皆さん、こんにちは。
桜がきれいな時期ですね。あっちこっちで咲いてて、良い季節です。
家の近くにも桜並木の通りがあるのですが、ウチの犬と一緒に歩こうと思っている今日この頃です。

今回、紹介させていただく内容は 4 月から提供が開始されました、Forefornt Identity Manager (FIM)2010 の機能の パスワード セルフ リセット機能について紹介させていただきます。

(1)パスワードセルフメンテナンス機能のメリット

パスワードセルフメンテナンス機能は、管理者とユーザーそれぞれにメリットがある機能です。
管理者の方は、日々の運用管理で、ユーザーからのパスワードリセットの要求があると思います。ユーザーからの問い合わせがあり、パスワードリセットを行い、レポートなどに記入といった作業が発生すると思います。これらの作業、数人程度の対応なら、大した事もないかもしれませんが、ユーザー数が多くなればその対応時間も増え、年間のトータルで考えると結構な時間(管理コスト)が掛かってくると思います。FIM 2010 のパスワードセルフメンテナンス機能を利用すると、ユーザー自身で新しいパスワードリセットができ、これらの管理コストの削減が可能となります。
また、ユーザーの方は、パスワードを忘れた場合、ヘルプデスクに問い合わせを行い、新しいパスワードが発行されるまで、クライアント PC が利用できないといといった状況になると思います。FIM 2010 のパスワードセルフメンテナンス機能を利用すると、ドメインにログインすることなくセキュアに新しいパスワードの設定が可能となり、すぐにログインでき、業務に取り掛かる事ができ、生産性の向上につながります。

(2)パスワードセルフメンテナンス機能とは?

FIM 2010 から新たに搭載された新機能で、秘密の質問に回答を入力し、回答内容が正しければ、パスワード変更を行う事が可能となります。(回答内容は事前にユーザー自身で登録します。)
OSと統合化されており、ドメインにログオンする事なく、パスワードのリセットが可能となります。(以下に秘密の質問の画面を示します。)

ブログ1

(3)秘密の質問の設定

 

秘密の質問内容は、管理者によって設定します。
FIMの管理ポータルより、秘密の質問内容および質問数や回答数などのポリシーを設定が可能です。

回答に関するポリシーは以下の通り
・秘密の質問数の指定
・登録時に表示される質問の数の指定
・登録に必要な質問の数の指定
・ユーザーにランダムに表示される質問の数の指定
・正しく回答する数の指定

これを設定する事で、簡単な秘密の質問に対しても、誰がどのような質問にどのように回答したか分からず、個人として判別できるようになります。

image

さらに、Dos攻撃などにも対応できるようロック機能のポリシーを設定する事が可能です。

ロックアウトのポリシーは以下の通り
・ロックアウトの閾値1:パスワードリセットを完了するまでの失敗回数を指定
・ロックアウトの期間:ロックアウトされて、それを解除する時間
・ロックアウトの閾値2:上記、2つを繰り返す閾値を指定(管理者がロックアウトを解除しないと利用できなくなります。)

これを指定する事で、パスワードリセットを3回失敗したら15分間は操作を制限し、さらにこれを5回繰り返すと管理者でないとロックを解除できない。といったポリシーの設定が可能となり、部外者が変更しようとしても、それを抑制できます。
※本機能は、ADのユーザーアカウントがロックされるのではなく、FIM側の操作がロックされる様になっております。

(4)秘密の質問の回答を登録方法

秘密の質問の回答の登録は2つの方法があります。
秘密の質問を利用するためには、FIM 2010 のクライアントモジュールをイントールしていただく必要があるのですが、そのクライアントモジュールのインストール後に、クライアント PC を起動し、ログイン後に秘密の質問の回答登録画面が表示されますので、その時に回答を登録していただく事が可能です。
※回答が登録されるまで、起動時に画面が表示されます。
また、FIMのポータル画面から回答の登録を行う事が可能です。ポータル上からの回答の場合は、事前に登録していた場合でも登録が可能なので、秘密の質問の回答を変更したい場合にも利用する事ができます。

是非、ご評価ください。
中村 仁吏