安全な認証、ユーザ アカウント、およびパスワードの設定

ccppmop1592
HID_admin_configure_security
パスワード ポリシーを設定して、ユーザをロックまたはロック解除し、パスワードをリセットします。認証の管理は、セキュリティ ポリシーの重要な部分です。管理者は、不正なユーザがシステム リソースまたは機密情報にアクセスしないようにします。
以下のグローバル ユーザ アカウント オプションを使用して、すべてのユーザのセッションおよびパスワードの動作を設定します。
セッション オプション
無効なログイン試行回数を制限し、ユーザ セッションの非アクティブ状態がどれだけ継続してからユーザをログアウトするかを指定できます。たとえば、ユーザの無効なログインが許される回数として 3 を設定し、非アクティブ化の時間を 30 分に設定します。
ユーザ アカウント ステータス オプション
1 人以上のユーザのステータスを
[アクティブ]
[非アクティブ]
、または
[ロック]
として指定します。たとえば、ユーザは休暇をとります。これらのユーザのステータスを
非アクティブ
に設定できます。非アクティブなユーザはログインできず、管理者はこれらのユーザをプロジェクトに割り当てることができません。ユーザを戻す際は、再度ステータスを
アクティブ
に設定します。
パスワード オプション
以下の
デフォルト パスワード ポリシー ルールを調整できます。
  • パスワードとユーザ名を同じにすることはできません。
  • パスワードの長さは 8 文字以上で、少なくとも 1 つの大文字、1 つの小文字、1 つの数字、および 1 つの特殊文字を含みます。
  • 特定の条件を満たしている場合のみ、パスワードを再利用できます。たとえば、60 日後、および他の 4 つの連続する一意のパスワードを割り当てた後に、パスワードを再利用できます。
[カスタム式]
オプションを選択し、パスワード用の独自の正規表現を指定することで、デフォルトのパスワード ポリシー ルールを上書きすることもできます。
以下の図は、管理者がユーザ認証を設定および管理する方法を示しています。
認証の管理
Manage Authentication
認証を管理するための前提条件の確認
用語「
ユーザ
」と「
リソース
」は、アプリケーション内の 1 人の人間のデータを処理するための同様の概念を説明しています。(従来、プロジェクト作業は人間によって行われていました。しかし、2020 年に近づき、ドライバのいない自動車や複雑なロボティクスなどの新しい技術の時代になっています。技術的には、ロボットがアプリケーション内のリソースとなり、独自のユーザ アカウントを持つことができます)。
ユーザ
という用語は、人間がアプリケーションにログインし、ユーザ インターフェースを操作するために使用するユーザ アカウントを指します。管理者は、ユーザの認証を管理します。
リソース
という用語は、1 つ以上の投資のために、アプリケーションで作業を実行するユーザを表します。リソースは、リソースまたはプロジェクト マネージャによって、プロジェクト チームに追加されます。
  • ユーザ、アカウント、パスワード、およびアクセス権を表示するには、
    [管理]
    -
    [組織とアクセス]
    -
    [リソース]
    をクリックします。
  • リソース、スキル、配置、カレンダを表示するには、
    [ホーム]
    -
    [リソース管理]
    -
    [リソース]
    をクリックします。
たとえば、リソースが 2 つのプロジェクトの複数のタスクに割り当てられているとします。この人物は、(ユーザとして)毎週ログインし、(リソースとして)タイムシートを記入します。ユーザーはパスワードを忘れてリセットをリクエストします。
[管理]
メニューの
[リソース]
ページを更新することで、パスワードをリセットします。
管理者は、この記事の手順を実行するために、以下の前提条件を実行します。
  • 以下のアクセス権を自分に割り当てます。
管理 - アクセス
管理 - アプリケーション設定
管理 - 許可
管理 - リソース
リソース - 編集 - すべて
  • [管理]
    -
    [組織とアクセス]
    -
    [リソース]
    をクリックし、1 人以上のユーザを作成します。
  • ユーザがセッション追跡用の Cookie を受け入れるようクライアント PC の Web ブラウザを設定していることを確認します。
一般的なセッション制限の設定
未許可のユーザによるアクセスを防ぐためにすべてのユーザ セッションの制限を指定します。たとえば、ロックアウトする前にユーザに許される不正なパスワードの入力回数を定義します。
以下の手順に従います。
  1. [管理]をクリックし、[一般設定]から[システム オプション]をクリックします。
  2. [セッション オプション]セクションで、以下のフィールドに入力し、変更を保存します。
    • 無効なログインの試行回数
      ログインを連続して試行できる最大回数を定義します。この回数を超えると、ユーザ アカウントがロックされます。このオプションを有効にするには 0 より大きい数を入力します。
      制限:
      0~99
      既定:
      0 (無効)
    • ログアウトまでの非アクティビティ時間(分)
      ユーザのステータスを[ロック]に変更するまでのアイドル時間(分)を定義します。オプションを無効にするには 0 を入力します。
      制限:
      0~999
      既定:
      60(有効)
      以下のタイムアウト設定を同期することをお勧めします。すべてのアプリケーションのタイムアウト設定を同期しない場合、最小のタイムアウトの設定が他の設定より優先されます。
  • Jaspersoft ユーザ セッションのタイムアウト:
    拡張レポート ユーザに影響します。Jaspersoft のユーザ セッション タイムアウトを変更するには、Jaspersoft Community で Jaspersoft サーバのドキュメントを参照してください。既定では Jaspersoft ユーザ セッションのタイムアウトは 70 分に設定されています。
  • シングル サインオン(SSO)ユーザ セッションのタイムアウト:
    製品に SSO を使用しているユーザに影響します。SSO システムは、セッション タイムアウトを使用して製品のユーザ セッションの有効期限を決めることができます。
一般的なパスワード オプションの設定
未許可のユーザがパスワードを容易に識別できないよう保護するためのパスワード オプションを設定します。たとえば、パスワードは少なくとも 8 文字の文字を含み、そのうちの少なくとも 1 文字は大文字の英字であり、少なくとも 1 文字は数値であるというルールを設定できます。
以下の手順に従います。
  1. [管理]
    -
    [一般設定]
    -
    [システム オプション]
    をクリックします。
  2. [パスワード変更オプション]
    セクションで、
    [パスワード ルール]
    フィールドの値を選択します。
    [ポリシー]
    または
    [カスタム式]
    でパスワード ルールを管理できます。
  3. ポリシーでパスワード ルールを設定するには、
    [ポリシー]
    をクリックし、パスワードの最小文字数、大文字、小文字、数値、および特殊記号の要件の値を入力します。
    [パスワードの最小文字数]
    で、パスワードの最小文字数を 5 ~ 40 の間で入力します。ユーザが新しいルールに違反している場合は、アプリケーションによってパスワードを変更するよう要求されます。
  4. 式でパスワード ルールを設定するには、
    [カスタム式]
    をクリックし、[正規表現]フィールドですべてのパスワードの式文字列を定義します。ユーザが作成したパスワードは、以下の 1 つ以上の文字値に準拠している必要があります。
    ^ -- 式の先頭を示します。
    (?=.*[a-z]) -- 小文字の英数字はいずれも使用できます。
    (?=.*[A-Z]) -- 大文字の英数字はいずれも使用できます。
    (?=.*[~'[email protected]#$%^&*)(-+=]) -- 特殊文字はいずれも使用できます。
    .{min,max}$ -- 必要なパスワード長。min は最小限必要な文字数を示し、max は最大文字数を示します。最小文字数のみを示すには、最大文字数を省略します。最大文字数のみを示すには、最小文字数を省略します。たとえば、「.{8,}$」と入力すると、パスワードの最小文字数が 8 文字に指定されます。
    $ -- 式の終わりを示します。
  5. カスタム式では、
    [エラー メッセージ]
    フィールドのメッセージを設定することもできます。適切にフォーマットされたパスワードを入力していないユーザには、カスタム エラー メッセージが表示されます。例:
    Invalid password. Enter a valid password with at least 8 characters, 1 uppercase letter, and 1 number.
  6. 新しいパスワード ポリシーをすぐに適用するには、
    [パスワードの変更を強制]
    をクリックします。
    アプリケーションによって、すべてのユーザが次回ログイン時にパスワードを変更することを強制されます。
  7. 変更を保存します。
式の例
: パスワードに任意の小文字または大文字英数字、または特殊文字を含むことができ、8 ~ 16 文字の長さが必要であることを指定するルールを設定します。
^ (?=.*[a-z]) (?=.*[A-Z]) (?=.*[~'[email protected]#$%^&*)(-+=]) .{8,16}$
ユーザ アカウントのステータスの設定
リソースの[ステータス]プロパティを使用して、ユーザがアプリケーションにログインおよびアクセスできるかどうかを指定します。
  • ユーザ(リソース)を
    アクティブ化
    すると、プロジェクト マネージャおよびリソース マネージャは、そのユーザ(リソース)をプロジェクトに追加できます。
  • ユーザを
    非アクティブ化
    すると、そのユーザはログインできなくなり、マネージャがそのユーザをリソースとしてプロジェクトに追加できなくなります。非アクティブ ユーザに関する情報はすべてアプリケーションによって保持されているので、後でユーザを再度アクティブ化できます。
  • ユーザ セッションの認証の試行が何度も失敗すると、継続的な試行を防ぐため、システムによってユーザ アカウントが
    ロック
    されます。管理者は、ユーザ アカウントを
    アクティブ
    に戻すことができます。
一度に 1 人以上のユーザのアクセスを変更できます。
LDAP が実行されている場合は、一度に 1 人のユーザのステータスしか変更できません。認証と LDAP の詳細については、インストールに関するコンテンツを参照するか、LDAP 管理者にお問い合わせください。
以下の手順に従います。
  1. [管理]
    -
    [組織とアクセス]
    -
    [リソース]
    をクリックします。
  2. 1 つ以上のリソースを選択し、以下のいずれかのボタンをクリックします。
    • アクティブ化
      : 1 人以上のユーザをアクティブ化して、プロジェクトに追加できるようにします。
    • 非アクティブ化
      : 1 人以上のユーザを非アクティブ化して、それらのユーザがログインできないようにし、さらにリソース マネージャまたはプロジェクト マネージャがそれらのユーザをリソースとしてプロジェクトに追加できないようにします。
    • ロック
      : 1 人以上のユーザをロックし、ログインできないようにします。
  3. 変更を保存します。
リリース 15.3 より前では、ユーザが間違ったパスワードを何度も入力してアカウントがロックされた場合、[ログイン]ページに確認メッセージが表示されていました。以下のメッセージが表示されていました。
CMN-10003: Invalid login information. Your account has been locked.
15.3 以降では、セキュリティに関するベスト プラクティスとして、以下のメッセージが表示されます。
CMN-01002: User name and password invalid. Note that the password is case-sensitive.
セキュリティに関する問題でよく見られるように、この変更にはトレードオフがあります。許可のない試行や強制ロックアウトによってユーザ アカウント ID が意図せず確認されることはなくなりました。ただし、ユーザは
無効なログインの試行回数
を超過したことを確実に知ることができなくなり、アカウントがロックされてしまう場合があります。
リソース パスワードのリセット
ユーザがパスワードを紛失した場合、またはパスワードを危険にさらした場合、ユーザのパスワードをリセットします。たとえば、ユーザがパスワードを忘れた場合、一時パスワードを提供することができます。ユーザは次回ログイン時にそれを変更できます。認証の試行が失敗すると、ユーザはアプリケーションからロックアウトされたことを確認できます。管理者は、それらのユーザを再度アクティブ化し、新しい一時パスワードを割り当て、次回ログイン時に新しいパスワードを定義するようにユーザに強制します。
LDAP を認証に使用する場合は、LDAP を使用してパスワードのリセットを管理します。認証と LDAP の詳細については、インストールに関するコンテンツを参照するか、LDAP 管理者にお問い合わせください。
以下の手順に従います。
  1. [管理]
    -
    [組織とアクセス]
    -
    [リソース]
    をクリックします。
  2. リソースを開きます。
  3. [パスワード]
    フィールドと
    [パスワードの確認]
    フィールドに一時パスワードを入力します。
  4. 一時パスワードが記載された電子メール メッセージをユーザに送信します。
  5. ユーザが次回ログイン時に一時パスワードをリセットするようにするには、
    [パスワードの変更を強制]
    チェック ボックスをオンにします。
  6. 変更を保存します。
パスワードのリセットをユーザに強制
認証情報が危険にさらされたときは、古いパスワードをリセットし、新しいパスワードを設定するようにユーザに強制します。
LDAP を認証に使用する場合は、LDAP を使用してパスワードのリセットを管理します。認証と LDAP の詳細については、「
インストールとアップグレード
」のコンテンツを参照するか、LDAP 管理者にお問い合わせください。
以下の手順に従います。
  1. [管理]
    -
    [組織とアクセス]
    -
    [リソース]
    をクリックします。
  2. リソースを開きます。
  3. [パスワードの変更を強制]
    を選択します。
  4. 変更を保存します。
    次回ログイン時に、ユーザは、新しいパスワードを選択する前に、現在の認証情報で認証する必要があります。
パスワードのリセットをすべてのユーザに強制
すべてのユーザに、次回ログイン時にパスワードをリセットするように要求できます。たとえば、セキュリティ ポリシー変更の一環として、パスワードの文字長さを 6 文字から 8 文字に拡張するとします。変更後は、新しい要件を満たすように、すべてのユーザにパスワードを変更させることができます。
以下の手順に従います。
  1. [管理]
    -
    [一般設定]
    -
    [システム オプション]
    をクリックします。
  2. [パスワード変更オプション]
    セクションで、
    [パスワードの変更を強制]
    をクリックします。
  3. 変更を保存します。