Identity ManagerのNetIQ SSPR (Self Service Password Reset)は、識別情報アプリケーションにアクセスできるユーザが、管理者の助けを借りずに自分でパスワードをリセットできる機能です。Identity Managerの最新バージョンをインストールすると、または最新バージョンにアップグレードすると、インストールプロセスによってSSPRがデフォルトで有効になります。新規インストールの場合、SSPRは独自のプロトコルで認証方法を管理します。ただし、アップグレード後に、NMAS (NetIQ Modular Authentication Services)を使用するようにSSPRに指示できます。NMASは、Identity Managerが従来使用していたパスワード管理プログラムです。
複雑なパスワードの管理を使用するかどうかに応じて、次のいずれかのプロバイダを設定できます。
NetIQ Self Service Password Resetは、Identity Managerをインストールまたはアップグレードする際のデフォルトのオプションです。詳細については、セクション 4.4.1, デフォルトのセルフサービスプロセスの理解を参照してください。
複数のパスワードポリシーの使用をサポートする、Identity Manager 4.0.2のパスワード管理プロセスを使用します。詳細については、セクション 4.4.2, レガシパスワード管理プロバイダの理解を参照してください。
パスワードを忘れた場合のプロセスを管理するサードパーティプログラムを使用できます。Identity Mangerの一部の設定は変更する必要があります。詳細については、セクション 39.6.3, 外部システムによるパスワードを忘れた場合の管理を参照してください。
SSPRは、アイデンティティアプリケーションおよびIdentity Reportingのシングルサインオンプロセスと自動的に統合されます。SSPRをインストールしていない場合でも、これがIdentity Managerのデフォルトのパスワード管理プログラムです。ユーザがパスワードのリセットを要求すると、本人確認の質問に回答するよう求められます。回答が正しければ、SSPRは次のいずれかの方法で応答します。
ユーザに新しいパスワードの作成を許可する
新しいパスワードを作成してユーザに送信する
新しいパスワードを作成してユーザに送信し、古いパスワードを期限切れとしてマークする
SSPR Configuration Editorでこの回答を設定します。新しいバージョンのIdentity Managerにアップグレードした後は、Identity Managerがパスワード管理に従来使用していたNMASを使用するようにSSPRを設定することができます。ただし、SSPRは、パスワードを忘れた場合のプロセスを管理する際に既存のパスワードポリシーを認識しません。既存のポリシーを引き続き使用する場合は、セクション 4.4.2, レガシパスワード管理プロバイダの理解を参照してください。
NMASの代わりに、独自のプロトコルを使用するようにSSPRを設定することもできます。このように変更した場合、パスワードポリシーをリセットせずにNMASを使用する設定に戻すことはできません。
|
参照する情報... |
代わりの手段... |
|---|---|
|
SSPRのインストール |
|
|
識別情報アプリケーションのパスワード管理の設定 |
|
|
SSPRの管理と設定 |
SSPRのインストールプログラムは、Identity ManagerおよびIdentity Manager統合インストーラアプリケーションの.isoイメージにあります。
メモ:ユーザアプリケーションのレガシPassword Self-Service機能はこのリリースでは使用されていません。NetIQでは、すべてのパスワード固有のタスクについてSSPRの使用を開始することを強くお勧めします。インストールプロセスによってSSPRがデフォルトで有効になります。詳細については、セクション 4.2, Identity Managerのセルフサービスプロセスの理解を参照してください。
旧バージョンのIdentity Managerからアップグレードした場合、識別情報アプリケーションのパスワード管理プログラムはデフォルトでSSPRに設定されます。SSPRは、従来Identity Managerでパスワード管理に使われていたNMASによる方法を使用できます。ただし、SSPRは、パスワードを忘れた場合のプロセスを管理する際に既存のパスワードポリシーを認識しません。SSPRをバイパスして、レガシパスワード管理プロバイダを使用できます。
ユーザがパスワードリセットを要求すると、レガシプロバイダはユーザの資格情報を、設定されているパスワードポリシーと比較します。たとえば、秘密の質問の答えに回答するようユーザに要求できます。そのユーザに適用されるポリシーに基づいて、次のいずれかの方法で応答が返されます。
パスワードをリセットする
パスワードのヒントを表示する
パスワードのヒントをユーザに電子メールで送信する
新しいパスワードをユーザに電子メールで送信する
自社で複数のパスワードポリシーまたは複雑なパスワードポリシーが使用されている場合は、レガシプロバイダを使用してください。たとえば、パスワードポリシーがユーザの役割に基づいているとします。インターンの場合、秘密の質問の答えが設定されていない自動生成パスワードで十分です。一方、セキュアデータにアクセスできるマネージャに対しては、より厳しい要件を設定できます。このユーザは、定期的にパスワードをリセットする必要があります。どちらの場合も、ユーザがパスワード要求のセルフサービスを利用できるようにします。
レガシプロバイダを使用するには、Identity Managerのインストールまたはアップグレード後に識別情報アプリケーションの設定を変更します。アップグレード後にパスワードポリシーを再設定する必要はありません。
|
参照する情報... |
代わりの手段... |
|---|---|
|
レガシプロバイダを使用するようにIdentity Managerを設定する |
|
|
パスワード管理にレガシプロバイダを使用する |