CA Strong Authentication 管理ガイド › グローバルな CA AuthMinder 設定の管理 › プロファイルとポリシーの設定 › パスワードの設定 › パスワード認証ポリシーの設定

パスワード認証ポリシーの設定

パスワード ベースの認証に関連する以下の属性を定義するためにパスワード ポリシーを使用できます。

• ユーザ ステータス： ユーザのステータスです。アクティブまたは非アクティブのいずれかです。

  注： ユーザ ステータスの確認を有効にすると、非アクティブ状態のユーザの認証は失敗します。

• ロックアウトの条件： 許可される試行の失敗数です。この数を超えると、ユーザの認証情報がロック アウトされます。
• ロック解除の条件： ロックされたユーザ パスワード 認証情報が再度ログインで使用可能になるまでの時間数です。
• 部分パスワード オプション： チャレンジのためのパスワードの文字数。

  CA AuthMinder サーバが部分パスワード認証リクエストを受信すると、ユーザはパスワード中の異なる位置の文字を入力するように求められます。 たとえば、パスワードが welcome1 で、［チャレンジで使用するパスワード文字数］フィールドが 4 に設定される場合を考えます。 チャレンジとして「2、4、7 の位置のチャレンジを入力」と表示された場合、 「ece」と入力すると、認証は成功します。

• 複数パスワード オプション： 特定の使用タイプを持つ、パスワードのいずれかまたはパスワードを入力することが許可されているかどうかを指定します。

次の手順に従ってください：

1. メイン メニューの［サービスおよびサーバの設定］タブをクリックします。
2. サブメニューの［CA Strong Authentication］タブがアクティブであることを確認します。
3. ［パスワード］セクションの［認証］リンクをクリックすると、［パスワード認証ポリシー］ページが表示されます。
4. 必要に応じて、［ポリシー設定］セクションのフィールドに入力します。
   • ポリシー設定

   作成

   新規ポリシーを作成する場合は、以下の手順に従います。

   • ［作成］オプションを選択します。
   • 表示されるフィールドに、新規ポリシーの設定名を指定します。

   更新

   既存のポリシーを更新する場合は、表示される［設定の選択］リストから更新するポリシーを選択します。

   設定のコピー

   既存のポリシーから設定をコピーしてポリシーを作成する場合は、このオプションを有効にします。

   注： スコープがあるほかの組織に属する設定からコピーすることもできます。

   利用可能な設定

   設定をコピーするポリシーを選択します。

   認証情報ロックアウト

   許可される試行の失敗数を指定します。この数を超えると、ユーザの認証情報がロックされます。

   認証前にユーザ ステータスを確認

   認証の前にユーザがアクティブかどうかを確認する場合は、このオプションを選択します。

5. ［+］記号をクリックして［詳細設定］セクションを展開します。
6. 必要に応じて、このセクションのフィールドに入力します。
   • 追加パスワード オプション

   警告を発行

   ユーザの認証情報の有効期間の残り日数がこの日数より少なくなると、呼び出し元のアプリケーションに終了が近づいていることを通知する警告が送信されます。

   期限切れ認証によるログイン猶予日数

   正常にログインするためにユーザが期限切れの認証情報を使用できる日数を指定します。

   認証情報の自動ロック解除を有効化

   認証情報が、次のフィールドに指定した時間の後に自動的にロック解除されるようにする場合は、このオプションを選択にします。

   このフィールドは、［認証情報ロックアウト］フィールドで対応する値を指定する場合のみ有効です。

   注： 認証情報は、ロック解除期間の後に自動的にロック解除されません。 認証情報をロック解除するには、ロック解除期間の後に認証に使用して成功させる必要があります。

   ロック解除までの時間

   ロックされた認証情報が認証に再使用できるようになるまでの時間数を指定します。

   チャレンジ有効期間（秒）

   パスワード チャレンジの有効期間を指定します。

   • 部分パスワード オプション

   チャレンジで使用するパスワード文字数

   提示される必要があるパスワード文字の総数を指定します。 CA AuthMinder サーバによって提示されるランダムな位置の数はこの値と等しくなります。

   • 代替処理オプション

   代替処理オプション

   CA AuthMinder サーバ はプロキシとして機能し、以下の条件に基づいて、認証リクエストをほかの認証サーバへ渡します。

   • 見つからないユーザ： 認証しようとするユーザが CA AuthMinder データベースに存在しない場合、リクエストはほかのサーバに渡されます。
   • 見つからない認証情報： ユーザが認証に使用しようとしている認証情報が CA AuthMinder データベースに存在しない場合、リクエストはほかのサーバに渡されます。

     この機能を有効にする方法の詳細については、「RADIUS プロキシ サーバとしての CA AuthMinder の設定」を参照してください。

   • 複数認証情報オプション

   検証用の使用タイプ

   複数のパスワードのいずれかを使用して認証する場合は、［任意の使用タイプ］オプションを選択します。 たとえば、ユーザが、使用タイプが「permanent」である「welcome123」と使用タイプが「temporary」である「hello123」という 2 つのパスワードを持っている場合、いずれかのパスワードを提供すると、ユーザが認証されます。

   ユーザが特定のパスワードを使用して認証する場合は、［使用タイプ］フィールドにその使用タイプの名前を入力します。

7. ［保存］をクリックします。
8. 展開された CA AuthMinder サーバ インスタンスをすべてリフレッシュします。 手順の詳細については、「サーバ インスタンスのリフレッシュ」を参照してください。