6.5 パスワードを忘れた場合の管理の設定

Identity Managerインストールには、忘れたパスワードをリセットするプロセスの管理に役立つセルフサービスパスワードリセットが含まれています。それとは別に、外部パスワード管理システムを使用する方法があります。

6.5.1 Self Service Password Resetによるパスワードを忘れた場合の管理

SSPRと識別情報アプリケーションをインストールすると、通常はパスワードを忘れた場合の管理を有効にできます。ただし、パスワードを変更した後にSSPRがユーザを転送する識別情報アプリケーションのランディングページのURLを指定していない場合があります。また、パスワードを忘れた場合の管理を有効にする必要がある場合もあります。この節では、次のトピックについて説明します。

セルフサービスパスワードリセットを使用するためのIdentity Managerの設定

このセクションでは、SSPRを使用するためにIdentity Managerを設定する方法について説明します。

  1. 識別情報アプリケーションをインストールしたサーバにログインします。

  2. RBPM設定ユーティリティを実行します。詳細については、識別情報アプリケーション設定ユーティリティの実行を参照してください。

  3. ユーティリティで認証]>[パスワードの管理の順に移動します。

  4. パスワード管理プロバイダではSSPRを指定します。

  5. パスワードを忘れた場合を選択します。

  6. SSOクライアント]>[セルフサービスパスワードリセットの順に移動します。

  7. OSP client ID (OSPクライアントID)では認証サーバに認識させるSSPRのシングルサインオンクライアントの名前を指定します。デフォルト値はssprです。

  8. OSP client secret (OSPクライアントシークレット)ではSSPRのシングルサインオンクライアントのパスワードを指定します。

  9. OSP redirect URL (OSPリダイレクトURL)では認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

    次の形式を使用を使用します: protocol://server:port/path。たとえば、http://10.10.10.48:8180/sspr/public/oauthです。

  10. 変更を保存して、ユーティリティを閉じます。

Identity Managerで使用するためのセルフサービスパスワードリセットの設定

このセクションでは、Identity Managerと一緒に使用するためにSSPRを設定する方法について説明します。たとえば、パスワードポリシーや秘密の質問の答えの質問を変更できます。

Identity Managerと一緒にSSPRをインストールしたときに、管理者がこのアプリケーションを設定するために使用できるパスワードを指定しました。SSPR設定を変更してから、管理者アカウントまたは管理者グループがSSPRを設定できるように指定することをお勧めします。

メモ:ユーザアプリケーションサーバとは異なるサーバにSSPRをインストールする場合は、SSPRアプリケーション証明書がユーザアプリケーションcacertsに追加されていることを確認します。

  1. インストール時に指定した設定パスワードを使用して、SSPRにログインします。

  2. [設定]ページで、パスワードポリシーと秘密の質問の答えの質問の設定を変更します。SSPR設定のデフォルト値を設定する方法の詳細については、『NetIQ Self Service Password Reset Administration Guide』の「Configuring Self Service Password Reset」を参照してください。

  3. SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。設定ファイルのロックの詳細については、SSPR設定のロックを参照してください。

  4. (オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。

  5. SSPRからログアウトします。

  6. 変更を有効にするには、Tomcatを再起動します。

SSPR設定のロック

  1. http://<IP/DNS name>:<port>/ssprにアクセスします。SSPRポータルに移動します。

  2. Identity Managerに管理者アカウントでログインするか、または既存のログイン資格情報でログインします。

  3. ページ上部のConfiguration Manager (環境設定マネージャ)をクリックし、インストール時に指定した設定パスワードを指定します。

  4. Configuration Editor (環境設定エディタ)をクリックし、設定]>[LDAP Settings (LDAP設定)の順に移動します。

  5. SSPR設定ファイル(SSPRConfiguartion.xml)をロックします。

    1. [Administrator Permission (管理者許可)]セクションで、識別ボールト内のSSPRに対する管理者権限を持つユーザまたはグループを表すフィルタをLDAPフォーマットで定義します。デフォルトでは、このフィルタはgroupMembership=cn=Admins,ou=Groups,o=exampleと設定されています。

      たとえば、ユーザアプリケーション管理者の場合は「uaadmin (cn=uaadmin)」と設定します。

      これにより、設定を変更するためのすべての権限を持つSSPR管理者ユーザを除いて、ユーザはSSPRで設定を変更できなくなります。

    2. LDAPクエリが結果を返していることを確認するために、View Matches (一致の表示)をクリックします。

      設定にエラーがある場合は、次の設定オプションに進めません。SSPRは問題のトラブルシューティングに役立つエラー詳細を表示します。

    3. 保存をクリックします。

    4. ポップアップされる確認ウィンドウでOKをクリックします。

      SSPRがロックされている間は、管理者ユーザが表示する管理インタフェースには、[Dashboard (ダッシュボード)]、[User Activity (ユーザアクティビティ)]、[Data Analysis (データ分析)]など、SSPRがロックされる前は表示されていなかった追加オプションが表示されます。

  6. (オプション)設定をロックした後でSSPR設定を変更するには、SSPRConfiguartion.xmlファイルでconfigIsEditable設定をtrueに設定する必要があります。

  7. SSPRからログアウトします。

  8. ステップ 3で定義されている管理者ユーザとしてSSPRに再ログインします。

  9. Close Configuration (設定を閉じる)をクリックし、OKをクリックして変更を確認します。

  10. 変更を有効にするには、Tomcatを再起動します。

6.5.2 外部システムによるパスワードを忘れた場合の管理

外部システムを使用するには、パスワードを忘れた場合機能を含むWARファイルの場所を指定する必要があります。このプロセスには次の作業が含まれます。

外部からパスワードを忘れた場合を管理するWARファイルの指定

インストール時にこれらの値を指定せずに、後で設定を変更する場合、RBPM設定ユーティリティを使用するか、ユーザアプリケーションで管理者として変更します。

  1. (状況によって実行) RBPM設定ユーティリティで設定を変更するには、次の手順を実行します。

    1. 識別情報アプリケーションをインストールしたサーバにログインします。

    2. RBPM設定ユーティリティを実行します。詳細については、識別情報アプリケーション設定ユーティリティの実行を参照してください。

    3. ユーティリティで認証]>[パスワードの管理の順に移動します。

    4. パスワード管理プロバイダではユーザアプリケーション(レガシ)を指定します。

  2. (状況によって実行)ユーザアプリケーションで設定を変更するには、次の手順を実行します。

    1. ユーザアプリケーションの管理者としてログインします。

    2. 管理]>[アプリケーション環境設定]>[パスワードモジュールのセットアップ]>[ログインの順に移動します。

  3. パスワードを忘れた場合]では、外部を指定します。

  4. パスワードを忘れた場合リンクでは、ログインページでユーザが[パスワードを忘れた場合]をクリックしたときに表示するリンクを指定します。ユーザがこのリンクをクリックすると、アプリケーションはユーザを外部パスワード管理システムに転送します。次に例を示します。

    http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  5. パスワードを忘れた場合の返信リンクでは、ユーザがパスワードを忘れた場合の手順の実行完了後に表示するリンクを指定します。このリンクをクリックすると、指定したリンクにリダイレクトされます。次に例を示します。

    http://localhost/IDMProv

  6. パスワードを忘れた場合のWebサービスURLでは、パスワードを忘れた場合の外部WARが識別情報アプリケーションを呼び戻すために使用するWebサービスのURLを指定します。次の形式を使用してください。

    https://idmhost:sslport/idm/pwdmgt/service

    識別情報アプリケーションに対してセキュアなWebサービス通信を保証するために、返信リンクではSSLを使用する必要があります。詳細については、アプリケーションサーバ間のSSL通信の設定を参照してください。

  7. ExternalPwd.warを、外部パスワードWAR機能を実行するリモートアプリケーションサーバ展開ディレクトリに手動でコピーします。

外部パスワードを忘れた場合の環境設定のテスト

外部パスワードWARファイルがあり、これにアクセスして[パスワードを忘れた場合]機能をテストする場合は、次の場所でアクセスできます。

  • ブラウザ内で直接アクセスします。外部パスワードWARファイルで[パスワードを忘れた場合]ページに移動します。たとえば、http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jspに移動します。

  • ユーザアプリケーションログインページで、パスワードを忘れた場合のリンクをクリックします。

アプリケーションサーバ間のSSL通信の設定

外部パスワード管理システムを使用する場合、アイデンティティアプリケーションおよびパスワードを忘れた場合の外部管理WARファイルを展開しているTomcatインスタンス間にSSL通信を設定する必要があります。詳細については、Tomcatマニュアルを参照してください。

6.5.3 分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新

インストールプロセスは、識別情報アプリケーションおよびIdentity Reportingと同じアプリケーションサーバ上にSSPRが展開されていると想定しています。デフォルトでは、ダッシュボードのアプリケーションページにある組み込みリンクは、ローカルシステム上のSSPRを参照する相対URLフォーマットを使用します。たとえば、\sspr\private\changepasswordです。分散環境またはクラスタ化環境にアプリケーションをインストールする場合、SSPRリンクのURLを更新する必要があります。

詳細については、アイデンティティアプリケーションのヘルプを参照してください。

  1. ダッシュボードに管理者としてログインします。たとえば、uaadminとしてログインします。

  2. 編集をクリックします。

  3. [Edit Home Items (ホームアイテムの編集)]ページで、更新するアイテムの上にマウスを移動し、編集アイコンをクリックします。たとえば、マイパスワードの変更を選択します。

  4. リンクでは絶対URLを指定します。たとえば、「http://10.10.10.48:8180/sspr/changepassword」と指定します。

  5. 保存をクリックします。

  6. 更新するSSPRリンクごとにこの手順を繰り返します。

  7. 終了したら、I'm done (完了)をクリックします。

  8. ログアウトしてから一般ユーザとしてログインし、変更されているかどうかをテストします。