| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第1章 概要 | > 1.4 認証 |
Interstage シングル・サインオンでは、以下の設定や、セションの管理を行うことで、不正なアクセスを防ぐことができます。
Interstage シングル・サインオンでは、利用者に有効期間を設定することができます。
たとえば、SSOリポジトリに新入社員の情報を事前に作成しておき、入社した日付で認証を有効にするように設定したり、退職予定社員の退職日を有効期間満了日時に設定する、という運用が可能です。
これにより、SSOリポジトリのユーザ情報を削除することなく、一時的に認証を無効にしたり、有効期間を設定することができます。
利用者の有効期間は、SSOリポジトリのユーザ情報の“ssoNotBefore”(有効期間開始日時)と“ssoNotAfter”(有効期間満了日時)に設定します。
ロックアウトとは、利用者を不正なアクセスから保護するために認証を制限し、Interstage シングル・サインオンが管理するリソースへアクセスできないように制御する機能です。
ユーザID/パスワードによる認証時に一定回数連続して正しくないパスワードが入力された場合、それ以上パスワードを試すことができないよう利用者をロック状態とし、シングル・サインオンシステムの利用を制限します。
ロック状態となった利用者は、ロック状態が解除されるまで認証に失敗します。
なお、連続して認証に失敗した回数は、パスワード認証に成功した場合にリセットされます。
証明書による認証が失敗した場合、ユーザID/パスワードの入力を要求されます。「証明書認証」、「パスワード認証かつ証明書認証」に設定された利用者は証明書による認証が失敗しているため、正しいユーザID/パスワードを入力しても認証に失敗します。この場合、ユーザID/パスワードの要求画面で[キャンセル]を選択してください。ユーザID/パスワードの要求画面でユーザID/パスワードを入力すると、正しいユーザID/パスワードを入力してもロックアウトの対象として、連続して認証に失敗した回数にカウントします。
ロックされた利用者は、証明書認証の場合でもロック状態が解除されるまでInterstage シングル・サインオンが使用できません。
ロックアウトに関する設定は、Interstage管理コンソールを使用して行います。[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[ロックアウト]の[利用者のロック]、および[ロックの解除]を設定してください。
ロック状態の解除は、SSO管理者がInterstage管理コンソールを使用して行います。
また、一定時間経過後に自動的にロック状態を解除する運用の場合は、一定時間経過後の初回の認証時にロック状態が解除されます。
パスワード認証を一定回数連続して失敗し、ロックアウトとなった場合には、メッセージをクライアントに通知します。
以下に示すメッセージは、認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知する]を指定した場合に表示されます。[利用者への認証失敗原因の通知]は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムとの通信の設定]で設定します。
なお、[通知しない]を指定した場合は、「ユーザ名、またはパスワードが正しくありません。」がWebブラウザに表示されます。詳細については、“カスタマイズできるメッセージ”を参照してください。
また、ロックされている状態で認証を行った場合には、以下の画面がWebブラウザに表示されます。
セションの管理を行うシングル・サインオンシステムにおいて、同じユーザIDによる複数のWebブラウザからのアクセス(多重サインオン)を必ず抑止します。
多重サインオンを抑止することで、第三者による不正利用の脅威を低減することができます。
|
目次
索引
|