| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第1章 概要 | > 1.4 認証 |
Interstage シングル・サインオンでは、一定期間が過ぎると再認証を求めたり、利用者の有効期間を設定したり、間違ったパスワードを何回も入力すると、それ以上、パスワードの入力が出来なくなるロックアウトなどの機能により、不正なアクセスを防ぐことができます。
認証に成功したままWebブラウザを閉じずに利用者が離席した場合などに、第三者に不正使用される危険性を低くするために、利用者が認証を行ってから一定期間が過ぎると、再度認証を求めるように、再認証の間隔を設定することができます。
また、認証後、異なるIPアドレスのクライアントから接続した場合は、再認証の間隔に関係なく再度認証が要求されます。
再認証の間隔の設定には、以下の方法があります。
上記2つをすべて設定した場合は、以下に示す優先順位となります。
|
高 |
利用者ごとに設定されている再認証の間隔 |
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
Interstage シングル・サインオンでは、利用者に有効期間を設定することができます。
たとえば、SSOリポジトリに新入社員の情報を事前に作成しておき、入社した日付で認証を有効にするように設定したり、退職予定社員の退職日を有効期間満了日時に設定する、という運用が可能です。
これにより、SSOリポジトリの利用者情報を削除することなく、一時的に認証を無効にしたり、有効期間を設定することができます。
利用者の有効期間は、SSOリポジトリのユーザ情報の“ssoNotBefore”と“ssoNotAfter”に設定します。
ロックアウトとは、利用者を不正なアクセスから保護するために認証を制限し、Interstage シングル・サインオンが管理するリソースへアクセスできないように制御する機能です。
ユーザID/パスワードによる認証時に一定回数連続して正しくないパスワードが入力された場合、それ以上パスワードを試すことができないよう利用者をロック状態とし、シングル・サインオンシステムの利用を制限します。
ロック状態となった利用者は、ロック状態が解除されるまで認証に失敗します。
ロック状態の解除は、SSO管理者がInterstage管理コンソールより行います。また、一定時間経過後に自動的に解除する運用も可能です。一定時間経過後に自動的に解除する場合、一定時間経過後の初回の認証時にロック状態が解除されます。
なお、連続して認証に失敗した回数は、パスワード認証に成功した場合にリセットされます。
証明書による認証が失敗した場合、ユーザID/パスワードの入力を要求されます。「証明書認証」、「パスワード認証かつ証明書認証」に設定された利用者は証明書による認証が失敗しているため、正しいユーザID/パスワードを入力しても認証に失敗します。この場合、ユーザID/パスワードの要求画面で[キャンセル]を選択してください。ユーザID/パスワードの要求画面でユーザID/パスワードを入力すると、正しいユーザID/パスワードを入力してもロックアウトの対象として、連続して認証に失敗した回数にカウントします。
パスワード認証を一定回数連続して失敗し、ロックアウトとなった場合には、メッセージをクライアントに通知します。
以下に示すメッセージは、認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知する]を指定した場合に表示されます。[利用者への認証失敗原因の通知]は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [認証サーバ:環境設定]画面で行います。
なお、[通知しない]を指定した場合は、「ユーザ名、またはパスワードが正しくありません。」がWebブラウザに表示されます。詳細については、“カスタマイズできるメッセージ”を参照してください。
また、ロックされている状態で認証を行った場合には、以下の画面がWebブラウザに表示されます。
ロックされた利用者は、証明書認証の場合でもロック状態が解除されるまでInterstage シングル・サインオンが使用できません。
|
目次
索引
|