが他のタイプのアイデンティティボールトパスワードと同期する方法を指定します。パスワード同期には、次のオプションが含まれます。
Remove NDS password when setting Password(パスワードを設定するときにNDSパスワードを削除する): このオプションを選択すると、ユニバーサルパスワードが設定されるときにNDSパスワードが無効になります。ユーザは、NMASと通信する代わりに、NDSパスワードで直接ログインする古いメソッドやユーティリティを使用できなくなります。このオプションを設定すると、次のオプション[パスワードの設定時にNDSパスワードを同期する]がデフォルトで無効になります。
Synchronize NDS password when setting Password(パスワードを設定するときにNDSパスワードを同期する): このオプションを選択すると、Identity Consoleなどのアプリケーションにおいても、ユニバーサルパスワードの設定をNDSパスワードに変更できます。
Synchronize Simple Password when setting Password(パスワードを設定するときに単純パスワードを同期する): このオプションは、単純パスワードおよびユーザプロビジョニングを使用するNetIQクライアントおよびサードパーティクライアントとの互換性を提供します。
Synchronize Distribution Password when setting Password(パスワードを設定するときに配布パスワードを同期する): このオプションにより、メタディレクトリエンジンがeDirectory内でユーザのユニバーサルパスワードを取得または設定できるかどうかが決まります。
Universal Password Retrieval: 次のオプションを指定できます。
Allow user to retrieve password: ユーザエージェントにパスワードの取得を許可します。このオプションにより、パスワードを電子メールでユーザに送信できるようにするため、[パスワードを忘れた場合]セルフサービス機能がユーザに代わってパスワードを取得するかどうかを指定します。このオプションを選択しない場合、パスワードポリシーの[パスワードを忘れた場合]タブにある、対応する機能は選択できなくなります。
管理者にパスワードの取得を許可する: この機能を必要とする特定のサービスがある場合、このボックスを選択します。Identity Manager の場合、管理者がパスワードを取得する必要はありません。ただし、一部のサードパーティサービスはこのオプションを利用する場合があります。
パスワードの取得を次のユーザに許可する: アイコンをクリックして、パスワードを取得することになっている適切なユーザを選択します。
認証:
既存のパスワードがパスワードポリシーに準拠するかどうかを確認します(検証はログイン時に実行されます): このオプションでは、新しいパスワードポリシーを導入するときや、既存のポリシーの[高度なパスワードルール]を変更する場合に、既存のパスワードが新しいルールや変更済みのルールに準拠していることを確認できます。
このオプションを選択すると、ユーザがログインするときに、既存のパスワードが分析されることで、新しいまたは変更済みの[高度なパスワードルール]に準拠していることを確認できます。既存のパスワードがルールに準拠していない場合、ユーザはそのパスワードを変更するように求められます。
完了したら、[次へ]をクリックします。
高度なパスワードルールは、パスワードの有効期間、パスワードの変更頻度、パスワードに含まれる内容などのパスワードの詳細を制御することで、環境のセキュリティを確保するのに役立ちます。
特殊文字とは、数字(0-9)でもなく、アルファベット文字でもない文字を指します。
[高度なパスワードルール]ページで次のアクションを実行します。
Microsoft Complexity Policy (Microsoft Windows Server 2008より前)、Microsoft Server 2008パスワードポリシー、またはNovell構文を使用して、パスワード構文の設定を管理できます。
ウィザードでパスワード変更、パスワード有効期間、パスワードの長さと構成、およびパスワードの除外に必要なオプションを指定し、[次へ]をクリックします。
ユーザがパスワードを忘れたときの[パスワードを忘れた場合]セルフサービスを有効にすることで、ヘルプデスクのコストを削減できます。ユーザは、Identity Consoleポータルからこれらのセルフサービス機能にアクセスできます。[パスワードを忘れた場合]ページで次のアクションを実行します。
メモ:[パスワードを忘れた場合]を有効にする場合は、ユーザのログインを支援する[秘密の質問]が必要かどうかを指定する必要があります。
秘密の質問: 秘密の質問を使用する場合、ユーザは秘密の質問に答えるまで[パスワードを忘れた場合]セルフサービスを使用できません。ユーザにIdentity Consoleポータルからこの情報を入力するように求めるようにするには、[秘密の質問を要求する]オプションを選択します。
アクション: このタブで使用できるオプションを使用すると、ユーザは秘密の質問とユニバーサルパスワードを使用してパスワードをリセットしたり、現在のパスワードやパスワードヒントを電子メールで送信したり、パスワードヒントオプションを表示したりできます。
認証: [認証時にユーザにセキュリティクエスチョンやヒントの設定を強制する]ボックスを選択すると、秘密の質問またはパスワードヒントの指定がユーザに求められます。
完了したら、[次へ]をクリックします。
ポリシーは、1つ以上のオブジェクトに割り当てるまでは有効になりません。管理を簡素化するには、ツリー内のできるだけ高い位置にポリシーを割り当てることをお勧めします。パスワードポリシーは、次のオブジェクトに割り当てることができます。
ログインポリシーオブジェクト: ツリー内のすべてのユーザに対してデフォルトのパスワードポリシーを作成し、セキュリティコンテナにあるログインポリシーオブジェクトに割り当てることをお勧めします。
パーティションのルートであるコンテナ: パーティションルートのコンテナにポリシーを割り当てる場合、そのパーティション内のすべてのユーザ(サブコンテナを含む)は、そのポリシーの割り当てを継承します。
パーティションのルートではないコンテナ: パーティションのルートではないコンテナにポリシーを割り当てる場合、その特定のコンテナに保存されたユーザのみがポリシーの割り当てを継承します。サブコンテナ内のユーザはポリシーを継承しません。
パーティションルートでないコンテナ内のすべてのユーザにポリシーを適用するには、ポリシーを各サブコンテナにそれぞれ割り当てます。
ユーザ: ポリシーは、1人以上のユーザに割り当てることができます。
ポリシーを割り当てるには、アイコンをクリックします。次に、パスワードポリシーを割り当てる適切なオブジェクトをブラウズし、選択します。
ポリシーの関連付けを削除する場合は、リストからポリシーを選択し、アイコンをクリックします。
[概要]ページで詳細を確認し、[作成]をクリックします。
パスワードポリシーが正常に作成されたことを示す確認メッセージが表示されます。
図 18-10 カスタム設定値を使用したパスワードポリシーの作成
既存のパスワードポリシーを変更するには、次の手順を実行します。
Identity Consoleのランディングページから、[認証管理]>[パスワードポリシー]オプションをクリックします。
リストから適切なパスワードポリシーを選択して、アイコンをクリックします。
[パスワードポリシーの変更]ページで必要な変更を行い、[保存]をクリックします。
図 18-11 パスワードポリシーの変更
パスワードポリシーを削除するには、次の手順を実行します。
Identity Consoleのランディングページから、[認証管理]>[パスワードポリシー]オプションをクリックします。
リストから適切なパスワードポリシーを選択して、アイコンをクリックします。
次の警告画面で、[OK]をクリックします。
パスワードポリシーが削除されたことを示す確認メッセージが表示されます。
図 18-12 パスワードポリシーの削除