エンドユーザへのパスワードを忘れた場合のセルフサービスの提供

New Password Policy Wizardを使用してPassword Policy (パスワードポリシー)を作成すると、エンドユーザに提供する、パスワードを忘れた場合の機能を決定するよう求めるメッセージが表示されます。

この節では、オプションの詳細について説明し、[Forgot your password?]リンクを使用してエンドユーザが実行できる操作の例を示します。

この節では、次の項目について説明します。


チャレンジセット

チャレンジセットはユーザが回答できる一連の質問で、ユーザはパスワードを使用する代わりに自らの識別情報を提供します。チャレンジセットは、Password Policy (パスワードポリシー)に割り当てられ、Password Policy (パスワードポリシー)の認証方法の一部として使用されます。チャレンジセットは、パスワードを忘れた場合のセルフサービスをユーザに提供する際に、その一部として使用できます。ユーザに対し、忘れたパスワードに関するヘルプを受け取るためにチャレンジセットの質問に答えるよう要求することで、さらにセキュリティが高まります。チャレンジセットを使用するには、[Manage Password Policies]タスクを使用してPassword Policy (パスワードポリシー)を作成し、パスワードを忘れた場合の機能を設定します。

Password Policy (パスワードポリシー)の作成時に、ユーザがヘルプデスクに問い合わせることなくヘルプを利用できるように、パスワードを忘れた場合のセルフサービスを有効にできます。セルフサービスのセキュリティを高めるために、チャレンジセットを作成して、忘れたパスワードに関するヘルプを利用するにはユーザがチャンレンジセットの質問に答えなければならないように指定できます。また、ユーザにパスワードヒントを表示するなど、ユーザが質問に回答した後でユーザを支援するために実行するアクションも指定します。ユーザは、Novell iManagerセルフサービスコンソールを介してこれらのセルフサービス機能を利用できます。選択できるアクションは、[Forgotten Password]のアクションで説明しています。

チャレンジセットの質問の構造は、次の選択肢を使用して定義します。

[Admin-Defined] - 管理者は、各ユーザに提示する質問を作成できます。ただし、各ユーザの回答は固有です。

[User-Defined] - 管理者は、ユーザが1つまたは複数の質問を作成するように指定できます。この場合、各ユーザの質問と回答の両方が固有です。

[Required] - このリスト内の質問は、ユーザがパスワードを忘れた場合のセルフサービス機能を使用するときは、必ずユーザに提示されます。

[Random] - このリスト内の質問は、チャレンジセットの質問に最初に答えることによって、ユーザがパスワードを忘れた場合の機能を設定するときに、完全なセットとして一度だけユーザに提示されます。ユーザがパスワードを忘れた場合の機能にアクセスする必要がある場合は、いくつかの質問だけがユーザに示されます。ランダムに表示される質問の数は、管理者によって決定されます。

ユーザの回答とユーザ定義の質問は、NMAS (Novell Modular Authentication Services)によってNovell eDirectoryに保存されます。

新しいチャレンジセットを作成する画面例は、次のとおりです。デフォルトで提供されるサンプルの質問から選択することも、独自の質問を追加することもできます。


新しいチャレンジセットを作成するためのインタフェース


[Forgotten Password]のアクション

[Enable Forgotten Password]が有効な場合、[Password Policy]には、次のような[Forgotten Password]のアクションが示されます。


パスワードヒント

パスワードヒントが必要な[Forgotten Password]のアクションを指定すると、ユーザはパスワードを思い出すヒントを入力できます。パスワードヒントは、ユーザの実際のパスワードが含まれていないかどうか確認されます。

パスワードヒント属性(nsimHint)はパブリックに読み込み可能で、これによって、認証を受けていない、パスワードを忘れたユーザは自分のヒントにアクセスできます。パスワードヒントは、ヘルプデスクへの問い合わせ削減に大きな効果があります。

セキュリティのため、パスワードヒントは、ユーザの実際のパスワードが含まれていないかどうか確認されます。ただし、パスワードについて多くの情報を与えるパスワードヒントを作成することはできます。

パスワードヒントの使用時にセキュリティを強化するには、次の点に注意してください。

パスワードヒントをまったく使用しないよう選択した場合は、どのPassword Policy (パスワードポリシー)でもパスワードヒントを使用していないことを確認します。パスワードヒントが設定されないようにするには、さらに高度な設定として、Hint Setupガジェットを完全に削除します。Hintガジェットの削除によるパスワードヒントの無効化を参照してください。


エンドユーザへの[Forgotten Password]の設定の要求

一部の[Forgotten Password]のアクションでは、エンドユーザがパスワードを忘れた場合のセルフサービスを使用する前に、いくつかの設定を実行する必要があります。たとえば、[Password Policy]で、チャレンジセットを使用してユーザが識別情報を提供できるように指定している場合や、[Forgotten Password]のアクションが、ユーザに電子メールでパスワードヒントを知らせる設定の場合、ユーザは、パスワードを忘れた場合のセルフサービスを使用するには、まずチャレンジセットの質問に答え、パスワードヒントを作成する必要があります。

これらの機能の設定は、iManagerセルフサービスコンソールで開始できます。または、認証後サービス(ユーザがiManagerセルフサービスコンソールにログインするときに表示されるページ)を使用して、ユーザに設定を要求できます。

これらの機能をログイン時に設定するように要求するメッセージをユーザに表示するには、[Forgotten Password]ページの最下部にあるPassword Policyインタフェースのオプション([Force users to configure Challenge Questions and/or Hint upon authentication])を選択します。これはポリシーの作成時にデフォルトで選択されています。


Forgotten Passwordの設定インタフェース

ユーザが好きなときに[Forgotten Password]を設定できるようにするには、https://www.my_iManager_server.com/npsなどのiManagerセルフサービスコンソールのURLをユーザに伝える必要があります。


パスワードを忘れた場合のセルフサービスのエンドユーザ設定

iManagerセルフサービスコンソール(https://www.servername.com/nps)へのログイン時に[Forgot your password?]をクリックしても、ユーザが次の条件を満たしていない限り、アクションは実行されません。

ユーザが設定可能な部分は、次の2つの方法で設定できます。


忘れたパスワード、認証後のユーザ設定

管理者は、ユーザが[Enable Forgotten Password]オプションをオンにすることによって正常にログインした後で、パスワードを忘れた場合の機能を設定し、ユーザがチャレンジ質問またはヒント、あるいはその両方を認証時に設定するように要求できます。このオプションをオンにしていて、ユーザが質問またはヒントを設定していない場合、ユーザがiManagerセルフサービスコンソール(https://www.servername.com/nps)を介して次にログインすると、Forgotten Password設定ガジェットが表示されます。これを認証後設定と呼びます。

次の画面はチャレンジセット設定 - 認証後を示しています。


認証後のチャレンジセット設定

次の画面はパスワードヒント設定 - 認証後を示しています。


認証後のパスワードヒント設定


iManagerセルフサービスコンソールでのパスワードを忘れた場合の機能のユーザ設定

ユーザがポータルを介してログインすると、iManagerセルフサービスコンソールが表示されます。このコンソールから、パスワードを忘れた場合のセルフサービスのチャレンジセットとパスワードヒントを設定または変更するためのガジェットにアクセスできます。これは、ユーザがパスワードの変更を開始できる場所と同じ場所です。ここでユーザがアクセスできるガジェットの名前は次のとおりです。

  • Hint Setup
  • Answer Challenge Questions
  • Change Password (Universal)

ユーザはこれらの変更をいつでも開始できます。ヒントまたはチャレンジセットがユーザのPassword Policy (パスワードポリシー)で必要ない場合、ユーザはこれらを設定できません。ページにはそのオプションにアクセスできないこと示すメッセージが表示されます。

次の図は、[Hint Setup]ページを示します。


iManagerセルフサービスコンソール内のHint Setupガジェット

次の図は、[Answer Challenge Questions]ページを示します。


iManagerセルフサービスコンソール内のAnswer Challenge Questionsガジェット

この例にリストされている最初の質問は、管理者が定義し、その他の質問はユーザが定義します。ユーザは管理者の質問に答え、次の例に示すとおり、ユーザ定義質問の質問と回答の両方を作成します。


iManagerセルフサービスコンソール内のAnswer Challenge Questionsガジェット(質問に回答した状態)

次の図は、[Change Password (Universal)]ページを示します。


iManagerセルフサービスコンソール内のChange Password (Universal)ガジェット


既存のパスワードの準拠の要求

管理者がPassword Policy (パスワードポリシー)を作成または変更する場合、管理者はユーザに対し、ポータルを介して次回ログインする際に、準拠しない既存のパスワードを変更するように要求できます。

これは、[Configuration Options]にある[Universal Password]タブで[Password Policy]のオプションを設定することによって実行されます。このオプションは、[Verify whether existing passwords comply with the password policy (verification occurs on login)]という名前です。デフォルトでは、このオプションは、新しいPassword Policy (パスワードポリシー)の作成時にはオフになっています。次の図は、このオプションを設定するページを示します。


ユニバーサルパスワード設定オプションのインタフェース

このオプションが設定されている場合、ユーザがポータルを介して次にログインすると、ユーザのパスワードがPassword Policy (パスワードポリシー)に準拠しているかどうか確認されます。準拠していない場合、次のようなページが表示され、ユーザはパスワードを変更しないとログインできません。


認証後リセットパスワード


エンドユーザがパスワードを忘れた場合に表示される機能

この節では、パスワードを忘れた場合のセルフサービスを使用してユーザが実行できる操作を説明します。

Identity Managerに付属のiManagerプラグインをインストールすると、次の図に示すiManagerセルフサービスコンソール(https://www.servername.com/npsなど)に[Forgotten Password]リンクが表示されます。


[Forget your password?]リンクが表示されたログインページ

ユーザがこのリンクをクリックすると、次のページが表示され、ユーザ名の入力を求めるプロンプトが表示されます。


ユーザ名を入力するための[Forgotten Password]ページ

ユーザ名が入力されると、[Forgotten Password]設定によってユーザに表示する内容が決定されます。

たとえば、管理者が[Password Policy]で、チャレンジセットを使用するように指定している場合、次のようなページが表示され、ユーザはチャレンジセットの質問に回答してユーザの識別情報を提供する必要があります。


チャレンジ質問を回答することによって識別情報を提供するための[Forgotten Password]ページ

管理者が、[Forgotten Password]のアクションを[Show hint on page]に指定した場合、次のようなページが表示されます。


パスワードヒントを表示した[Forgotten Password]ページ

管理者が、[Forgotten Password]のアクションを[E-mail current password to user]または[E-mail hint to user]に指定した場合、このページには、パスワードまたはヒントが電子メールで送信されたことを知らせるメッセージが表示されます。ユーザは次のような電子メールを受け取ります。


ユーザのパスワードヒントを含む電子メールの例


[Forgot Your Password?]リンクのオフ

[Forgot your password?]リンクをポータルに表示しない場合は、次の手順に従ってこれをオフにできます。

  1. iManagerから、設定アイコンconfigure iconをクリックして、Administrationガジェットを起動します。

  2. [Portal Platform Configuration]>[Gadgets]の順にクリックします。

  3. ガジェットのリストから[Forgot Password]ガジェットを選択します。

  4. [Edit]ボタンをクリックし、[Configuration]をクリックします。[All Settings]ボタンをクリックします。

  5. 次の図に示すように、ガジェット設定でキーペアを追加します。

    ShowForgotLink=false

    このキーペアがガジェット設定にまったく存在しない場合、デフォルトの動作は「true」です。


    ForgottenPasswordガジェットを編集するページ

  6. [Continue]をクリックし、次のページで[Save]をクリックして変更を保存します。

  7. Webサーバを再起動して、変更を有効にします。


Hintガジェットの削除によるパスワードヒントの無効化

パスワードヒントは、パスワードを忘れた場合のセルフサービスの一部として、ユーザがパスワードを思い出せるようにする1つの方法です。[Password Policy]では、パスワードヒントを使用する、[Forgotten Password]のアクションは、[E-mail hint to user]または[Show hint on page]という名前です。

パスワードを忘れたユーザにとってパスワードヒントが有益となるためには、認証されていないユーザがパスワードヒント属性(nsimHint)へのパブリックアクセスを持つ必要があります。ヒントの作成時にユーザが実際のパスワードをパスワードヒントに含めていないかがチェックされますが、このパブリックアクセスはセキュリティを脅かす問題になると思われるかもしれません。

パスワードヒントを使用しない場合は、[Password Policy]で、[Forgotten Password]アクションに別のオプションを選択します。

また、必要に応じてHint Setupガジェットを完全に削除できます。

iManagerのIdentity Managerプラグインをインストールした後、[Configure]画面を使用してHint Setupガジェットを削除します。

  1. iManagerの設定アイコンiManager Configuration iconをクリックします。

  2. [Portal Platform Configuration]>[Gadgets]の順にクリックします。

  3. ガジェットのリストから[Hint Setup]を選択します。

  4. [Delete]をクリックします。

ガジェットを削除すると、ユーザはHint Setupを利用できなくなります。認証後サービスは、既存のガジェットを委任リストに追加する前にこれらを検索します。認証後サービスに対してポリシーで何が設定されているかに関わらず、ガジェットが存在しなければ、認証後サービスによって、またはiManagerセルフサービスコンソール内でサービスはユーザに表示されません。

Hintガジェットを削除した後は、[Password Policy]で、[Forgotten Password]のアクションとして[E-mail Hint]または[Display Hint]を選択していないことを確認します。