Interstage シングル・サインオンでは、以下の設定や、セションの管理を行うことで、不正なアクセスを防ぐことができます。

• 利用者の有効期間
  利用者のシングル・サインオンシステムにアクセスできる期間を設定することで、有効期間外の認証を無効にし、シングル・サインオンシステムにアクセスできないようにすることができます。

• ロックアウト
  ユーザID／パスワードによる認証時に、間違ったパスワードを一定回数以上入力した場合、認証に失敗し、シングル・サインオンシステムへアクセスできないようにすることができます。

• 多重サインオンの抑止
  セションの管理を行うシングル・サインオンシステムにおいて、同一のユーザIDで、複数のWebブラウザからアクセスできないようにします。

  Interstage シングル・サインオンでは、利用者に有効期間を設定することができます。
  たとえば、SSOリポジトリに新入社員の情報を事前に作成しておき、入社した日付で認証を有効にするように設定したり、退職予定社員の退職日を有効期間満了日時に設定する、という運用が可能です。
  これにより、SSOリポジトリのユーザ情報を削除することなく、一時的に認証を無効にしたり、有効期間を設定することができます。
  利用者の有効期間は、SSOリポジトリのユーザ情報の“ssoNotBefore”(有効期間開始日時)と“ssoNotAfter”(有効期間満了日時)に設定します。

  SSOリポジトリのユーザ情報については、“2.3.2.5 ユーザ情報のエントリ”を参照してください。

  ロックアウトとは、利用者を不正なアクセスから保護するために認証を制限し、Interstage シングル・サインオンが管理するリソースへアクセスできないように制御する機能です。

  ユーザID／パスワードによる認証時に一定回数連続して正しくないパスワードが入力された場合、それ以上パスワードを試すことができないよう利用者をロック状態とし、シングル・サインオンシステムの利用を制限します。

  また、SSO管理者が、ユーザプログラムを使用してSSOリポジトリを操作し、利用者を強制的にロックすることも可能です。利用者をロックする方法については“B.7 利用者をロックする”を参照してください。

  ロック状態となった利用者は、ロック状態が解除されるまで認証に失敗します。
  なお、連続して認証に失敗した回数は、パスワード認証に成功した場合にリセットされます。

  証明書による認証が失敗した場合、ユーザID／パスワードの入力を要求されます。「証明書認証」、「パスワード認証かつ証明書認証」に設定された利用者は証明書による認証が失敗しているため、正しいユーザID／パスワードを入力しても認証に失敗します。この場合、ユーザID／パスワードの要求画面で[キャンセル]を選択してください。ユーザID／パスワードの要求画面でユーザID／パスワードを入力すると、正しいユーザID／パスワードを入力してもロックアウトの対象として、連続して認証に失敗した回数にカウントします。

• ロックされた利用者は、証明書認証の場合でもロック状態が解除されるまでInterstage シングル・サインオンが使用できません。

• 統合Windows認証による認証を連続して失敗しても、利用者はロックされません。

  ロックアウトに関する設定は、Interstage管理コンソールを使用して行います。[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[ロックアウト]の[利用者のロック]、および[ロックの解除]を設定してください。

  ロック状態の解除は、SSO管理者がInterstage管理コンソールを使用して行います。ロック状態の解除方法については、“4.5.7 ロックアウトの解除”を参照してください。
  また、一定時間経過後に自動的にロック状態を解除する運用の場合は、一定時間経過後の初回の認証時にロック状態が解除されます。

  パスワード認証を一定回数連続して失敗し、ロックアウトとなった場合には、メッセージをクライアントに通知します。
  以下に示すメッセージは、認証サーバの環境設定で[利用者への認証失敗原因の通知]に[通知する]を指定した場合に表示されます。[利用者への認証失敗原因の通知]は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムとの通信の設定]で設定します。
  なお、[通知しない]を指定した場合は、「ユーザ名、またはパスワードが正しくありません。」がWebブラウザに表示されます。詳細については、“5.1.1 カスタマイズできるメッセージ”を参照してください。

  また、ロックされている状態で認証を行った場合には、以下の画面がWebブラウザに表示されます。

  セションの管理を行うシングル・サインオンシステムにおいて、同じユーザIDによる複数のWebブラウザからのアクセス(多重サインオン)を必ず抑止します。
  多重サインオンを抑止することで、第三者による不正利用の脅威を低減することができます。