CA Strong Authentication 管理ガイド › グローバルな CA AuthMinder 設定の管理 › プロファイルとポリシーの設定 › ArcotID OTP （OATH 準拠）の設定 › CA Auth ID OTP （OATH 準拠）認証ポリシーの設定

CA Auth ID OTP （OATH 準拠）認証ポリシーの設定

CA Auth ID OTP-OATH ポリシーは、OATH に準拠している CA Auth ID OTP の以下の認証関連の属性を指定するために使用できます。

• ユーザ ステータス： ユーザのステータスです。アクティブまたは非アクティブのいずれかです。

  注： ユーザ ステータスの確認を有効にすると、非アクティブ状態のユーザの認証は失敗します。

• ロックアウトの条件： 許可される試行の失敗数です。この数を超えると、ユーザの認証情報がロックされます。
• ロック解除の条件： ロックされた認証情報が再使用できるようになるまでの時間数です。

次の手順に従ってください：

1. メイン メニューの［サービスおよびサーバの設定］タブをクリックします。
2. サブメニューの［CA Strong Authentication］タブがアクティブであることを確認します。
3. ［ArcotOTP-OATH］セクションの［認証］リンクをクリックすると、［ArcotOTP-OATH 認証ポリシー名］ページが表示されます。
4. 必要に応じて、［ポリシー設定］セクションのフィールドに入力します。

   作成

   新規ポリシーを作成する場合は、以下の手順に従います。

   • ［作成］オプションを選択します。
   • 表示されるフィールドに、新規ポリシーの設定名を指定します。

   更新

   既存のポリシーを更新する場合は、表示される［設定の選択］リストから更新するポリシーを選択します。

   設定のコピー

   既存のポリシーから設定をコピーしてポリシーを作成する場合は、このオプションを有効にします。

   注： スコープがあるほかの組織に属する設定からコピーすることもできます。

   利用可能な設定

   設定をコピーするポリシーを選択します。

   認証ルック アヘッド数

   ユーザが入力した CA Auth ID OTP を確認するために、CA Strong Authentication サーバの CA Auth ID OTP カウンタが増加される回数を入力します。 ユーザが入力した CA Auth ID OTP は、現在のカウント - 認証ルック バック数 ～ 現在のカウント + 認証ルック アヘッド数の範囲でサーバ上で生成されるすべての CA Auth ID OTP と比較され、ユーザが入力した CA Auth ID OTP が一致した場合、そのユーザは認証されます。

   注： クライアントとサーバの CA Auth ID OTP が一致する場合、そのカウントはサーバ上の現在のカウントとして設定されます。

   認証ルック バック数

   ユーザが入力した CA Auth ID OTP を確認するために、CA AuthMinder サーバの CA Auth ID OTP カウンタが減少される回数を入力します。

   ユーザが入力した CA Auth ID OTP は、現在のカウント - 認証ルック バック数 ～ 現在のカウント + 認証ルック アヘッド数の範囲でサーバ上で生成されるすべての CA Auth ID OTP と比較され、ユーザが入力した CA Auth ID OTP が一致した場合、そのユーザは認証されます。

   注： クライアントとサーバの CA Auth ID OTP が一致する場合、そのカウントはサーバ上の現在のカウントとして設定されます。

   同期ルック アヘッド数

   クライアント デバイス上の CA Auth ID OTP カウンタと同期するために、CA Strong Authentication サーバ上の CA Auth ID OTP カウンタが増加される回数を入力します。

   クライアントとサーバの CA Auth ID OTP が同期を取るために、ユーザが 2 つの連続した CA Auth ID OTP を提供する必要があります。これらの CA Auth ID OTP が、検索範囲（カウント - 同期ルック バック数 ～ 現在のカウント + 同期ルック アヘッド数）にあるサーバの連続した CA Auth ID OTP と一致する場合、サーバのカウンタは、ユーザが入力した 2 番目の CA Auth ID OTP に対応するカウントに同期されます。

   同期ルック バック数

   クライアント デバイス上の CA Auth ID OTP カウンタと同期するために、CA Strong Authentication サーバ上の CA Auth ID OTP カウンタが減少される回数を入力します。

   クライアントとサーバの CA Auth ID OTP が同期を取るために、ユーザが 2 つの連続した CA Auth ID OTP を提供する必要があります。これらの CA Auth ID OTP が、検索範囲（カウント - 同期ルック バック数 ～ 現在のカウント + 同期ルック アヘッド数）にあるサーバの連続した CA Auth ID OTP と一致する場合、サーバのカウンタは、ユーザが入力した 2 番目の CA Auth ID OTP に対応するカウントに同期されます。

   認証情報ロックアウト

   失敗した試行の数を指定します。この数を超えると、CA Auth ID OTP がロックされます。

   認証前にユーザ ステータスを確認

   認証の前にユーザのステータスがアクティブかどうかを確認する場合は、このオプションを選択します。

5. ［+］記号をクリックして［詳細設定］セクションを展開します。
6. 必要に応じて、このセクションのフィールドに入力します。

   警告を発行

   ユーザの認証情報の有効期間の残り日数がこの日数より少なくなると、呼び出し元のアプリケーションに終了が近づいていることを通知する警告が送信されます。

   期限切れ認証によるログイン猶予日数

   正常にログインするためにユーザが期限切れの認証情報を使用できる日数を指定します。

   認証情報の自動ロック解除を有効化

   認証情報が、次のフィールドに指定した時間の後に自動的にロック解除されるようにする場合は、このオプションを選択にします。

   このフィールドは、［認証情報ロックアウト］フィールドで対応する値を指定する場合のみ有効です。

   注： 認証情報は、ロック解除期間の後に自動的にロック解除されません。 認証情報をロック解除するには、ロック解除期間の後に認証に使用して成功させる必要があります。

   ロック解除までの時間

   ロックされた認証情報が認証に再使用できるようになるまでの時間数を指定します。

   代替処理オプション

   CA Advanced Authentication サーバ はプロキシとして機能し、以下の条件に基づいて、認証リクエストをほかの認証サーバへ渡します。

   • 見つからないユーザ： 認証しようとするユーザが CA Advanced Authentication データベースに存在しない場合、リクエストはほかのサーバに渡されます。
   • 見つからない認証情報： ユーザが認証に使用しようとしている認証情報が CA Advanced Authentication データベースに存在しない場合、リクエストはほかのサーバに渡されます。

     この機能を有効にする方法の詳細については、「RADIUS プロキシ サーバとしての CA AuthMinder の設定」を参照してください。

   複数認証情報オプション

   検証用の使用タイプ

   ユーザが特定の CA Auth ID OTP 認証情報を使用して認証する場合は、このフィールドにその使用タイプの名前を入力します。

   使用タイプを指定しないと、デフォルトの CA Auth ID OTP 認証ポリシーで指定された使用タイプが使用されます。

7. ［保存］をクリックします。
8. 展開された CA Strong Authentication サーバ インスタンスをすべてリフレッシュします。 手順の詳細については、「サーバ インスタンスのリフレッシュ」を参照してください。