パスワードセルフサービス
ADSelfService Plusのセルフサービス機能をエンドユーザーに提供するには、以下を実装する必要があります
セルフサービス
ADSelfService Plusは、ドメインユーザーに4つのセルフサービス機能 (パスワードのリセット、アカウントロックの解除、ディレクトリセルフアップデート、およびパスワードの変更) を提供します。部門と組織階層に基づいて、ユーザーのOUおよびグループメンバーシップに基づいて特定の機能を有効にすることを選択できます。これにより、これらの機能の一部またはすべてを利用できるユーザーを決定できます。これは、[ポリシー設定]ページにて、ユーザーのセルフサービスポリシーを設定し、ユーザーがADSelfService Plusを使用できる範囲を定義できます。詳細はポリシー設定ページをご参照ください。
本人認証
セルフサービスポリシーは、ADSelfService Plusのエンドユーザーポータル、ADSelfService Plusモバイル アプリ、およびWindows/macOS/Linux ログイン画面に適用されます。ADSelfService Plusでサポートされている15の多要素認証(MFA)のうちいずれかの認証要素を使用して、ユーザーIDを認証できます。- Windows、macOSおよびLinuxのログイン(ADSelfService Plus Client Softwareがインストールされている場合)
- ADSelfService Plusの管理者ポータルへのログイン
- シングルサインオン(SSO)によるエンタープライズアプリケーションへのログイン
- ADSelfServiceポータル、ADSelfService Plusモバイル アプリ、およびネイティブのWindows/macOS/Linuxログイン画面(ADSelfService Plus Client Softwareがインストールされている場合) を介した、Active Directoryセルフサービスパスワードリセットまたはアカウントロックの解除
多要素認証(MFA)による本人認証は、ADSelfService Plusにユーザーが登録した情報を使用して行われます。
- 1. セキュリティ質問&回答
- 2. メール認証
- 3. SMS認証
- 4. Google Authenticator
- 5. Microsoft Authenticator
- 6. Duo Security
- 7. RSA SecurID
- 8. RADIUS認証
上記リンクから、各認証方法の手順をご確認できます。
特定の一連のユーザーに対して特定のMFAメソッドを有効化する、またはIDを認証するためにユーザーが完了する必要がある認証回数を指定することが可能です。また、特定のMFAをユーザーに強制するオプションもあります。これは、MFA/TFA設定([設定]タブ > [セルフサービス] > [マルチファクター認証] > [MFA/TFA 設定])を使用して行います。MFAの詳細は、こちらをご参照ください。
ユーザー登録
本人確認を行うために、ユーザーは特定の情報を提供して ADSelfService Plusに登録する必要があります。提供される情報は、設定されているMFAにより異なります。ADSelfService Plusは、複数の登録オプションを提供することで、登録プロセスを簡素化します。
- 管理者によるユーザー登録 - 管理者によりユーザーの登録情報を入力します。
- ユーザー自身によるユーザー登録 - ユーザーは登録情報を提供します。
管理者によるユーザー登録
- CSVファイルによる登録情報のインポート
CSVファイル形式で保存されているユーザーの携帯電話番号およびメールアドレスと共に、既存のセキュリティの質問&回答をインポートできます。このインポートされた情報は、ユーザーの登録に使用されます。詳細はこちらをご参照ください。
- 外部データベースからの登録データのインポート
MSSQL、PostgreSQL、Oracle、MySQLなどの組織のデータソースを ADSelfService Plusに接続します。ADSelfService Plusにデータベースサーバーにアクセスするための十分な権限が与えられると、データを取得してユーザーを自動的に登録できます。データベースサーバーに加えられた変更は、Fetch Againオプションを使用してクリックするだけで簡単にADSelfService Plusに更新できます。
接続された外部データソースで新しく追加されたユーザーを定期的に検索し、ADSelfService Plusに登録するようにスケジューラーを設定することもできます。外部データベースから登録データをインポートする方法は、こちらをご参照ください。
ユーザー登録
ユーザーは、ADSelfService Plusクライアントポータル、ADSelfService Plusモバイルアプリ、およびモバイルWeb アプリを使用して、ADSelfService Plusに登録できます。ユーザー登録を強制するにて、次の手順をご参照ください。
- Eメール/プッシュ通知で登録依頼通知
ADSelfService Plusが組織に展開されている場合、管理者は登録通知を使用して従業員に製品を通知し、登録を奨励することができます。このオプションを有効化した場合、ADSelfService Plusに本人認証が未登録であるすべてのユーザーにメールまたはプッシュ通知を送信します。また、未登録ユーザーに対して、定期的に通知するようにスケジューラを設定することもできます。詳細は、こちらをご参照ください。
- ログオンスクリプトで強制登録
選択したドメインまたはポリシー内で登録されていないすべてのユーザーを検索し、それらのユーザーアカウントをログオンスクリプトに関連付けることが含まれます。ログオンスクリプトは、ユーザーがドメインユーザーアカウントとしてログイン時に本人認証の登録を強制します。登録されていないユーザーのアカウントをログオンスクリプトにリンクするには、スケジューラーを使用します。スケジューラーを定期的に実行し、登録されていないユーザー、新しく追加されたユーザーをチェックし、それらのアカウントへのログオンスクリプトをセットアップするように設定できます。未登録ユーザーの強制登録を有効にする手順は、こちらをご参照ください。
セルフアップデート
のセキュリティセンターには、製品の他のセクションにあるセキュリティ設定へのリンクが一覧表示されています。次のとおりです。
- 本人認証に失敗したユーザーアカウントをブロックします。
- セッションタイムアウト
- CAPTCHA(文字認証)
- パスワードの強度レベルの強制
- 次回のログオン時にユーザーにパスワードの変更を強制する
- 複数の質問に対して同一の回答を使用禁止する
- 回答に質問の単語を使用することを禁止する
- セキュリティの質問を1つずつ表示する
- セキュリティ質問からランダムなサブセットのみを表示する
- セキュリティ質問の回答で大文字と小文字を区別する
- パスワードリセット/アカウントロック解除中に回答を非表示にする
- パスワードセルフサービス時のメール通知
- 安全な接続(SSL/LDAPS/TLS)
- 非アクティブなユーザーを制限する
これらのセキュリティ設定を有効化した場合、ドメイン内のユーザーアカウントが保護され、ADSelfService Plusサーバーとネットワーク内の他のコンポーネントとの間の接続が保護されます。