項目

定義名

設定内容

省略可否

ロックアウト

password-max-failure-count

利用者が基本認証に連続して失敗した場合に、その利用者をロックアウトするまでの失敗回数を設定します。

失敗した回数は、認証に成功するまで累積されます。

　0：ロックアウトしません。
　1〜16：設定した回数連続して失敗すると利用者をロックアウトします。

省略した場合または上記以外を設定した場合は"5"と見なします。

省略可

lock-out-time

利用者がロックアウトされてから、そのロック状態を自動的に解除するまでの時間を[分単位]で設定します。

　0：自動解除しません。
　1〜1440：ロックアウト後に設定された時間を経過すると自動的に解除します。

省略した場合または上記以外を設定した場合は"0"と見なします。

省略可

SSOリポジトリ

certificate-mapping-attribute

証明書を使用した認証を行う場合に、証明書中の所有者名の情報からユーザ情報を特定するための属性名を設定します。設定された属性を使ってSSOリポジトリからユーザ情報を検索します。
以下の属性名を設定してください。属性名は複数設定できます。複数設定する場合には、カンマ","で区切って設定します。
利用者を一意に特定可能、かつ証明書およびSSOリポジトリの双方に存在する属性名を設定してください。

　mail（メールアドレス）
　employeeNumber（従業員番号）
　uid（ユーザID）
　serialNumber（シリアル番号）
　dnQualifier（DN修飾子）
　cn（氏名）
（例：mail,uid,serialNumber）

省略した場合は"mail,employeeNumber,uid,serialNumber,dnQualifier,cn"と見なします。

設定された属性順に、対応する値を証明書から取り出し、最初に見つかった属性の値のみを使用してSSOリポジトリを検索します。
（例：設定が"mail,uid,serialNumber"の場合、証明書からメールアドレス・ユーザID・シリアル番号の順に値を取り出します。
証明書内にメールアドレスがあればメールアドレスで、ユーザIDがあればユーザIDで、シリアル番号があればシリアル番号で、SSOリポジトリを検索します。）

また、証明書の所有者名（Subject）と所有者別名（Subject Alternative Name）エクステンションに同じ属性が設定されている場合には、次のようになります。
・メールアドレスは所有者別名（Subject Alternative Name）エクステンションに設定されている値が有効になります。

・メールアドレス以外は所有者名（Subject）に設定されている値が有効になります。

※証明書認証の場合のみ有効となります。

省略可

認証情報

default-credential-expiration-time

認証情報の標準の有効期間を［分単位］で設定します。

　0：無制限になります。
　30〜1440：設定した時間を経過すると、利用者の認証情報は無効となり、再度認証が必要となります。

省略した場合または上記以外を設定した場合は“30分”と見なします。

省略可

認証オプション

certificate-identification

証明書認証時に、利用者から提示された証明書とSSOリポジトリのユーザ情報に設定されている証明書を比較するかを設定します。

　YES：比較します。
　NO ：比較しません。

省略した場合または上記以外を設定した場合は"NO"と見なします。

"NO"を設定した場合は、証明書中の所有者名の情報をもとにしてSSOリポジトリからユーザエントリを1件だけに特定できる場合に、認証を成功とします。
"YES"を設定した場合は、さらに、利用者から提示された証明書とSSOリポジトリ中の証明書が一致する場合のみ認証を成功とします。

省略可