39.6 パスワードを忘れた場合の管理の設定

Identity Managerインストールには、忘れたパスワードをリセットするプロセスの管理に役立つセルフサービスパスワードリセットが含まれています。それとは別に、外部パスワード管理システムを使用する方法があります。

39.6.1 Self Service Password Resetによるパスワードを忘れた場合の管理

SSPRと識別情報アプリケーションをインストールすると、通常はパスワードを忘れた場合の管理を有効にできます。ただし、パスワードを変更した後にSSPRがユーザを転送する識別情報アプリケーションのランディングページのURLを指定していない場合があります。また、パスワードを忘れた場合の管理を有効にする必要がある場合もあります。この節では、次のトピックについて説明します。

セルフサービスパスワードリセットを使用するためのIdentity Managerの設定

このセクションでは、SSPRを使用するためにIdentity Managerを設定する方法について説明します。

  1. 識別情報アプリケーションをインストールしたサーバにログインします。

  2. RBPM設定ユーティリティを実行します。詳細については、セクション 40.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。

  3. ユーティリティで[認証]>[パスワードの管理]の順に移動します。

  4. [パスワード管理プロバイダ]ではSSPRを指定します。

  5. [パスワードを忘れた場合]を選択します。

  6. [SSOクライアント]>[セルフサービスパスワードリセット]の順に移動します。

  7. [OSP client ID (OSPクライアントID)]では認証サーバに認識させるSSPRのシングルサインオンクライアントの名前を指定します。デフォルト値はssprです。

  8. [OSP client secret (OSPクライアントシークレット)]ではSSPRのシングルサインオンクライアントのパスワードを指定します。

  9. [OSP redirect URL (OSPリダイレクトURL)]では認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

    次の形式を使用を使用します: protocol://server:port/path。たとえば、http://10.10.10.48:8180/sspr/public/oauthです。

  10. 変更を保存して、ユーティリティを閉じます。

Identity Managerで使用するためのセルフサービスパスワードリセットの設定

このセクションでは、Identity Managerと一緒に使用するためにSSPRを設定する方法について説明します。たとえば、パスワードポリシーや秘密の質問の答えの質問を変更できます。

Identity Managerと一緒にSSPRをインストールしたときに、管理者がこのアプリケーションを設定するために使用できるパスワードを指定しました。SSPR設定を変更してから、管理者アカウントまたは管理者グループがSSPRを設定できるように指定することをお勧めします。設定パスワードの詳細については、セクション 32.0, Identity Manager用パスワード管理のインストールを参照してください。

  1. インストール時に指定した設定パスワードを使用して、SSPRにログインします。

  2. [設定]ページで、パスワードポリシーと秘密の質問の答えの質問の設定を変更します。SSPR設定のデフォルト値を設定する方法の詳細については、『NetIQ Self Service Password Reset Administration Guide』の「Configuring Self Service Password Reset」を参照してください。

  3. SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。設定ファイルのロックの詳細については、SSPR設定のロックを参照してください。

  4. (オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。

  5. SSPRからログアウトします。

  6. 変更を有効にするには、Tomcatを再起動します。

SSPR設定のロック

  1. http://<IP/DNS name>:<port>/ssprにアクセスします。SSPRポータルに移動します。

  2. Identity Managerに管理者アカウントでログインするか、または既存のログイン資格情報でログインします。

  3. ページ上部の[Configuration Manager (環境設定マネージャ)]をクリックし、インストール時に指定した設定パスワードを指定します。

  4. [Configuration Editor (環境設定エディタ)]をクリックし、[設定]>[LDAP Settings (LDAP設定)]の順に移動します。

  5. SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。

    1. [Administrator Permission (管理者許可)]セクションで、識別ボールト内のSSPRに対する管理者権限を持つユーザまたはグループを表すフィルタをLDAPフォーマットで定義します。デフォルトでは、このフィルタはgroupMembership=cn=Admins,ou=Groups,o=exampleと設定されています。

      たとえば、ユーザアプリケーション管理者の場合は「uaadmin (cn=uaadmin)」と設定します。

      これにより、設定を変更するためのすべての権限を持つSSPR管理者ユーザを除いて、ユーザはSSPRで設定を変更できなくなります。

    2. LDAPクエリが結果を返していることを確認するために、[View Matches (一致の表示)]をクリックします。

      設定にエラーがある場合は、次の設定オプションに進めません。SSPRは問題のトラブルシューティングに役立つエラー詳細を表示します。

    3. [保存]をクリックします。

    4. ポップアップされる確認ウィンドウで[OK]をクリックします。

      SSPRがロックされている間は、管理者ユーザが表示する管理インタフェースには、[Dashboard (ダッシュボード)]、[User Activity (ユーザアクティビティ)]、[Data Analysis (データ分析)]など、SSPRがロックされる前は表示されていなかった追加オプションが表示されます。

  6. (オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。

  7. SSPRからログアウトします。

  8. ステップ 3で定義されている管理者ユーザとしてSSPRに再ログインします。

  9. [Close Configuration (設定を閉じる)]をクリックし、[OK]をクリックして変更を確認します。

  10. 変更を有効にするには、Tomcatを再起動します。

39.6.2 レガシプロバイダによるパスワードを忘れた場合の管理

パスワードを忘れた場合の管理機能に、SSPRではなく、Identity Managerのレガシプロバイダを使用できます。レガシプロバイダを選択する場合、SSPRをインストールする必要はありません。ただし、パスワード管理のための共有ページにアクセスする許可をユーザに再割り当てする必要があります。このセクションでは、次のアクティビティを実行する手順について説明します。

レガシプロバイダの詳細については、セクション 4.4.2, レガシパスワード管理プロバイダの理解を参照してください。共有ページおよび許可の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』のPage Administrationを参照してください。

パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定

  1. 識別情報アプリケーションをインストールしたサーバにログインします。

  2. RBPM設定ユーティリティを実行します。詳細については、セクション 40.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。

  3. ユーティリティで[認証]>[パスワードの管理]の順に移動します。

  4. [パスワード管理プロバイダ]では[ユーザアプリケーション(レガシ)]を指定します。

  5. [パスワードを忘れた場合]では[内部]を指定します。

  6. [SSOクライアント]>[セルフサービスパスワードリセット]の順に移動します。

  7. OSP redirect URL (OSPリダイレクトURL)では、設定を空にする必要があります。

  8. 変更を保存して、ユーティリティを閉じます。

パスワード管理ページの許可の再割り当て

識別情報アプリケーションの設定は、インストール時にデフォルトでSSPRに設定されます。パスワードの管理のための共有ページにアクセスさせるユーザ、グループ、またはコンテナの許可の割り当てまたは再割り当てを実行する必要があります。ユーザにコンテナページまたは共有ページの表示許可を割り当てると、ユーザはそのページにアクセスできるようになり、使用可能なページのリストにそのページが表示されます。

  1. Identity Managerがレガシプロバイダを使用していることを確認します。詳細については、パスワードを忘れた場合の管理で使用するためのレガシプロバイダの設定を参照してください。

  2. ユーザアプリケーションにアプリケーション管理者としてログインします。たとえば、uaadminとしてログインします。

  3. [管理]>[ページ管理]の順に移動します。

  4. [共有ページ]パネルで[パスワードの管理]に移動します。

  5. 許可を指定するページを選択します。たとえば、[パスワードの変更]または[パスワード確認の回答]を選択します。

  6. 右側パネルで[許可の割り当て]をクリックします。

  7. [表示]で、ページを割り当てるユーザ、グループ、またはコンテナを選択します。

  8. (オプション)指定したページにアプリケーション管理者だけがアクセスできることを保証するには、[表示許可を管理者のみに設定]を選択します。

  9. [保存]をクリックします。

  10. 設定するページごとに、ステップ 5ステップ 9を実行します。

  11. ダッシュボードに戻るには、ホームアイコンを選択します。

  12. アプリケーションに移動し、を選択します。

  13. アプリケーションの管理ページで、SSPRへのリンクをUserApp PwdMgtへのリンクで置き換えます。

    詳細については、セクション 39.6.4, 分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新およびアイデンティティアプリケーションのヘルプを参照してください。

  14. ログアウトしてからTomcatを再起動します。

39.6.3 外部システムによるパスワードを忘れた場合の管理

外部システムを使用するには、パスワードを忘れた場合機能を含むWARファイルの場所を指定する必要があります。このプロセスには次の作業が含まれます。

外部からパスワードを忘れた場合を管理するWARファイルの指定

インストール時にこの値を指定せずに、後で設定を変更する場合、RBPM設定ユーティリティを使用するか、ユーザアプリケーションで管理者として変更します。

  1. (状況によって実行) RBPM設定ユーティリティで設定を変更するには、次の手順を実行します。

    1. 識別情報アプリケーションをインストールしたサーバにログインします。

    2. RBPM設定ユーティリティを実行します。詳細については、セクション 40.1, 識別情報アプリケーション設定ユーティリティの実行を参照してください。

    3. ユーティリティで[認証]>[パスワードの管理]の順に移動します。

    4. [パスワード管理プロバイダ]では[ユーザアプリケーション(レガシ)]を指定します。

  2. (状況によって実行)ユーザアプリケーションで設定を変更するには、次の手順を実行します。

    1. ユーザアプリケーションの管理者としてログインします。

    2. [管理]>[アプリケーション環境設定]>[パスワードモジュールのセットアップ]>[ログイン]の順に移動します。

  3. パスワードを忘れた場合]では、[外部]を指定します。

  4. [パスワードを忘れた場合]リンク]では、ログインページでユーザが[パスワードを忘れた場合]をクリックしたときに表示するリンクを指定します。ユーザがこのリンクをクリックすると、アプリケーションはユーザを外部パスワード管理システムに転送します。次に例を示します。

    http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  5. [パスワードを忘れた場合の返信リンク]では、ユーザがパスワードを忘れた場合の手順の実行完了後に表示するリンクを指定します。このリンクをクリックすると、指定したリンクにリダイレクトされます。次に例を示します。

    http://localhost/IDMProv

  6. [パスワードを忘れた場合のWebサービスURL]では、パスワードを忘れた場合の外部WARが識別情報アプリケーションを呼び戻すために使用するWebサービスのURLを指定します。次の形式を使用してください。 

    https://idmhost:sslport/idm/pwdmgt/service

    識別情報アプリケーションに対してセキュアなWebサービス通信を保証するために、返信リンクではSSLを使用する必要があります。詳細については、アプリケーションサーバ間のSSL通信の設定を参照してください。

  7. ExternalPwd.warを、外部パスワードWAR機能を実行するリモートアプリケーションサーバ展開ディレクトリに手動でコピーします。

外部パスワードを忘れた場合の環境設定のテスト

外部パスワードWARファイルがあり、これにアクセスして[パスワードを忘れた場合]機能をテストする場合は、次の場所でアクセスできます。

  • ブラウザ内で直接アクセスします。外部パスワードWARファイルで[パスワードを忘れた場合]ページに移動します。たとえば、http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jspに移動します。

  • ユーザアプリケーションログインページで、[パスワードを忘れた場合]のリンクをクリックします。

アプリケーションサーバ間のSSL通信の設定

外部パスワード管理システムを使用する場合、アイデンティティアプリケーションおよびパスワードを忘れた場合の外部管理WARファイルを展開しているTomcatインスタンス間にSSL通信を設定する必要があります。詳細については、Tomcatマニュアルを参照してください。

39.6.4 分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新

インストールプロセスは、識別情報アプリケーションおよびIdentity Reportingと同じアプリケーションサーバ上にSSPRが展開されていると想定しています。デフォルトでは、ダッシュボードのアプリケーションページにある組み込みリンクは、ローカルシステム上のSSPRを参照する相対URLフォーマットを使用します。たとえば、/sspr/private/changepasswordです。分散環境またはクラスタ化環境にアプリケーションをインストールする場合、SSPRリンクのURLを更新する必要があります。

詳細については、アイデンティティアプリケーションのヘルプを参照してください。

  1. ダッシュボードに管理者としてログインします。たとえば、uaadminとしてログインします。

  2. [編集]をクリックします。

  3. [Edit Home Items (ホームアイテムの編集)]ページで、更新するアイテムの上にマウスを移動し、編集アイコンをクリックします。たとえば、[マイパスワードの変更]を選択します。

  4. [リンク]では絶対URLを指定します。たとえば、「http://10.10.10.48:8180/sspr/changepassword」と指定します。

  5. [保存]をクリックします。

  6. 更新するSSPRリンクごとにこの手順を繰り返します。

  7. 終了したら、[I'm done (完了)]をクリックします。

  8. ログアウトしてから一般ユーザとしてログインし、変更されているかどうかをテストします。