本ページではアカウントのセキュリティに関する設定が行えます。
本設定はForguncyのフォーム認証のユーザーでのみ有効であり、認証プロバイダーを使用したログインなどには影響を与えません。
パスワードポリシーとは、ユーザーアカウントのパスワードに使用できる文字数や、文字の種類などに関する規則のことです。パスワードポリシーを適切に設定することで、ユーザーが推測されやすいパスワードを設定してしまうことを防ぎ、第三者による不正アクセスのリスクを軽減できます。
ここでは、開発時ユーザーアカウント管理画面を用いて説明しますが、説明の内容は明記していない場合を除き、運用時のサーバー管理ポータルにおいても同様となります。
[設定]-[アカウントセキュリティ]を選択します。
必要な設定を行い、[設定の保存]ボタンをクリックします。
パスワードポリシー |
ユーザーが初期パスワードを変更していない場合、アプリログイン時にパスワードを変更させる。 |
このチェックボックスをオンにすると、ユーザーが初期パスワードを変更していない場合、アプリケーションにログインしたときに下のようなダイアログボックスが表示され、パスワードの変更ページへ遷移します。 |
---|---|---|
ユーザーが初期パスワードを変更していない場合、サーバー管理ボータルログイン時にパスワードを変更させる。 |
このチェックボックスをオンにすると、ユーザーが初期パスワードを変更していない場合、サーバー管理ポータルにログインしたときに、下のようなダイアログボックスが表示され、パスワードの変更ページへ遷移します。 | |
強度の高いパスワードを必須とする。 |
本設定が有効な場合、パスワードは8文字以上18文字以下とし、以下の4種類のうち少なくとも3種類の文字を使用している必要があります。
本設定は、ユーザーがパスワードを変更する場合だけでなく、管理者がユーザーアカウント作成時に初期パスワードを設定する場合やパスワードの変更を行う場合にも適用されます。また、Excelファイルからユーザーアカウント情報をインポートする際にも本設定が適用されます。 既定値は無効です。 | |
アカウントのロックアウト |
ユーザーのログイン失敗回数が以下の回数を超えた場合、そのユーザーはログインできなくなります。 |
ユーザーのログインの失敗回数、または二要素認証のコード確認の失敗回数が指定した回数を超えた場合、そのユーザーアカウントはロックアウトされ、[ロックアウト解除までの時間]で指定した時間を経過するまでログインができなくなります。 既定値は「制限なし」です。 |
ロックアウト解除までの時間 |
ログインの失敗が指定した回数に達した際にそのアカウントをロックする時間を指定します。 |
管理者は、ログインがロックアウトされたユーザのロックを手動で解除できます。
サーバー管理ポータルのユーザー管理で、ロックされたユーザーを選択し、ユーザー情報の編集をクリックします。
↓
ユーザーのロックアウトを解除するには、[ロックアウト]のチェックボックスをオフにします。
注意:
手動でロック解除が可能なのはフォーム認証のユーザーのみです。
[二要素認証]を設定し、アカウントのセキュリティを強化することができます。二要素認証を利用するには認証アプリ(TOTP)が必要です。
iPhoneやiPadの場合
次のどちらかのアプリをForguncyアプリのユーザーの端末にインストールします。
Android端末の場合
次のどちらかのアプリをForguncyアプリのユーザーの端末にインストールします。
[設定]-[アカウントセキュリティ]を選択します。
[二要素認証]は既定では無効になっています。[有効]または[強制有効]をクリックした後、[サービス名]と[信頼済みデバイスとして記憶する期間]を設定する必要があります。
有効化状態 |
無効 |
二要素認証は無効です。 |
---|---|---|
有効 |
二要素認証を有効にします。 有効にした後、管理者はユーザーリストで二要素認証を有効にするかを設定する必要があります。ユーザーはWebサイトで二要素認証を有効にするかを設定することもできます。 | |
強制有効 |
二要素認証を有効にします。 有効にした後、すべてのユーザーがデフォルトで二要素認証をオンにします。ユーザーはWebサイトで二要素認証設定を変更することができません。 | |
設定 |
サービス名 |
認証アプリアカウントに表示される名称。 |
信頼済みデバイスとして記憶する期間 |
信頼済みデバイスとして記憶する期間の既定値は90日です。デバイスを信頼させたくない場合は、有効期間を0に設定することができます。 |
設定した後、[設定の保存]をクリックします。
二要素認証を有効にすると、認証モードがフォーム認証であるアプリケーションと開発時ユーザーアカウント管理/サーバー管理ポータルのログインは二要素認証の適用対象となります。
Windows認証、認証プロバイダー、およびカスタムシングルサインオンのアプリケーションは、二要素認証をサポートしません。
ヒント:
[二要素認証]の項目で設定した内容は「GlobalConfig.xml」ファイルに反映されます。そのため、Forgucny BuilderとForguncy Serverを同一環境にインストールした場合、本設定情報はForguncy BuilderとForguncy Serverの両方で共有されることに注意してください。この場合、Forguncy Builderの開発時ユーザーアカウント管理で変更した本設定は、Forguncy Sereverのサーバー管理ポータルにおける設定に反映されます。
二要素認証の[有効化状態]が「強制有効」である場合、すべてのユーザーは既定で二要素認証が有効となります。
二要素認証の[有効化状態]が「有効」である場合、管理者はユーザーリストで特定ユーザーの二要素認証を有効にすることが可能です。
ユーザーリストで、編集したいユーザーにマウスをあてた際に右側に表示されるアイコンをクリックします。
[アカウントセキュリティの設定]ダイアログボックスで[有効化する]ボタンをクリックします。
有効化にする確認メッセージボックスを呼び出し、[OK]をクリックすると、ユーザーの二要素認証が有効になります。
二要素認証が既に有効になっている場合、[アカウントのセキュリティ設定]ダイアログで二要素認証を無効に変更できます。
[無効化する]ボタンをクリックします。
ユーザーが既に二要素認証でログインし、認証アプリの設定が完了している場合、[アカウントのセキュリティ設定]ダイアログでそれらの構成内容をリセットできます。
[初期化]ボタンをクリックします。また、記憶された信頼済みデバイスを削除する場合には、[すべて削除]ボタンをクリックします。
設定を保存した後、認証モードがフォーム認証であるアプリケーション、または開発時ユーザーアカウント管理/サーバー管理ポータルで二要素認証が要求されます。
たとえば、二要素認証を有効化したユーザー「Administrator」でアプリケーションにログインします。サーバー管理ポータルにアクセスします。
ユーザー名とパスワードを入力し、「ログイン」ボタンをクリックしします。
二要素認証ページで、スマートフォンの認証アプリ(TOTP)を使用し、QRコードをスキャンしてアカウントを追加します。
QRコードをスキャンすると、6桁の数字がスマートフォンに表示されます。
[次へ]をクリックし、認証アプリに表示されている認証コードを入力します。
[このデバイスではコードの入力は不要にする]チェックオプションをオンにした場合、同じデバイスの同じWebブラウザーでは次回以降のログインにおいて二要素認証の手順が不要となります。二要素認証の手順が不要となる期間は[信頼済みデバイスとして記憶する期間]で設定した日数となり、既定値は90日です。
[確認]ボタンをクリックすると、ログインが完了します。
二要素認証の[有効化状態]が「有効」である場合、ユーザーがアプリケーションにログインすると、ログインユーザー型セルのドロップダウンリストに、[二要素認証の有効化]が表示されます。すでにそのユーザーの二要素認証が有効状態にある場合には、[二要素認証の無効化]が表示されます。
[OK]ボタンをクリックすると、ユーザーの二要素認証が有効になり、ユーザーはログアウトされます。ユーザーは二要素認証で再度ページにログインする必要があります。
ページで匿名アクセスが許可されていない場合は、ログインページに遷移します。
[OK]ボタンをクリックすると、ユーザーの二要素認証が無効になり、ページが再読み込みされます。