ログイン設定
「ログイン設定」では、アプリケーションのログインページを設定変更できます。
デフォルトでは次の2種類のログイン方法が提供されています;
- 管理者
- エンドユーザー
- 管理者は、ユーザーによる「管理者ログイン」へのアクセス許可を決定することができます。
- ユーザーによる「管理者ログイン」ポータルへのアクセスを避けることが推奨されます。(「ログイン画面に「管理者ログイン」を表示しない」を有効にします。詳細は「設定」をクリックします。)
- 「管理者ログインを表示しない」を有効にするには、URL/DNS名の指定が必要です。管理者ポータルへのアクセス方法は「テキストボックスからのみ管理者ログインページへアクセス」で可能です。
機能:
ユーザーログインページをカスタマイズ
管理者はユーザーのログインページを変更することができます。「ログイン設定」の「ユーザーログインページのカスタマイズ」リンクをクリックします。
設定:
- 「ログイン設定」をクリックします。(「管理」-->「カスタマイズ」-->「ログイン設定」)
- 「管理者ログインを表示しない」チェックボックスを有効にします。
- キャプチャでユーザー認証を行いたい場合、「キャプチャ(文字認証)をログインページに表示する」を選択します。管理者やユーザーログインページだけでなく、パスワードリセット、アカウントロック解除ページにおいてもキャプチャを有効にできます。
- 「シングルサインオンを有効にする」オプションにチェックを入れます。
- "ユーザーのログインページに「ログイン先」を表示する"を有効にすることで、ユーザーによるドメインの選択が可能です。(ADSelfService Plus がマルチドメインの場合)
- 「ログイン表示」オプションを選択している場合、「ドメインを選択」に表示されるデフォルト値をドロップダウンボックスから選択できます。
- ドメインを選択するには、"「ドメインを選択」をデフォルトで表示する"のチェックボックスを有効にします。
- 設定を保存するためには、「保存」をクリックします。
シングル サインオン:
ログイン証書の新規設定ではなく、ドメイン証書を利用して、ユーザーのADSelfService Plus ログインを有効にします。
NTLMv2を使用してシングルサインオンを強化
ユーザーはドメイン証書を使用してADSelfService Plusにシングルサインオンでログインできます。シングルサインオンのプロセスをよりセキュアにするため、NTMLv2認証を使用します。
NTMLv2を有効にするには、次の手順に従ってください;
- シングルサインオンを有効にします。 ADSelfService Plus のセルフサービスから設定されたドメインのリストを見ることができます。
- 「今すぐ設定」リンクをクリックし、NTLMv2を有効にしたいドメインを指定します。
- NTLMを使用するには、指定のパスワードポリシーに沿ったパスワードを持つコンピュータアカウントをActive Directoryに作成します。このコンピュータは物理的にネットワークと遮断されている必要があります。
- コンピュータアカウントがすで存在する場合、コンピューター名とパスワードを指定します。
- コンピューターアカウントが存在しない場合、任意の コンピューター名と パスワードを入力し、「ドメインにこのコンピューターのアカウントを作成する」オプションを選択します。
- 「保存」をクリックして終了します。
- ドメインにないコンピュータにADSelfService Plus をインストールした場合、「詳細」をクリックします。そして、設定を保存する前に選択したドメインの DNS サーバーと DNS サイトを指定します。
DNS サーバーのIPアドレスを確認:
- 選択したドメインに所属のコンピュータでコマンドプロンプトを開きます。
- ipconfig/all と入力して「Enter」キーをクリックします。
- DNSサーバーで最初に表示されたIP アドレスを使用します。
DNS サイトの確認:
- Active Directory のサイトとサービスを開きます。
- サイトを拡張して、表示されたドメインの中からドメインコントローラが設定されているサイトを選択します。
- DNS サイトにサイト名を使用します。
次の画像を参照してください。
キャプチャログイン:
この設定を有効にすると、キャプチャ画像がログインページに表示されます。ユーザーは、このキャプチャ画像にテキストを入力しログインします。キャプチャログインは、総当たり攻撃に対するセキュリティ対策として機能します。
キャプチャログインの設定手順:
- 「ログイン設定」をクリックします。(「管理」-->「カスタマイズ」--> 「ログイン設定」)
- 「キャプチャ(文字認証)をログインページに表示する」オプションを選択します。
- 管理者とドメインユーザーログインページとパスワードリセットとアカウントログインのロック解除ページにキャプチャを有効にするよう選択ができます。
- 「キャプチャ設定」リンクをクリックします。ここで、キャプチャを毎回表示させるか、もしくはログインの指定失敗回数後にのみ表示させるか設定できます。
- 「ログインに~回失敗した後、キャプチャを表示する」を選択し、指定ログイン失敗回数後のみキャプチャを有効にします。指定するログイン失敗回数と失敗ログイン回数をリセットする時間(分単位)を入力します。
- 「常にキャプチャを表示する」を選択すると、ユーザーが製品にログインするたびに、キャプチャを表示させます。
- 「保存」をクリックします。
複数のログインオプション:
初期設定では、ユーザーはADSelfService Plusにユーザー名とパスワードを入力してログインします。別の方法として、携帯番号、メール、もしくはユーザー名に置き換わる一意な値のAD属性を使用して、ユーザーがADSelfService Plusにログインするよう設定することもできます。
複数ログインオプションの設定手順:
- 「ログイン設定」をクリックします。(「管理」--> 「カスタマイズ」-->「ログイン設定」)
- 「ユニークなAD 属性でのログインを有効にする」のチェックボックスを有効します。
- 「ログイン属性のリストを設定」のリンクをクリックし、ADSelfService Plusにユーザーログインする際使用するAD属性を選択します。
- 初期設定では、次の三つの選択肢があります;1.メール、2.携帯番号、3.ユーザープリンシパル名
- 「カスタム属性を追加」ボックスに属性のLDAP名を入力し、一意な値の他のAD属性を追加できます。
- 「保存」をクリックして終了します。
メモ:ドメイン全体に一意な値の属性を選択してください。 例;sAMAccountName、メール、携帯番号等
重要:
複数ログインオプションを有効にする際の注意事項
- 二人のユーザーが同じ値のログイン属性を持っている場合、両ユーザーはログインできません。

