WPA41RM-R05 ® 運用管理マニュアル Copyright © 2000-2010 Falcon System Consulting, Inc. All Rights Reserved はじめに はじめに 本マニュアルは、運用保守に必要な WisePoint-Authenticator(以下 WP-A)および管理ツールの操作方 法について記述しています。本マニュアルに記載されている画面の例は、ご使用のOS、ブラウザの種類や設 定によって外観が異なる場合があります。 i 目次 目次 はじめに..................................................................................................................................................i 目次.......................................................................................................................................................ii 起動と終了 ............................................................................................................................................. 1 1. WisePoint-Authenticator .............................................................................................................1 2. WP-A 管理ツール...........................................................................................................................4 3. WisePoint-Gateway......................................................................................................................5 管理ツールへのログイン ......................................................................................................................... 6 1. 管理サーバへのアクセス .................................................................................................................6 2. 管理ツールへのログイン..................................................................................................................7 3. パスワード管理ツールへのアクセス ...............................................................................................11 4. パスワード管理ツールへのログイン ...............................................................................................12 5. イメージングマトリクス管理ツールへのアクセス...............................................................................13 6. イメージングマトリクス管理ツールへのログイン...............................................................................13 7. 携帯電話パスワード管理ツールへのアクセス .................................................................................15 8. 携帯電話パスワード管理ツールへのログイン .................................................................................15 9. Jパスワード管理ツールへのアクセス .............................................................................................17 10. Jパスワード管理ツールへのログイン ..........................................................................................17 11. ワンタイムパスワードによるログイン ............................................................................................19 管理ツールからのログアウト.................................................................................................................. 23 管理ツールのセッションタイムアウト ....................................................................................................... 24 管理ツールのアクセス権限.................................................................................................................... 25 ユーザ管理の操作権限設定.................................................................................................................. 26 1. ユーザ情報の設定 ........................................................................................................................26 2. 固定パスワードの設定 ..................................................................................................................27 3. Jパスワード認証の設定 ................................................................................................................27 4. マトリクスコード認証の設定 ...........................................................................................................27 5. イメージングマトリクス認証の設定..................................................................................................28 6. DIGIPASS 認証の設定 ................................................................................................................28 7. 連携機器設定 ...............................................................................................................................28 ユーザ管理 .......................................................................................................................................... 30 1. 一覧表示 ......................................................................................................................................31 2. 新規作成 ......................................................................................................................................32 3. ユーザの更新 ...............................................................................................................................34 4. ユーザの無効 ...............................................................................................................................36 ii 目次 5. ユーザの完全削除 ........................................................................................................................37 6. ユーザの復帰 ...............................................................................................................................38 7. 連携機器設定 ...............................................................................................................................39 8. ユーザ一括登録............................................................................................................................42 9. 有効期限一括設定........................................................................................................................47 10. ユーザ一括削除 .........................................................................................................................50 11. パスワード一括クリア..................................................................................................................52 12. 認証自動設定 ............................................................................................................................54 13. 認証設定一括表示 .....................................................................................................................68 14. クリーンアップ.............................................................................................................................80 15. インポート ..................................................................................................................................81 16. 表示設定 ...................................................................................................................................83 17. 認証情報 ...................................................................................................................................87 ユーザエージェント管理....................................................................................................................... 105 1. ユーザエージェント一覧 ...............................................................................................................106 2. ユーザエージェントの変更・削除 ..................................................................................................107 3. ユーザエージェント登録 ...............................................................................................................108 4. 携帯電話認証画面......................................................................................................................109 5. 携帯電話認証画面の変更・削除 ..................................................................................................110 6. ユーザエージェントの取り込み .....................................................................................................112 7. 携帯電話認証画面登録...............................................................................................................113 8. 認証インタフェース一覧 ...............................................................................................................114 9. 認証インタフェースの変更・削除...................................................................................................115 10. 認証インタフェース登録 ............................................................................................................116 認証サーバ管理 ................................................................................................................................. 117 1. システム設定 ..............................................................................................................................118 2. 通信許可設定 .............................................................................................................................120 3. 認証ポート番号設定....................................................................................................................121 4. 返却アトリビュート設定 ................................................................................................................123 5. セッションログ表示 ......................................................................................................................130 6. セッションログ設定 ......................................................................................................................134 7. 実行ログ設定..............................................................................................................................137 WisePoint−Gateway 管理 ............................................................................................................... 139 1. システム設定 ..............................................................................................................................140 2. 認証サーバ設定..........................................................................................................................143 3. 認証方式設定 .............................................................................................................................144 4. 連携機器設定 .............................................................................................................................149 5. 実行ログ設定..............................................................................................................................152 DIGIPASS 管理 ................................................................................................................................ 154 1. シリアル番号一覧 .......................................................................................................................154 2. インポート ...................................................................................................................................166 iii 目次 3. 割付設定 ....................................................................................................................................167 4. テスト..........................................................................................................................................168 5. PIN 設定....................................................................................................................................169 6. カーネルパラメータ ......................................................................................................................170 認証方式管理..................................................................................................................................... 171 1. 認証方式の一覧表示 ..................................................................................................................172 2. パスワードポリシー設定 ..............................................................................................................173 3. マトリクスコード設定 ....................................................................................................................174 4. イメージングマトリクス設定 ..........................................................................................................177 5. 携帯電話イメージングマトリクス設定 ............................................................................................179 管理ツール設定.................................................................................................................................. 180 1. LDAP ユーザフィルタ .................................................................................................................181 2. 管理ツールログ設定....................................................................................................................182 運用管理............................................................................................................................................ 184 1. LDAP 設定 ................................................................................................................................185 2. ユーザ拡張情報設定...................................................................................................................193 3. 適用設定 ....................................................................................................................................198 4. ライセンス利用状況.....................................................................................................................200 パスワード管理................................................................................................................................... 201 Jパスワード管理................................................................................................................................. 202 イメージングマトリクス管理 .................................................................................................................. 203 携帯電話パスワード管理..................................................................................................................... 204 1. 固定パスワード ...........................................................................................................................204 2. 端末ID(製造番号)登録...............................................................................................................205 3. 端末ID(製造番号)削除...............................................................................................................205 4. イメージングマトリクス .................................................................................................................206 ログ設定ファイル ................................................................................................................................ 207 有効期限告知機能.............................................................................................................................. 208 1. ユーザ有効期限切れ告知機能 ....................................................................................................208 2. WisePoint 認証有効期限切れ告知機能......................................................................................209 3. 告知日について ..........................................................................................................................210 WisePoint-Gateway のパラメータについて ......................................................................................... 211 自動サブミット先の変更....................................................................................................................... 212 1. リダイレクト先をクエリ文字列で指定する場合 ...............................................................................212 2. リダイレクト先を認証中のユーザの拡張情報の値で指定する場合 .................................................213 3. リダイレクトの際に送信するパラメータをクエリ文字列で指定する場合 ...........................................213 iv 目次 4. リダイレクトの際に送信するパラメータを拡張情報の名前で指定する場合......................................214 5. リダイレクト先にシステムの固有値パラメータを送信しない場合 .....................................................214 6. リダイレクト先に送信する URL やパラメータの文字コードを指定する場合 .....................................215 DIGIPASS認証 ................................................................................................................................. 216 1. 運用準備 ....................................................................................................................................216 2. 認証の流れ.................................................................................................................................217 3. DIGIPASS 認証をご利用の際の制限事項 ..................................................................................220 v 起動と終了 起動と終了 1 . WisePoint-Authenticator ※ 以下では Linux での例を基本として起動・終了について説明します。Windows の場合は sh ファイルを bat に読み替え、コマンドプロンプトから実行してください。コマンドプロンプトについては「インストールマニュア ル」の「Windows 環境でのコマンドプロンプトの起動」をご覧ください。また、WP-A をサービスとしてインスト ールした場合は、bat ファイルを直接実行しないでください。その場合は WP-A をサービスとして起動・終了し てください。サービスの起動・終了方法については、「インストールマニュアル」の「Windows 環境でのサービ スの起動と終了」をご覧ください。 (1)起動 起動方法は次の通りです。 > cd /opt/WisePointAutheticator/bin > ./startup.sh ※ /opt/WisePointAuthenticator にインストールした場合の例です。 起動パラメータは以下の通りです。 パラメータ 説 必 明 須 指定例 -s 設定ファイルの存在するディレクトリ × -s /opt/wpa/conf/ -l ライセンスファイルの存在するディレクトリ × -l /opt/wpa/license/ ※ ディレクトリまたはファイル名を変更する必要がないときは、上記の起動パラメータの指定は必要ありませ ん。 ※ Windows のサービスとしてインストールした場合、起動パラメータを追加するには WPASVC.xml ファイル を編集する必要があります。 WPASVC.xml ファイルは、{インストールディレクトリ}¥bin にあります。 WPASVC.xml ファイルの編集は、次の手順で行います。 1. WP-A のサービス(WPASVC)が起動している場合は、停止します。 2. WPASVC.xml のバックアップをとります。WPASVC.bak 等の名前で保存してください。 3. WPASVC.xml をテキストエディタで開きます。 4. 以下の図で示すように、</program-class>と</start-program-params>の間に、起動パラメータを追 加します。太字が追加する部分です。 1 起動と終了 <?xml version="1.0" encoding="Shift-JIS"?> <!-- DOCTYPE wpasvc-params [ … 省略 … ]> <wpasvc-params> … 省略 … <start-program-params> <program-class> com.falconsc.wpa.server.WisePointAuthenticator </program-class> <program-param>-s</program-param> <program-param>C:¥wpa¥conf</program-param> </start-program-params> <end-program-params> … 省略 … </end-program-params> </wpasvc-params> 上記例では、パラメータ “–s C:¥wpa¥conf” を設定しています。 起動パラメータは、パラメータ名, 設定内容, パラメータ名, 設定内容, … の順で記述してください。 設定が完了したら、テキストエディタでファイルを保存してください。 5. WP-A のサービス(WPASVC)を起動します。起動しない場合は WPASVC.xml の設定が正しくない可 能性があります。バックアップファイルを復旧し、設定を見直す等の処置を行ってください。 2 起動と終了 (2)終了 終了方法は次の通りです。 > cd /opt/WisePointAuthenticator/bin > ./shutdown.sh 3 起動と終了 2 . WP-A 管理ツール ※ 以下では Linux を例として起動・終了について説明します。Windows の場合は sh ファイルを bat に読み 替え、コマンドプロンプトから実行してください。コマンドプロンプトについては「インストールマニュアル」の 「Windows 環境でのコマンドプロンプトの起動」をご覧ください。また、管理ツールをサービスとしてインストー ルした場合は、bat ファイルを直接実行しないでください。その場合は管理ツールをサービスとして起動・終了 してください。サービスの起動・終了方法については、「インストールマニュアル」の「Windows 環境でのサー ビスの起動と終了」をご覧ください。 (1)起動 全ての設定作業が終了後に WP-A 管理ツールを起動します。 起動方法は次の通りです。 > cd /opt/WisePointAuthenticator/apache-tomcat-4.1.40-LE-jdk14/bin > ./startup.sh ※ /opt/WisePointAuthenticator にインストールした場合の例です。 (2)終了 終了方法は次の通りです。 > cd /opt/WisePointAuthenticator/apache-tomcat-4.1.40-LE-jdk14/bin > ./shutdown.sh ※ /opt/WisePointAuthenticator にインストールした場合の例です。 4 起動と終了 3 . WisePoint-Gateway ※ 以下では Linux 上の Tomcat にインストールした場合の起動・終了について説明します。Windows の場 合は sh ファイルを bat に読み替え、コマンドプロンプトから実行してください。コマンドプロンプトについては 「インストールマニュアル」の「Windows 環境でのコマンドプロンプトの起動」をご覧ください。また、WP-GW をサービスとしてインストールした場合は、bat ファイルを直接実行しないでください。その場合は WP-GW を サービスとして起動・終了してください。サービスの起動・終了方法については、「インストールマニュアル」の 「Windows 環境でのサービスの起動と終了」をご覧ください。 (1)起動 起動方法は次の通りです。 > cd /opt/wpgw/tomcat/bin > ./startup.sh ※ /opt/wpgw にインストールした場合の例です。 (2)終了 終了方法は次の通りです。 > cd /opt/wpgw/tomcat/bin > ./shutdown.sh ※ /opt/wpgw にインストールした場合の例です。 5 管理ツールへのログイン 管理ツールへのログイン 管理ツールにログインする方法について説明します。 1 . 管理サーバへのアクセス クライアントから WP-A 管理サーバに対してネットワークからアクセスできることが条件となります。 管理ツールへのアクセスは、直接以下の URL にアクセスします。 例) http://wpmng.falconsc.com:8080/wpmt/ ※網掛け部分はお客様の環境によって異なります。WP-A 管理サーバのドメイン名です。 6 管理ツールへのログイン 2 . 管理ツールへのログイン 管理サーバにアクセスすると以下の画面が表示されます。 ユーザIDとパスワード(固定パスワード)を入力してログインしてください。 図1. ログイン画面 7 管理ツールへのログイン 以下のような画面が表示されたら、ログインは完了です。ログインユーザの権限レベルによって表示される 画面は異なります。認証エラーの場合は、ユーザIDおよびパスワードをご確認の上、画面の指示に従ってくだ さい。 図2. ログイン後の初期画面 上記の画面はシステム管理者でログインした場合の画面です。一般ユーザでログインした場合は次ページ 以降のような画面になります。 8 管理ツールへのログイン 図3. ユーザがログインした場合の初期画面(データベース利用時) 9 管理ツールへのログイン 図4. ユーザがログインした場合の初期画面(LDAP 利用時) 10 管理ツールへのログイン 3 . パスワード管理ツールへのアクセス クライアントからパスワード管理ツールに対してネットワークからアクセスできることが条件となります。パ スワード管理ツールへのアクセスは、直接以下の URL にアクセスします。 例) http://wpmng.falconsc.com/wppwd/ ※網掛け部分はお客様の環境によって異なるパスワード管理ツールのドメイン名です。 11 管理ツールへのログイン 4 . パスワード管理ツールへのログイン パスワード管理ツールにアクセスすると以下の画面が表示されます。 ユーザIDとパスワード(固定パスワード)を入力してログインしてください。 図5. ログイン画面 以下のような画面が表示されたら、ログインは完了です。認証エラーの場合は、ユーザIDおよびパスワード をご確認の上、画面の指示に従ってください。 図6. ログイン後の初期画面 12 管理ツールへのログイン 5 . イメージングマトリクス管理ツールへのアクセス クライアントからイメージングマトリクス管理ツールに対してネットワークからアクセスできることが条件とな ります。イメージングマトリクス管理ツールへのアクセスは、直接以下の URL にアクセスします。 例) http://wpmng.falconsc.com/wpimgm/ ※網掛け部分はお客様の環境によって異なるイメージングマトリクス管理ツールのドメイン名です。 6 . イメージングマトリクス管理ツールへのログイン イメージングマトリクス管理ツールにアクセスすると以下の画面が表示されます。 ユーザIDとパスワード(固定パスワード)を入力してログインしてください。 図7. ログイン画面 13 管理ツールへのログイン 以下のような画面が表示されたら、ログインは完了です。認証エラーの場合は、ユーザIDおよびパスワード をご確認の上、画面の指示に従ってください。 図8. ログイン後の初期画面 14 管理ツールへのログイン 7 . 携帯電話パスワード管理ツールへのアクセス クライアントから携帯電話パスワード管理ツールに対してネットワークからアクセスできることが条件となり ます。携帯電話パスワード管理ツールへのアクセスは、直接以下の URL にアクセスします。 例) http://wpmng.falconsc.com/wpkpwd/ ※網掛け部分はお客様の環境によって異なる携帯電話パスワード管理ツールのドメイン名です。 8 . 携帯電話パスワード管理ツールへのログイン 携帯電話パスワード管理ツールにアクセスすると以下の画面が表示されます。 ユーザIDとパスワード(固定パスワード)を入力してログインしてください。 図9. 携帯電話パスワードツール認証画面 ※ 御利用の携帯電話の機種によっては、認証画面が上記画面と著しく異なる場合があります。 15 管理ツールへのログイン 以下のような画面が表示されたら、ログインは完了です。認証エラーの場合は、ユーザIDおよびパスワード をご確認の上、画面の指示に従ってください。 図10. 携帯電話パスワードツール画面 ※ 御利用の携帯電話の機種によっては、表示される画面が上記画面と多少異なる場合があります。 16 管理ツールへのログイン 9 . Jパスワード管理ツールへのアクセス クライアントからJパスワード管理ツールに対してネットワークからアクセスできることが条件となります。J パスワード管理ツールへのアクセスは、直接以下の URL にアクセスします。 例) http://wpmng.falconsc.com/wpjpwd/ ※網掛け部分はお客様の環境によって異なるJパスワード管理ツールのドメイン名です。 1 0 . Jパスワード管理ツールへのログイン Jパスワード管理ツールにアクセスすると以下の画面が表示されます。 ユーザIDとパスワード(固定パスワード)を入力してログインしてください。 図11. ログイン画面 17 管理ツールへのログイン 以下のような画面が表示されたら、ログインは完了です。認証エラーの場合は、ユーザIDおよびパスワード をご確認の上、画面の指示に従ってください。 図12. ログイン後の初期画面 18 管理ツールへのログイン 1 1 . ワンタイムパスワードによるログイン Jパスワード管理ツールとイメージングマトリクス管理ツールは、ワンタイムパスワードによるログインが可能 です。ワンタイムパスワードとは使い捨てのパスワードで、利用者に一回限りのログインを許可します。 標準の設定では無効(固定パスワードによるログイン)になっていますので、以下の方法で管理サーバの設 定を変更する必要があります。 (1)イメージングマトリクス管理ツールでのワンタイムパスワード有効化 イメージングマトリクス管理ツールでワンタイムパスワードを有効にするには、以下の設定ファイルを編集し ます。 ${TOMCAT_HOME} は 、 イ メ ー ジ ン グ マ ト リ ク ス 管 理 ツ ー ル の イ ン ス ト ー ル 時 に 指 定 し た TOMCAT_HOME です。 ディレクトリ ${TOMCAT_HOME}/webapps/wpimgm/WEB-INF ファイル名 web.xml 編集前 <?xml version="1.0" encoding="SHIFT_JIS" ?> … 省略 … <init-param> <param-name>OneTimeLogin</param-name> <param-value>false</param-value> <description>login after remove password : true/false</description> </init-param> 編集後 <?xml version="1.0" encoding="SHIFT_JIS" ?> … 省略 … <init-param> <param-name>OneTimeLogin</param-name> <param-value>true</param-value> <description>login after remove password : true/false</description> </init-param> 19 管理ツールへのログイン ディレクトリ ${TOMCAT_HOME}/webapps ファイル名 wpimgm.xml 編集前 <Context path=”… 省略 … … 省略 … <Realm className="com.falconsc.common.tool.manager.realm.WPMTRealm" debug="0" driverName="org.postgresql.Driver" connectionURL="jdbc:postgresql://127.0.0.1:5432/XXX" connectionName="XXX" connectionPassword="XXX" /> … 省略 … 編集後 <Context path=”… 省略 … … 省略 … <Realm className="com.falconsc.common.tool.manager.realm.WPMTRealm" debug="0" driverName="org.postgresql.Driver" connectionURL="jdbc:postgresql://127.0.0.1:5432/XXX" connectionName="XXX" connectionPassword="XXX" useOneTimePassword="true" /> … 省略 … 設定ファイルを修正した場合は、イメージングマトリクス管理ツール(TOMCAT)を再起動してください。 20 管理ツールへのログイン (2)Jパスワード管理ツールでのワンタイムパスワード有効化 Jパスワード管理ツールでワンタイムパスワードを有効にするには、以下の設定ファイルを編集します。 ${TOMCAT_HOME}は、Jパスワード管理ツールのインストール時に指定した TOMCAT_HOME です。 ディレクトリ ${TOMCAT_HOME}/webapps/wpjpwd/WEB-INF ファイル名 web.xml 編集前 <?xml version="1.0" encoding="SHIFT_JIS" ?> … 省略 … <init-param> <param-name>OneTimeLogin</param-name> <param-value>false</param-value> <description>login after remove password : true/false</description> </init-param> 編集後 <?xml version="1.0" encoding="SHIFT_JIS" ?> … 省略 … <init-param> <param-name>OneTimeLogin</param-name> <param-value>true</param-value> <description>login after remove password : true/false</description> </init-param> 21 管理ツールへのログイン ディレクトリ ${TOMCAT_HOME}/webapps ファイル名 wpjpwd.xml 編集前 <Context path=”… 省略 … … 省略 … <Realm className="com.falconsc.common.tool.manager.realm.WPMTRealm" debug="0" driverName="org.postgresql.Driver" connectionURL="jdbc:postgresql://127.0.0.1:5432/XXX" connectionName="XXX" connectionPassword="XXX" /> … 省略 … 編集後 <Context path=”… 省略 … … 省略 … <Realm className="com.falconsc.common.tool.manager.realm.WPMTRealm" debug="0" driverName="org.postgresql.Driver" connectionURL="jdbc:postgresql://127.0.0.1:5432/XXX" connectionName="XXX" connectionPassword="XXX" useOneTimePassword="true" /> … 省略 … 設定ファイルを修正した場合は、Jパスワード管理ツール(TOMCAT)を再起動してください。 (3)ワンタイムパスワード設定後のログイン方法 ワンタイムパスワード設定後は、固定パスワードではなく、ワンタイムパスワードでログインする必要がありま す。ワンタイムパスワードの設定方法については p.67「ワンタイムパスワード自動設定」をご参照ください。 22 管理ツールからのログアウト 管理ツールからのログアウト 管理ツールの操作を終えたら必ずログアウトする(もしくはブラウザをすべて終了させる)ようにしてください。 管理ツールからログアウトするには、管理ツール上部右端にある「Logout」リンクをクリックします。 図13. 管理ツールのログアウト または、直接以下の URL にアクセスしてログアウトすることも可能です。 例) http://wpmng.falconsc.com/wpmt/twmLogout.jsp ※ 網掛け部分はお客様の環境によって異なる管理ツールのドメイン名です。 23 管理ツールのセッションタイムアウト 管理ツールのセッションタイムアウト 管理ツールに対して、ある一定時間アクセスがない場合やエラーが発生した場合は、セッションが切断され ます。以下の画面が表示されたら画面の指示に従い、再度ログインしてください。 図14. セッションタイムアウト画面 24 管理ツールのアクセス権限 管理ツールのアクセス権限 管理ツールは、システム管理者がログインした場合と、一般ユーザはログインした場合で操作できる範囲が 異なります。システム管理者、一般ユーザ、それぞれの操作範囲を以下の表に示します。操作範囲の詳細は それぞれの機能説明の章をご参照ください。 管理項目分類/管理概要 一般ユーザ システム管理者 ユーザ管理 ログインユーザ自 ○すべて可能 ユーザの新規作成、更新、削除など 身の管理が可能 ユーザごとの認証情報の管理 (※1) ユーザエージェント管理 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 ×操作不可 ○すべて可能 端末毎の認証に関する情報の閲覧、更新など 認証サーバ管理 WP-A の設定情報の閲覧、更新など WisePoint-Gateway 管理 WisePoint-Gateway の設定情報の閲覧、更新など DIGIPASS 管理 VASCO DATA SECURITY 社 DIGIPASS の設定 認証方式管理 システムに登録されている認証方式の閲覧 管理ツール設定 管理ツールの設定 運用管理 システム全般の設定 (※1) 管理できる範囲はユーザの属性情報の一部と認証情報の一部のみです。 25 ユーザ管理の操作権限設定 ユーザ管理の操作権限設定 ユーザ権限の利用範囲を設定できます。設定を行う場合はテキストエディタで以下のファイルを編集してくだ さい。 ディレクトリ {TOMCAT_HOME}/webapps/wpmt/WEB-INF/classes/ ファイル名 management_policy.properties 上記のファイルは以下のような書式で記述します。 項目名=[ロール管理者権限設定値] [一般ユーザ権限設定値] ※ 行中に「#」を記述した場合、「#」以降の文字は行末まで無視されます。 ロール管理者権限設定値は、WisePoint を利用する場合に必要となります。WP-A のみご利用の方は一般 ユーザ権限設定値のみ有効となります。ロール管理者権限設定値は省略できませんので WP-A のみご利用 の場合はすべて「w」を指定してください。 各設定項目は以下の通りです。表中の「導入時の値」と「省略時の値」は以下の形式で記述されています。 「導入時の値」は導入時の初期値です。また「省略時の値」は項目を指定しなかった場合に設定される値で す。 1 . ユーザ情報の設定 設定内容 項目名 設定値 導入時の値 省略時の値 新規作成 USER_CREATE_COMMAND w 新規作成ができます。 wh wh h 新規作成ができません。 w 更新ができます。 ww ww h 更新ができません。 w 削除ができます。 hh wh h 削除ができません。 w 無効にできます。 wh wh h 無効にできません。 w 復帰できます。 hh wh h 復帰できません。 更新 削除 USER_UPDATE_COMMAND 無効 USER_REMOVE_COMMAND 復帰 USER_HIDE_COMMAND USER_REVIVAL_COMMAND ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 記述例 USER_CREATE_COMMAND=wh ・・・・・・・・・・ 一般ユーザはユーザの新規作成が出来ない # 上記の場合 w がロール管理者権限設定値で、h が一般ユーザ管理者設定値となります。 USER_UPDATE_COMMAND=ww ・・・・・・・・・ 一般ユーザは自分の情報を更新できる 26 ユーザ管理の操作権限設定 2 . 固定パスワードの設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 PASSWORD w 表示および設定ができます。 ww ww h 該当項目が表示されません。 ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 3 . Jパスワード認証の設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 JPASSWORD w 表示および設定ができます。 ww ww r 表示されますが設定はできません。 h 該当項目が表示されません。 w 新規作成ができます。 ww ww h 新規作成ができません。 w 更新ができます。 ww ww h 更新ができません。 w 削除ができます。 ww ww h 削除ができません。 新規作成 更新 削除 JPASS_CREATE_COMMAND JPASS_UPDATE_COMMAND JPASS_REMOVE_COMMAND ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 ※ 「JPASSWORD」に「w」が指定されていない場合、「新規作成」、「更新」、「削除」は設定値に関わらず無 効となります。 4 . マトリクスコード認証の設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 MATRIX_CODE w 表示および設定ができます。 ww wh r 表示されますが設定はできません。 h 該当項目が表示されません。 w 更新ができます。 wh wh h 更新ができません。 w 表示できます。 ww wh h 表示できません。 w 再生成できます。 wh wh h 再生成できません。 更新 コード表の表示 コード表再生成 MATRIX_UPDATE_COMMAND MATRIX_SHOW_COMMAND MATRIX_RECALC_COMMAND ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 ※ 「MATRIX_CODE」に「w」が指定されていない場合、「更新」、「コード表の表示」、「コード表再生成」は設 定値に関わらず無効となります。また「MATRIX_SHOW_COMMAND」に「w」が指定されていない場合、 「コード表再生成」は設定値に関わらず無効となります。 27 ユーザ管理の操作権限設定 設定ファイルを修正した場合は、WP-A 管理ツール(TOMCAT)を再起動してください。 5 . イメージングマトリクス認証の設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 IMAGINGMATRIX w 表示および設定ができます。 ww ww h 該当項目が表示されません。 w 設定ができます。 ww ww h 設定ができません。 設定 IMGMATRIX_SETUP_COMMAND ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 設定ファイルを修正した場合は、WisePoint 管理ツール(TOMCAT)を再起動してください。 6 . DIGIPASS 認証の設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 VASCO w 表示および設定ができます。 ww ww h 該当項目が表示されません。 ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 設定ファイルを修正した場合は、WisePoint 管理ツール(TOMCAT)を再起動してください。 7 . 連携機器設定 設定内容 項目名 設定値 導入時の値 省略時の値 表示および設定 WPGW_REDIRECT_COMMAND w 表示および設定ができます。 ww ww h 該当項目が表示されません。 ※ 設定値が[w]と[h]しかない項目に[r]を指定した場合、[h]と同じ扱いとなります。 設定ファイルを修正した場合は、WisePoint 管理ツール(TOMCAT)を再起動してください。 28 ユーザ管理の操作権限設定 記述例 # WisePoint Management Policy # xxxxx=[role][user] # w:read/write # r:read only # h:hidden # 対象がボタンの場合は w 以外表示されない # User Management # 固定パスワード PASSWORD=ww # Jパスワード認証 JPASSWORD=ww JPASS_CREATE_COMMAND=ww JPASS_UPDATE_COMMAND=ww JPASS_REMOVE_COMMAND=ww # マトリクスコード認証 MATRIX_CODE=ww MATRIX_UPDATE_COMMAND=wh MATRIX_SHOW_COMMAND=ww MATRIX_RECALC_COMMAND=wh # イメージングマトリクス認証 IMAGINGMATRIX=ww IMGMATRIX_SETUP_COMMAND=ww # ユーザ更新 USER_UPDATE_COMMAND=ww # ユーザ削除 USER_REMOVE_COMMAND=hh # ユーザ復帰 USER_REVIVAL_COMMAND=hh # ユーザ無効 USER_HIDE_COMMAND=wh # ユーザ新規作成 USER_CREATE_COMMAND=wh # DIGIPASS 設定 VASCO=ww # WisePoint-Gateway 用リダイレクト URI 設定 WPGW_REDIRECT_COMMAND=ww 29 ユーザ管理 ユーザ管理 ユーザの新規作成、更新、削除といった操作に加えて、ユーザ単位の認証情報を設定することができます。 LDAP サポートレベルの設定によって表示されるメニューが異なります。 図15. ユーザ管理画面(データベース利用時) 図16. ユーザ管理画面(LDAP または Active Directory 利用時) 30 ユーザ管理 1 . 一覧表示 現在登録されているユーザの一覧を表示します。LDAP または Active Directory 利用時はユーザ ID、 ユーザ名、権限のみ表示されます。 図17. ユーザの一覧表示画面 図18. ユーザの一覧表示画面(Active Directory 利用時) 31 ユーザ管理 2 . 新規作成 ユーザを新規に作成します。必要事項を入力して「決定」ボタンをクリックすると新規にユーザが作成され ます。LDAP または Active Directory 利用時はこの機能はご利用になれません。LDAP または Windows 側の管理ツールでユーザを作成してください。 図19. ユーザの新規作成画面 32 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 必須 ユーザID なし ポリシーにて指定する ユーザIDを入力します。これがユーザアカウン ことが可能です。(※) トとなります。システム全体で一意でなければ 半角英数字および なりません。また、ユーザIDは変更することは 一部記号のみ できません。 ○ ("_","-",".","@") ユーザ名 なし 1∼80 バイト ユーザ名を入力します。 ○ 固定パスワード なし ポリシーにて指定する ユーザの固定パスワードを入力します。(セキュ ○ ことができます。(※) リティ上、初期値がない場合でもアスタリスク表 示されます) 固定パスワード(再入力) なし 上記に同じ 上記に同じ ○ 権限 一般ユーザ 「システム管理者」か 「システム管理者」はすべての設定を参照、設 ○ 「一般ユーザ」を選択 定することが可能です。「一般ユーザ」は個人 します。 情報のみ参照、設定が可能です。 ログイン回数 0 自動設定 ユーザのログイン回数です。 − 利用可能なログイン回数 無制限 0∼100000 回 ユーザがログインできる回数の最大値です。無 ○ 制限のチェックは指定した値より優先されます。 有効期限 なし 1990.1.1 有効期限を指定します。有効期限が過ぎたユ ∼9999.12.31 ーザはステータスが「利用停止」となり、ログイ ○ ンすることができなくなります。 有効期限自動延長対象/対 対象 (選択) 固定パスワードを変更したときに、「認証サーバ 象外 ○ 管理」−「システム設定」で指定した延長方法で 有効期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 「通常」 ○ … 有効なユーザ(青色) 「利用停止」 … ロックされたユーザ(黄色) 最終ログイン日時 なし − 最終ログイン日時です。システム利用時に自動 − 的に登録されます。 登録日 なし 自動設定 ユーザの登録日です。自動的に登録されます。 − 更新日 なし 自動設定 ユーザの更新日です。自動的に登録されます。 − ※ ポリシーについては、p.173「パスワードポリシー設定」をご参照ください。 33 ユーザ管理 3 . ユーザの更新 ユーザの一覧表示画面にて「ユーザID」をクリックするとユーザの詳細情報を確認することができます。ユ ーザの情報を更新したい場合は必要な項目を修正して「更新」ボタンをクリックしてください。LDAP または Active Directory 利用時は「権限」のみ変更できます。 図20. ユーザの詳細情報画面 34 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 必須 ユーザID なし − ユーザIDを表示します。これがユーザアカウン ○ トとなります。システム全体で一意でなければ なりません。 ユーザ名 なし 1∼80 バイト ユーザ名を入力します。 ○ 権限 一般ユーザ 「システム管理者」か 「システム管理者」はすべての設定を参照、設 ○ 「一 般ユーザ」を選択 定する ことが可能です。「一般ユーザ」は個人 します。 情報のみ参照、設定が可能です。 自動設定 認証連続失敗回数です。変更時、「リセット」に 現在の認証失敗回数 0 − チェックをつけて変更するとクリアされます。 ログイン回数 0 自動設定 ユーザのログイン回数です。変更時、「リセット」 − にチェックをつけて変更するとクリアされます。 利用可能なログイン回数 無制限 0∼100000 回 ユーザがログインできる回数の最大値です。無 ○ 制限のチェックは指定した値より優先されます。 有効期限 なし 1990.1.1 有効期限を指定します。有効期限が過ぎたユ ∼9999.12.31 ーザはステータスが「利用停止」となり、ログイ ○ ンすることができなくなります。 有効期限自動延長対象/対 対象 (選択) 固定パスワードを変更したときに、「認証サーバ 象外 ○ 管理」−「システム設定」で指定した延長方法で 有効期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 「通常」 ○ … 有効なユーザ(青色) 「利用停止」 … ロックされたユーザ(黄色) 最終ログイン日時 なし − 最終ログイン日時です。システム利用時に自動 − 的に登録されます。 登録日 なし 自動設定 ユーザの登録日です。自動的に登録されます。 − 更新日 なし 自動設定 ユーザの更新日です。自動的に登録されます。 − 35 ユーザ管理 4 . ユーザの無効 ユーザの一覧表示画面にて「ユーザID」をクリックするとユーザの詳細情報を確認することができます。ユ ーザを無効にしたい場合は「無効」ボタンをクリックしてください。ただし、ログインユーザ自身を無効にするこ とはできません。また、LDAP または Active Directory 使用時はご利用になれません。 図21. ユーザの詳細情報画面 point: ユーザの無効とは? ユーザを無効にするということは、ユーザ自身の情報を消去せずに利用停止にすることを意味します。ユー ザIDを欠番として扱いたい場合などに利用する機能です。無効にしたユーザは復帰させることもできます。ユ ーザの復帰は「ユーザの復帰」の項をご参照ください。ユーザのデータを完全に削除する場合は次項「ユーザ の完全削除」の項をご参照ください。 36 ユーザ管理 5 . ユーザの完全削除 無効にしたユーザを完全に削除します。ユーザの完全削除ができるのは無効ユーザのみです。 無効にしたユーザを完全に削除する場合は、「ユーザの一覧表示画面」から無効なユーザ(赤マーク)をク リックして表示された画面の「削除」ボタンをクリックします。確認画面にて「OK」ボタンをクリックするとユーザ の情報が完全に削除されます。また、LDAP 利用時はご利用になれません。 ※ 完全削除ができるのはシステム管理者のみです。 図22. ユーザの完全削除 37 ユーザ管理 6 . ユーザの復帰 無効にしたユーザを復帰させます。 無効にしたユーザを復帰する場合は、「ユーザの一覧表示画面」から無効なユーザ(赤マーク)をクリックし て表示された画面の「復帰」ボタンをクリックします。確認画面にて「OK」ボタンをクリックするとユーザの情報 が通常の状態に復帰します。また、LDAP 利用時はご利用になれません。 ※ ユーザの復帰を実行できるのはシステム管理者のみです。 図23. ユーザの復帰 38 ユーザ管理 7 . 連携機器設定 ユーザ単位、端末単位で連携機器へのサブミット先、パラメータを変更したい場合に、個別の設定ができ ます。設定する場合は、「ユーザの一覧表示画面」から設定対照となるなユーザをクリックして表示された画 面の「連携機器設定」ボタンをクリックします。 図24. ユーザの連携機器設定 39 ユーザ管理 以下のような設定画面が表示されます。どの設定を有効にするか選択します。 「ユーザ設定」を選択した場合は、各設定項目を入力して「設定」ボタンを押してください。 40 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 必須 設定の選択 システム設定 (選択) システム設定:WisePoint-Gateway 管理で指 ○ 定したデフォルト設定を使用しま す。 端末設定:WisePoint-Gatwy 管理で指定した 各端末設定を使用します。 ユーザ設定:ここで指定した設定を使用します。 認証成功後自動サブミット − − 認証が成功した後に自動サブミットを行う サブミット先 URL サブミット方式 ○ SSL-VPN または VLAN の URL POST (選択) サブミットの方式 − ・POST ・GET ユーザ ID として扱う username − Form 認証のユーザ ID パラメータ名 ○ password − Form 認証のパスワードパラメータ名 ○ − − Form のパラメータとして送信する際のパラメー − パラメータ パスワードとして扱う パラメータ その他のパラメータ (固定値) タ名と値を指定します。複数指定する場合はセ ミコロンで区切って指定してください。 41 ユーザ管理 8 . ユーザ一括登録 ユーザ一括登録では CSV 形式のユーザデータファイルを指定して WisePoint のユーザ情報を一括で登録、 更新、あるいは削除することができます。登録できる情報の種類については、ツールマニュアルの「ユーザ一括 登録ツール−入力ファイルの種類」をご参照ください。 ユーザ一括登録では直接データベースを操作します。そのため、入力データの整合性のチェックを厳格に行 っておりません。ご利用になる際にはデータの整合性にご注意下さい。また、ご利用前にデータベースのバック アップを必ず行ってください。 図25. ユーザ一括登録画面 42 ユーザ管理 項目説明 項目名 説明 データに対する操作 「追加/更新」…新規にデータを追加する場合・既存のデータを更新する 場合に選択します。 「削除」…既存のデータを削除する場合に選択します。 セパレータ データファイルの各項目のセパレータを以下の項目から選択します。 カンマ カンマ「,」をセパレータとします。 タブ タブをセパレータとします。 セミコロン セミコロン「;」をセパレータとします。 指定 任意の文字を指定します。 ユーザデータファイル ユーザデータファイルを指定します。 ユーザロールデータファイル ユーザロールデータファイルを指定します。 Jパスワード認証データファイル J パスワード認証データファイルを指定します。 サービスパスワードデータファイル サービスパスワードデータファイルを指定します。 携帯電話 ID 認証データファイル 携帯電話 ID 認証データファイルを指定します。 DIGIPASS 認証データファイル DIGIPASS 認証データファイルを指定します。 ユーザ拡張データファイル ユーザ拡張データファイルを指定します。 43 ユーザ管理 (1)追加・更新 データファイルの内容を新規に追加、あるいは更新します。「データファイルに対する操作」で「追加/更新」 を選択し、データファイルのセパレータを指定します。データファイルは「参照」ボタンを押して、ローカルにある データファイルを指定してください。最後に「実行」ボタンを押すとデータファイルのアップロードが開始され、一 括登録・更新処理が開始されます。 漢字コードは管理ツールが Linux 上で動作している場合は EUC-JP、Windows 上で動作している場合は Shift_JIS をご利用ください。 図26. ユーザ一括登録追加・更新 44 ユーザ管理 (2)削除 データファイルの内容でデータベース内の情報を削除します。「データファイルに対する操作」で「削除」を選 択し、データファイルのセパレータを指定します。データファイルは「参照」ボタンを押して、ローカルにあるデー タファイルを指定してください。最後に「実行」ボタンを押すとデータファイルのアップロードが開始され、一括削 除処理が開始されます。 図27. ユーザ一括削除 45 ユーザ管理 (3)正常終了時の表示 正常に処理が終了した場合には以下のような画面が表示されます。 (4)エラー発生時の表示 一括処理時にエラーが発生した場合には、以下のような画面が表示されます。該当データの形式が間違っ ている可能性がありますので、赤色で表示されているデータファイルを再度ご確認ください。 以下のエラーが表示された場合は、アップロード可能な最大ファイルサイズ容量を超えていることを意味し ます。この容量はデータファイル一つにつき約 1MB の制限となっております。サーバに負荷を与えないため、 大きなデータファイルは分割して登録するようにしてください。 46 ユーザ管理 9 . 有効期限一括設定 有効期限自動延長対象の設定と、有効期限の設定を一括で行います。J パスワードのように複数登録でき る認証はすべての設定が変更されます。 LDAP 使用時はパスワードの有効期限の一括設定を行うことは出来ません。 図28. 有効期限一括設定画面 47 ユーザ管理 有効期限の項目では、認証方式と設定する項目の選択を行います。 図29. 有効期限 項目説明 項目名 初期値 入力条件 説明 認証方式 パスワード (選択) 以下の項目から設定を行う認証方式を選択します。 必須 ○ 「パスワード」 「J パスワード」 「マトリクスコード」 「イメージングマトリクス」 「携帯電話製造番号」 有効期限自動延長対象 − − を設定する 有効期限自動延長対象を設定する場合にチェックし、 − 以下の項目を選択します。 「有効期限自動延長対象」 「有効期限自動延長対象外」 有効期限を設定する − − 有効期限を設定する場合にチェックし、有効期限を設 定します。 48 − ユーザ管理 対象ユーザの項目では、以下の項目を設定します。 項目説明 項目名 説明 対象ユーザ チェックボックスは検索条件を適用する項目を指定します。検索条件の詳細はすぐ右隣 にある入力項目で指定します。 画面例) ※ ユーザIDが「mu」で始まる条件に合致するよう絞り込むときの指定例です。 49 ユーザ管理 1 0 . ユーザ一括削除 ユーザを一括で削除、利用停止、無効にします。対象ユーザにシステム管理者が含まれている場合、自動 的にシステム管理者は除外されます。 LDAP 使用時はユーザ一括削除を行うことは出来ません。 図30. ユーザ一括削除画面 50 ユーザ管理 削除方法の項目では、削除、利用停止、無効の選択を行います。 図31. 削除方法の選択 項目説明 項目名 初期値 入力条件 説明 削除方法 完全削除 (選択) 以下の項目から削除方法を選択します。 必須 ○ 「完全削除」 「無効」 「利用停止」 対象ユーザの項目では、以下の項目を設定します。 項目説明 項目名 説明 対象ユーザ チェックボックスは検索条件を適用する項目を指定します。検索条件の詳細はすぐ右隣 にある入力項目で指定します。 画面例) ※ ユーザIDが「mu」で始まる条件に合致するよう絞り込むときの指定例です。 51 ユーザ管理 1 1 . パスワード一括クリア ユーザの各種認証パスワードを一括で未設定の状態にします。対象ユーザにシステム管理者が含まれてい る場合、自動的にシステム管理者は除外されます。 LDAP 使用時は「パスワード」をクリアすることは出来ません。 図32. パスワード一括クリア画面 認証方式の項目では、クリアする認証方式の選択を行います。 図33. 認証方式選択 52 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 認証方式 パスワード (選択) 以下の項目から設定を行う認証方式を選択します。 必須 ○ 「パスワード」 「J パスワード」 「マトリクスコード」 「イメージングマトリクス」 「携帯電話製造番号」 対象ユーザの項目では、以下の項目を設定します。 項目説明 項目名 説明 対象ユーザ チェックボックスは検索条件を適用する項目を指定します。検索条件の詳細はすぐ右隣 にある入力項目で指定します。 画面例) ※ ユーザIDが「mu」で始まる条件に合致するよう絞り込むときの指定例です。 53 ユーザ管理 1 2 . 認証一括設定 各ユーザの認証を一括設定します。 図34. 認証自動設定画面 54 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 認証方式 パスワード (選択) 以下の項目から自動設定を行う認証方式を 必須 ○ 選択します。 「パスワード」 「J パスワード」 「マトリクスコード」 「イメージングマトリクス」 「携帯電話イメージングマトリクス」 「ワンタイムパスワード」 (生成方式) − (選択) 生成方式を 選択します。選択可能な項目は認 生成方式 (生成方式) 証方式によって異なります。 − − 生成条件を 指定します。設定項目は認証方式 生成条件 (生成対象) ○ ○ によって異なります。 全ユーザ (選択) 生成対象ユーザを以下から選択します。 生成対象ユーザ ○ 「全ユーザ再設定」 「ユーザを指定する」 (生成対象) − − 生成対象で「全ユーザ再設定」を選択した場合 生成対象ユーザの条件 ○ は利用停止ユーザも含まれます。利用停止ユ ーザを除外する場合は「利用停止ユーザを除 外する」チェックを入れてください。 生成対象で「ユーザを指定する」を選択した場 合は、ユーザの条件を指定します。設定項目は 以下の「生成対象ユーザの条件」をご参照くだ さい。 (パスワードの利用設定) − (選択) 以下の項目から選択します。 ○ 「対象ユーザすべてに対して無条件に有効期 限を自動延長する」 「対象ユーザの中で自動延長対象のユーザの み有効期限を自動延長する」 「有効期限を固定で指定する」 (パスワードの利用設定) 無期限 − 「有効期限を固定で指定する」を選択した場合 有効期限 (パスワードの利用設定) − のみ有効期限を指定します。 − (選択) 「有効期限自動延長対象」 有効期限自動延長対象 「有効期限自動延長対象外」 55 ○ ユーザ管理 生成対象ユーザの条件 項目名 初期値 入力条件 説明 ユーザID なし 1∼80 文字 ユーザIDを指定します。 ユーザ名 なし 1∼40 文字 ユーザ名を指定します。 有効期限 今年 1/1∼今年 1/1 − ユーザアカウントの有効期限を指定します。 有効期限自動延長対象/対 対象外 (選択) 各認証を変更したときに、「認証サーバ管理」 象外 −「システム設定」で指定した延長方法で有 効期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 「通常」 … 有効なユーザ(青色) 「利用停止」 … ロックされたユーザ(黄色) 「無効」 … 無効なユーザ(赤色) 最終ログイン日時 今年 1/1∼今年 1/1 − 最終ログイン日時を指定します。 登録日 今年 1/1∼今年 1/1 − ユーザの登録日を指定します。 更新日 今年 1/1∼今年 1/1 − ユーザの更新日を指定します。 ※ 指定した項目を有効にするには、項目名の左側にあるチェックボックスをチェックしてください。 56 ユーザ管理 (1)パスワード自動設定 パスワード自動設定を行うには、認証方式から「パスワード」を選択します。 図35. 認証方式 「生成方式」では、パスワードをランダムに生成するか、全ユーザ固定で生成するか指定することができ ます。「ランダム生成」を選択した場合には、「生成条件」で指定したパスワード長でパスワードがランダム に自動生成されます。「固定生成」を選択した場合には、「生成条件」で指定したパスワードで自動生成さ れます。 ※パスワード長は p.173「パスワードポリシー設定」の「パスワード」で設定した範囲で指定することがで きます。 図36. 生成方式 「生成対象」では生成の対象となるユーザを指定します。「全ユーザ再設定」では全てのユーザが対象 となり、「ユーザを指定する」では「生成対象ユーザの条件」で指定したユーザが生成対象となります。「全 ユーザ再設定」の場合には、無効に設定されているユーザは自動的に生成対象から除外されます。 「生成対象ユーザ」で「全ユーザ再設定」を選択した場合には、利用停止に設定されているユーザも生 成対象に含まれます。利用停止ユーザを含めたくない場合には、「生成対象ユーザの条件」で「利用停止 ユーザを除外する」チェックボックスをチェックしてください。 57 ユーザ管理 図37. 生成対象 「生成対象ユーザ」で「ユーザを指定する」を選択した場合には、「生成対象ユーザの条件」で条件を指 定します。以下の例では「ユーザID」が「to」で始まり、「ステータス」が「通常」であるという条件に合致する ユーザを生成対象にしています。 図38. ユーザ指定時の生成対象ユーザの条件 「実行」ボタンを押すと、パスワードの自動設定が行われます。ユーザ数が多い場合、実行完了まで数 分かかる場合がありますのでご注意ください。また、実行中は他の操作を行わないようにしてください。 58 ユーザ管理 図39. パスワード自動設定完了画面 59 ユーザ管理 (2)J パスワード自動設定 J パスワード自動設定を行うには、認証方式から「J パスワード」を選択します。J パスワード自動設定で 設定できるのは、J パスワードがまだ設定されていなユーザのみとなりますのでご注意ください。 図40. 認証方式 J パスワード自動設定では、生成方式は「固定生成」のみです。 図41. 生成方式 「生成条件」で「作成」ボタンを押すと固定生成用 J パスワード作成画面が表示されます。「質問」と「回 答」をそれぞれ設定して「決定」ボタンを押してください。 60 ユーザ管理 図42. J パスワード作成画面 同様に「変更」ボタンを押すと、選択されている J パスワードの変更画面が表示されます。「削除」ボタン を押すと、選択されている J パスワードが削除されます。 「生成対象」では生成の対象となるユーザを指定します。指定できる項目は、(1)パスワード自動設定の 「生成対象ユーザ」と同じです。 「パスワードの利用設定」で「有効期限」を設定することにより、J パスワードに有効期限を設定すること ができます。規定値では「無期限」に設定されていますので「無期限」チェックボックスを外して設定してくだ さい。「ステータス」では自動生成する J パスワードのステータスを設定することができます。 図43. パスワードの利用設定 61 ユーザ管理 (3)マトリクスコード自動設定 マトリクスコード自動設定を行うには、認証方式から「マトリクスコード」を選択します。 図44. 認証方式 マトリクスコード自動設定では、生成方式は「ランダム生成」のみです。「生成対象」では生成の対象とな るユーザを指定します。「未設定ユーザのみ生成」ではマトリクスコード未設定のユーザのみが生成の対 象となり、「全ユーザ再設定」では全てのユーザが対象となります。「ユーザを指定する」では「生成対象ユ ーザの条件」で指定したユーザが生成対象となります。「未設定ユーザのみ生成」と「全ユーザ再設定」の 場合には、無効に設定されているユーザは自動的に生成対象から除外されます。 図45. 生成対象ユーザ 「生成対象」では生成の対象となるユーザを指定します。指定できる項目は、(1)パスワード自動設定の 「生成対象ユーザ」と同じです。 「パスワードの利用設定」では、「有効期限」と「ステータス」が設定可能です。設定できる項目は、(2)J パスワード自動設定の「パスワード利用設定」と同じです。 ※LDAP をご利用の際にはユーザ登録後に実行してください。 ※LDAP 側でユーザを登録した後「未設定ユーザのみ生成」でマトリクスコードを一括生成しても、登録 されたユーザのマトリクスコードは自動生成されません。一度マトリクスコード表の一括生成を行ってくださ い。 62 ユーザ管理 マトリクスコードの設定を行ったユーザのみ、CSV出力を行いたい場合は、結果の画面の「CSV出力」ボ タンを押してください。 図46. マトリクスコード表生成結果画面 「CSV出力」ボタンを押すと、出力する内容を設定する画面が表示されます。 図47. マトリクスコード表を生成結果から出力する画面 CSVファイルの出力は「認証一括表示」で出力する形式と同じになります。 63 ユーザ管理 (4)イメージングマトリクス自動設定 イメージングマトリクス自動設定を行うには、認証方式から「イメージングマトリクス」を選択します。 図48. 認証方式 生成方式で「ランダム生成」を選択した場合には、イメージングマトリクスがランダムに自動生成されま す。「固定生成」を選択した場合には、「生成条件」で指定したイメージで自動生成されます。 図49. 生成方式 「生成条件」で「選択」ボタンを押すとイメージングマトリクスの選択画面が表示されます。イメージを選択 後「選択」ボタンを押して選択を完了し、最後に「決定」ボタンを押してください。現在選択されているイメー ジを解除するには、「解除」ボタンを押してください。 64 ユーザ管理 図50. イメージングマトリクス選択画面 「生成対象」では生成の対象となるユーザを指定します。指定できる項目は、(3)マトリクスコード自動設 定の「生成対象」と同じです。 「パスワードの利用設定」では、「有効期限」と「ステータス」が設定可能です。設定できる項目は、(2)J パスワード自動設定の「パスワード利用設定」と同じです。 65 ユーザ管理 (5)携帯電話イメージングマトリクス自動設定 携帯電話イメージングマトリクス自動設定を行うには、認証方式から「携帯電話イメージングマトリクス」 を選択します。 図51. 認証方式 生成方式で「ランダム生成」を選択した場合には、携帯電話イメージングマトリクスがランダムに自動生 成されます。「固定生成」を選択した場合には、「生成条件」で指定したイメージで自動生成されます。その 他の設定項目は p.64「イメージングマトリクス自動設定」と同じです。 66 ユーザ管理 (6)ワンタイムパスワード自動設定 ワンタイムパスワード自動設定を行うには、認証方式から「ワンタイムパスワード」を選択します。 図52. 認証方式 「生成方式」ではワンタイムパスワードをランダムに生成するか、全ユーザ固定で生成するか指定する ことができます。指定できる項目は、p.57「パスワード自動設定」の「生成方式」と同じです。 「生成対象」では生成の対象となるユーザを指定します。指定できる項目は、p.57「パスワード自動設 定」の「生成対象ユーザ」と同じです。 「パスワードの利用設定」では、「有効期限」と「ステータス」が設定可能です。設定できる項目は、p.60 「J パスワード自動設定」の「パスワード利用設定」と同じです。 67 ユーザ管理 1 3 . 認証設定一括表示 各ユーザの認証設定を一括表示します。 図53. 認証設定一括表示画面 68 ユーザ管理 項目説明 (認証方式) 項目名 初期値 入力条件 説明 必須 認証方式 パスワード (選択) 以下の項目から一括表示を行う認証方式を ○ 選択します。 「パスワード」 「J パスワード」 「マトリクスコード」 「イメージングマトリクス」 「携帯電話イメージングマトリクス」 「ワンタイムパスワード」 表示方向 縦 (選択) 一覧画面のパスワードを表示する方向を ○ 「縦」と「横」から選択します。 表示項目 一般ユーザ (選択) 表示する項目を以下から選択します。(※) ○ 「ユーザ ID」 「ユーザ名」 「有効期限」 「拡張情報」 ※ J パスワードの場合の有効期限は選択できません。 項目説明 (検索条件) 項目名 初期値 入力条件 説明 ユーザID なし 1∼80 文字 ユーザIDを指定します。 ユーザ名 なし 1∼40 文字 ユーザ名を指定します。 有効期限 今年 1/1∼今年 1/1 − 有効期限を指定します。 ステータス 通常 (選択) 以下の項目から選択します。 「通常」 … 有効なユーザ(青色) 「利用停止」 … ロックされたユーザ(黄色) 「無効」 … 無効なユーザ(赤色) 最終ログイン日 今年 1/1∼今年 1/1 − 最終ログイン日を指定します。 登録日 今年 1/1∼今年 1/1 − ユーザの登録日を指定します。 更新日 今年 1/1∼今年 1/1 − ユーザの更新日を指定します。 ※ 指定した項目を有効にするには、項目名の左側にあるチェックボックスをチェックしてください。 69 ユーザ管理 (1)パスワード一括表示 パスワード一括表示を行うには、認証方式から「パスワード」を選択します。「表示方向」では一覧画面 のパスワードを、縦方向に表示するか、横方向に表示するか設定します。「表示項目」で一覧画面に表示 する項目を選択します。 図54. 認証方式 「検索条件」で条件を指定することで、特定の条件に合致したユーザのみを一覧に含めることができま す。以下の例では「有効期限」が「無期限」で、「ステータス」が「通常」であるという条件に合致するユーザ を検索条件にしています。 図55. 検索条件 「決定」ボタンを押すと、各ユーザのパスワード一覧が表示されます。ユーザ数が多い場合、実行完了 まで数分かかる場合がありますのでご注意ください。また、実行中は他の操作を行わないようにしてくださ い。 70 ユーザ管理 図56. 各ユーザのパスワード一覧画面(縦方向表示) 71 ユーザ管理 (2)J パスワード一括表示 J パスワード一括表示を行うには、認証方式から「J パスワード」を選択します。 図57. 認証方式 図58. 各ユーザの J パスワード一覧画面(横方向表示) 72 ユーザ管理 (3)マトリクスコード表一括表示 マトリクスコード表一括表示を行うには、認証方式から「マトリクスコード」を選択します。 図59. 認証方式 図60. 各ユーザのマトリクスコード表一覧画面(横方向表示) 73 ユーザ管理 (4)イメージングマトリクス一括表示 イメージングマトリクス一括表示を行うには、認証方式から「イメージングマトリクス」を選択します。 図61. 認証方式 図62. 各ユーザのイメージングマトリクス一覧画面(横方向表示) 74 ユーザ管理 (5)携帯電話イメージングマトリクス一括表示 携帯電話イメージングマトリクス一括表示を行うには、認証方式から「携帯電話イメージングマトリクス」 を選択します。 図63. 認証方式 図64. 各ユーザの携帯電話イメージングマトリクス一覧画面(横方向表示) 75 ユーザ管理 (6)ワンタイムパスワード一括表示 ワンタイムパスワード一括表示を行うには、認証方式から「ワンタイムパスワード」を選択します。 図65. 認証方式 図66. 各ユーザのワンタイムパスワード一覧画面(横方向表示) 76 ユーザ管理 (7)パスワード一括 CSV ファイル出力 パスワード一括 CSV ファイル出力を行うには、認証方式から「パスワード」を選択します。「表示項目」で 一覧画面に表示する項目を選択します。各項目の区切りである「セパレータ」は「カンマ」か「タブ」のみ選 択可能です。「表示方向」は無視されます。 図67. 認証方式 「検索条件」で条件を指定することで、特定の条件に合致したユーザのみを一覧に含めることができま す。以下の例では「有効期限」が「無期限」で、「ステータス」が「通常」であるという条件に合致するユーザ を検索条件にしています。 図68. 検索条件 「csv 出力」ボタンを押すと、各ユーザのパスワード一覧が CSV ファイルとしてダウンロードできます。ユ ーザ数が多い場合、実行完了まで数分かかる場合がありますのでご注意ください。また、実行中は他の 操作を行わないようにしてください。 77 ユーザ管理 図69. 各ユーザのパスワード CSV ファイルダウンロード画面 パスワード CSV ファイル項目順番(表示項目をすべて選択した場合) ユーザ ID ユーザ名 有効期限 拡張情報 ※拡張情報 パスワード (※複数の場合繰り返し) (8)J パスワード一括 CSV ファイル出力 J パスワード一括 CSV ファイル出力を行うには、認証方式から「J パスワード」を選択します。 J パスワード CSV ファイル項目順番(表示項目をすべて選択した場合) ユーザ名 ユーザ ID 有効期限 拡張情報 拡張情報 J パスワード J パスワード (※複数の場合 (※複数の場合 繰り返し) 繰り返し) (9)マトリクスコード表一括 CSV ファイル出力 マトリクスコード表一括 CSV ファイル出力を行うには、認証方式から「マトリクスコード」を選択します。 マトリクスコード(3×3 の場合)CSV ファイル項目順番(表示項目をすべて選択した場合) ・・・ マトリクス ユーザ ユーザ 有 効 拡 張 拡張情報 マトリクス マトリクス ・・・ マトリクス 名 ID 期限 情報 (※複数 コード コード (略) コード コード の場合 1 行 1 列目 2 行 1 列目 1 行 2 列目 3 行 3 列目 繰り返し) 78 ユーザ管理 (10)イメージングマトリクス一括 CSV ファイル出力 イメージングマトリクス一括 CSV ファイル出力を行うには、認証方式から「イメージングマトリクス」を選 択します。 イメージングマトリクス CSV ファイル項目順番(表示項目をすべて選択した場合) ユーザ ユーザ 有 効 拡 張 拡張情報 表示順序 1 の 表示順序 1 ・・・ 表示順序 2 名 ID 期限 情報 (※複数 1 番目のイメ の 2 番目の (略) の 1 番目の の場合 ージ名 イメージ名 ・・・ イメージ名 繰り返し) (11)携帯電話イメージングマトリクス一括 CSV ファイル出力 携帯電話イメージングマトリクス一括 CSV ファイル出力を行うには、認証方式から「携帯電話イメージン グマトリクス」を選択します。 携帯電話イメージングマトリクス CSV ファイル項目順番(表示項目をすべて選択した場合) ユーザ ユーザ 有 効 拡 張 拡張情報 表示順序 1 の 表示順序 1 ・・・ 表示順序 2 名 ID 期限 情報 (※複数 1 番目のイメ の 2 番目の (略) の 1 番目の の場合 ージ名 イメージ名 ・・・ イメージ名 繰り返し) (12)ワンタイムパスワード一括 CSV ファイル出力 ワンタイムパスワード一括 CSV ファイル出力を行うには、認証方式から「ワンタイムパスワード」を選択 します。 ワンタイムパスワード CSV ファイル項目順番(表示項目をすべて選択した場合) ユーザ名 ユーザ ID 有効期限 拡張情報 79 ※拡張情報 ワンタイムパ (※複数の場合繰り返し) スワード ユーザ管理 1 4 . クリーンアップ LDAP(または Active Directory)使用時に LDAP サーバ側でユーザを削除すると、LDAP サーバ上に 存在しないユーザの認証情報(J パスワード認証やマトリクスコード認証の認証情報など)が WisePoint 側に 残ったままになります。クリーンアップはこれらの不要な情報を削除します。 図70. クリーンアップ 80 ユーザ管理 1 5 . インポート LDAP からユーザ情報をデータベースにインポートします。インポートされる情報はユーザ ID、ユーザ名、 ステータスの3つで、固定パスワードは指定されたルールで自動生成されます。それ以外の情報については 規定値が設定されます。規定値は以下の通りです。 項目名 規定値 ログイン回数 0 利用可能なログイン回数 無制限 有効期限 無制限 登録日 インポート日時 更新日 インポート日時 また、各情報は以下の属性から取得します。 項目名 属性名 ユーザ ID uid ユーザ名 displayName または cn ステータス wpAccountLock この機能は LDAP 利用時のみご利用になれます。 図71. インポート 81 ユーザ管理 (1)設定ルール LDAP からユーザを取り込むときに、固定パスワードを取り込めないため、固定パスワードを自動で 生成します。ここでは、自動生成する固定パスワードの書式を指定します。 パスワードは設定ルールの指定によって、以下のような固定パスワードが生成されます。 prefix + ユーザ ID + suffix 例 prefix=p suffix=00 この場合、以下のようなパスワードとなります。 ユーザ ID murata 固定パスワード pmurata00 ユーザ ID wpadmin 固定パスワード pwpadmin00 (2)インポート後の対処 インポートしたユーザ情報を利用するためにはユーザ情報の参照先を、LDAP からデータベースに 切り替える必要があります。切り替えの方法は「インストールマニュアル」の「データベースと LDAP の 切り替え」をご参照ください。 82 ユーザ管理 1 6 . 表示設定 指定の条件でユーザの一覧を表示することができます。各種条件を設定して「決定」ボタンをクリックしてく ださい。リセットボタンを押すと初期設定値にクリアされます。LDAP 利用時は検索条件がユーザ ID、ユー ザ名、ステータス(通常、利用停止)のみとなります。 図72. ユーザの表示設定画面 83 ユーザ管理 認証情報を指定する場合は、認証情報の検索条件のチェックボックスをチェックして、検索条件となる日付 を設定してください。検索条件で指定した条件と認証情報で指定した条件は AND 検索になります。 J パスワードや携帯電話 ID のように、複数の認証情報がある場合は、どれか一つの認証情報に合致した 場合に表示対象となります。 携帯電話イメージングマトリクスの有効期限と、イメージングマトリクスの有効期限は同一となります。 図73. ユーザの表示設定画面(認証情報の検索条件) 84 ユーザ管理 表示条件 表示順序 ユーザの表示順序(昇順・降順)を指定します。以下から選択します。 「ユーザID」「ユーザ名」「登録日」「更新日」 表示条件 1ページに表示するユーザ一覧の件数を指定します。 10∼100まで10刻みの単位で指定します。 検索条件 チェックボックスは検索条件を適用したい項目を指定します。検索条件の詳細はすぐ右隣 にある入力項目で指定します。 画面例) ※ ユーザIDが「mu」で始まり、ステータスが「無効」であるという条件に合致するよ う絞り込むときの指定例です。 85 ユーザ管理 表示条件 認証情報の検索条件 チェックボックスは検索条件を適用する項目を指定します。 右側の入力項目で日付を指定します。 画面例) ※ 画面は J パスワードの有効期限が「2006 年 12 月 31 日」で、同じく J パスワ ードの更新日が「2006 年 3 月 31 日から 2006 年 4 月 30 日」であるという条 件に合致するよう絞り込むときの指定例です。 86 ユーザ管理 1 7 . 認証情報 ユーザの認証情報を管理する手順について説明します。ユーザ表示画面にある「認証情報の表示切替」 をクリックすると認証情報の設定画面に遷移します。 図74. ユーザの詳細情報画面 「認証情報の表示切替」リンクをクリックすると、現在表示されているユーザ情報の下に認証情報が表示され ます(下記画面はすべてのライセンスが導入されている場合の例です)。認証情報の登録項目はそれぞれの 認証方式によって異なりますので、画面の指示に従って設定してください。 図75. 認証情報を表示した場合のユーザ情報画面 87 ユーザ管理 (1)固定パスワードの設定 固定パスワードの登録は、「固定パスワード認証」のパスワード入力欄に新しいパスワードを入力して「更 新」ボタンをクリックしてください。 項目説明 項目名 初期値 入力条件 説明 固定パスワード なし ポリシー設定にて指定 ユーザの固定パスワードを入力します。(セキュ することが でき ます。 リティ上、初期値がない場合でもアスタリスク表 (※) 示されます) 上記に同じ 上記に同じ 固定パスワード(再入力) 上記に同じ 必須 ○ ○ ※ ポリシー設定については、p.173「パスワードポリシー設定」をご参照ください。 (2)Jパスワードの設定 Jパスワードは任意の回数(1∼3)作成できます。変更する場合は、変更したいJパスワードを選択してから 「変更」ボタンをクリックしてください。削除する場合も、削除したいJパスワードを選択してから「削除」ボタンを クリックしてください。 項目説明 項目名 初期値 入力条件 説明 質問 なし 認証時の質問を入力します。一度設定すると変 更できません。 ○ 回答 なし ポリシーにて指定する ことができますが(※) 80byte 以下で設定し てください。 ポリシーにて指定する ことができますが(※) 80byte 以下で設定し てください。 質問に対する回答を入力します。認証時にここ で設定したデータを入力します。 ○ 利用回数 0 自動設定 − 有効期限 無期限 1990.1.1 このJパスワード認証が利用された回数です。 新規登録時は自動的に 0 が設定されます。リセ ットしたい場合は「リセット」にチェックをいれて 更新します。 有効期限を指定します。有効期限が過ぎたJパ スワード認証はステータスが「利用停止」とな り、利用することができなくなります。 ∼9999.12.31 有効期限自動延長対象/対 対象 (選択) Jパスワードを変更したときに、「認証サーバ管 象外 必須 ○ ○ 理」−「システム設定」で指定した延長方法で有 効期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 ○ 「通常」「利用停止」 最終アクセス日時 なし − Jパスワード認証を利用して最後にログインした 日時です。システム利用時に自動的に登録さ れます。 − 登録日 なし 自動設定 登録日です。自動的に登録されます。 − 更新日 なし 自動設定 更新日です。自動的に登録されます。 − ※ ポリシー設定については、p.173「パスワードポリシー設定」をご参照ください。 88 ユーザ管理 (3)マトリクスコードの設定 マトリクスコードはユーザ毎で1つだけ作成できます。変更する場合は「変更」ボタンをクリックしてください。 既に作成されたマトリクスのコードを参照するには「コード表」をクリックしてください。マトリクスコードの仕様 を変更する場合は認証方式管理のマトリクスコードの仕様定義をご利用ください。 項目説明 項目名 初期値 入力条件 説明 利用回数 0 自動設定 マトリクスコード認証が利用された回数です。新 必須 ○ 規登録時は自動的に 0 が設定されます。リセッ トしたい場合は「リセット」にチェックをいれて更 新します。 有効期限 無期限 1990.1.1 有効期限を指定します。有効期限が過ぎたマト ∼9999.12.31 リクスコード認証はステータスが「利用停止」と ○ なり、利用することができなくなります。 有効期限自動延長対象/対 対象外 (選択) マトリクスコードを変更したときに、「認証サーバ 象外 ○ 管理」−「システム設定」で指定した延長方法で 有効期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 ○ 「通常」「利用停止」 最終アクセス日時 なし − マトリクスコード認証を利用して最後にログイン − した日時です。システム利用時に自動的に登録 されます。 登録日 なし 自動設定 登録日です。自動的に登録されます。 − 更新日 なし 自動設定 更新日です。自動的に登録されます。 − point: マトリクスコード表の再生成について マトリクスコード表の紛失や盗難によってマトリクスコード表を作り直す必要がある場合に利用します。マトリ クスコード表を再生成するためには「コード表」をクリックします。続いて、「再生成」ボタンをクリックするとマトリ クスコード表の構成文字列をランダムに再生成します。 89 ユーザ管理 (4)イメージングマトリクス認証の設定 イメージングマトリクス認証は、ユーザごとに認証情報または認証イメージの設定を行います(*1)。認証情 報を設定する場合は「設定」ボタンをクリックし、以下の項目説明に記載された項目を設定してください。認証 に利用するイメージを選択する場合は「選択」ボタンをクリックしてイメージ選択画面(図 77)に進んでくださ い。 PC用と携帯電話用は別な設定になっていますので、用途に合わせて設定を行ってください。 図76. イメージングマトリクス設定画面 ※ (*1) イメージをいくつ選択するか、またはイメージ表をいくつ利用するかといったイメージングマトリ クスの認証ポリシーはシステムで一意であり、ユーザごとに設定することはできません。イメージング マトリクスの認証ポリシーを変更する場合は「認証方式管理」の p.177「イメージングマトリクス設定」、 p.179「携帯電話イメージングマトリクス設定」をご利用ください。認証設定の詳細は「認証方式管理」 の p.177「イメージングマトリクス設定」、p.179「携帯電話イメージングマトリクス設定」をご参照くださ い。 90 ユーザ管理 項目説明 項目名 初期値 入力条件 説明 利用回数 0 自動設定 イメ ージングマトリクス認証が利用された回数 必須 ○ です。新規登録時は自動的に 0 が設定されま す。リセットしたい場合は「リセット」にチェックを いれて更新します。 有効期限 無期限 1990.1.1 有効期限を指定します。有効期限が過ぎたイメ ∼9999.12.31 ージングマトリクス認証はステータスが「利用停 ○ 止」となり、利用することができなくなります。 有効期限自動延長対象/対 対象外 (選択) イメージを変更したときに、「認証サーバ管理」 ○ −「システム設定」で指定した延長方法で有効 象外 期限を更新するかどうかを指定します。 ステータス 通常 (選択) 以下の項目から選択します。 ○ 「通常」「利用停止」 最終アクセス日時 なし − イメージングマトリクス認証を利用して最後にロ − グインした日時です。システム利用時に自動的 に登録されます。 登録日 なし 自動設定 登録日です。自動的に登録されます。 − 更新日 なし 自動設定 更新日です。自動的に登録されます。 − 91 ユーザ管理 イメージ選択 図77. イメージ選択画面 ①認証に利用するイメージを選択し「選択」ボタンをクリック。 複数のイメージを選択する場合は繰り返してください。 ②「決定」ボタンをクリック。 複数のイメージング表を利用する場合は、再度イメージングマトリクス設定画面(図 76)から「選択」 ボタンをクリックし、イメージ選択を繰り返してください。 point: イメージの選択順序について イメージングマトリクス認証では選択するイメージの順序を指定することができます(複数選択の場合)。「上 へ」、「下へ」ボタンを使うと、選択済みのイメージの順序を入れ替えることができます。 92 ユーザ管理 (5)DIGIPASS 認証の設定 VASCO DATA SECURITY 社の DIGIPASS 認証を行います。「DIGIPASS 管理」でも同様の設定が出 来ます。 また、事前に DPX ファイルをインポートしていない場合はユーザの設定は行えませんのでご注意くださ い。 この機能は DIGIPASS 用のライセンスをご購入のお客様がご利用になれます。ライセンスが無い場合は 設定画面は表示されません。機能の詳細は P.216「DIGIPASS認証」をご覧ください。 ①初期設定 設定がされていないユーザの場合は以下のように表示されます。DIGIPASS とユーザを割り付ける場 合は、「設定」ボタンをクリックします。 図78. DIGIPASS 未設定のトップ画面 「設定」ボタンを押すと、以下の画面が表示されますので、DIGIPASS のシリアル番号をご確認の上、 該当するシリアル番号を選択して、「登録」ボタンを押すと、シリアル番号の設定が終了して、DIGIPASS が利用できるようになります。PIN をご利用の場合は、後述の「PINの設定」を行うか、認証時に設定画面 が表示されますので、そちらで設定してください。 図79. DIGIPASS 設定済みのトップ画面 93 ユーザ管理 DPX がインポートされていない場合は以下のように表示されます。 図80. DPX がインポートされていない場合の設定画面 94 ユーザ管理 ②シリアル番号の変更 設定済みのユーザの場合は以下のように表示されます。DIGIPASS とユーザを割り付け直す場合は、 「設定」ボタンをクリックします。 図81. DIGIPASS 設定済みのトップ画面 「設定」ボタンを押すと、以下の画面が表示されますので、DIGIPASS のシリアル番号をご確認の上、 該当するシリアル番号を選択して、「登録」ボタンを押すと、設定済みのシリアル番号が解除されて、指定 したシリアル番号が設定されます。PIN をご利用の場合は、後述の「PINの設定」を行うか、認証時に設定 画面が表示されますので、そちらで設定してください。詳細は P.216「DIGIPASS認証」をご覧ください。 図82. DIGIPASS 設定画面 95 ユーザ管理 「選択可能なシリアル番号一覧」には、他のユーザに割り付けられてるシリアル番号は表示されません。 シリアル番号がすべて割り付けられている場合は以下のような画面が表示されます。 追加のDPXファイルをインポートするか、他のユーザを解除してから選択してください。 図83. 割り付けられるシリアル番号がない場合の設定画面 96 ユーザ管理 ③シリアル番号の解除 DIGIPASS とユーザの割り付けを解除する場合は、「設定」ボタンをクリックします。 図84. DIGIPASS 設定済みのトップ画面 「設定」ボタンを押すと、以下の画面が表示されますので、「解除」ボタンを押してください。 図85. DIGIPASS 設定画面 「解除」ボタンを押すと、確認のウィンドウが表示されますので、「OK」ボタンを押してください。 図86. DIGIPASS 設定解除確認画面 97 ユーザ管理 ④DIGIPASS のテスト 設定した内容で、認証が出来るかどうかを確認する場合は、「設定」ボタンをクリックします。 図87. DIGIPASS 設定済みのトップ画面 「設定」ボタンを押すと、以下の画面が表示されますので、「テスト」ボタンを押してください。 図88. DIGIPASS 設定画面 「テスト」ボタンを押すと、以下の画面がポップアップ表示されますので、DIGIPASSのパスワードを入力 して、「OK」ボタンを押してください。PINが必要な場合はPINとDIGIPASSを続けてパスワード入力欄に 入力してください。 図89. DIGIPASS 設定テスト画面 98 ユーザ管理 認証に成功すると以下のような画面が表示されます。「Successful」以外のメッセージが表示された場 合は認証に失敗しています。PIN番号の有無やシリアル番号を確認してください。 図90. DIGIPASS 設定テスト成功画面 99 ユーザ管理 ⑤DIGIPASS のリセット DIGIPASS と WisePoint-Authenticator サーバとの時間のずれや、未使用の期間がながった場合に、 認証に失敗する場合があります。この場合、リセットすると認証が出来るようになります。リセットする場合 は、「設定」ボタンをクリックします。 図91. DIGIPASS 設定済みのトップ画面 「設定」ボタンを押すと、以下の画面が表示されますので、「リセット」ボタンを押してください。 図92. DIGIPASS 設定画面 100 ユーザ管理 「リセット」ボタンを押すと、確認のウィンドウが表示されますので、「OK」ボタンを押してください。 図93. DIGIPASS 情報リセット確認画面 101 ユーザ管理 ⑥PINの設定 PINの設定を行う場合は「PIN設定」ボタンをクリックします。PINを利用していない場合は、「PIN設定」 ボタンは表示されません。 図94. DIGIPASS 設定済みのトップ画面(PIN 設定) 図95. DIGIPASS 設定済みのトップ画面(PIN を利用しない場合) 「PIN設定」ボタンを押すと、以下の画面がポップアップされますので、「PIN」、「PIN(Retry)」を入力して、 「OK」ボタンを押してください。 「PIN (Retry)」は、「PIN」で入力したものの確認用ですので、「PIN」と同じものを入力してください。 図96. PIN設定画面 102 ユーザ管理 ⑦情報表示/設定 DIGIPASS の情報を参照、設定する場合は「情報表示」ボタンをクリックします。 図97. DIGIPASS 設定済みのトップ画面(情報表示) 「情報表示」ボタンを押すと、以下の画面が表示されます。 PINが利用できる場合と出来ない場合で表示内容、設定できる内容が異なります。 設定できる項目は、認証エラー回数のクリア と PINの強制変更指定です。それぞれチェックボックス にチェックを入れてから「更新」ボタンを押してください。 図98. DIGIPASS 情報画面(PINなし) 103 ユーザ管理 図99. DIGIPASS 情報画面(PINあり) 項目説明 項目名 PIN なしのとき 説明 の表示される か? シリアル番号 DIGIPASS のシリアル番号を表示します。 ○ 型番 ご利用の DIGIPASS の型番を表示します。 ○ 認証利用回数 DIGIPASS でログインに成功した回数を表示します。 ○ 最終ログイン日時 最後に DIGIPASS でログインに成功した日時を表示します。 ○ 最終ログイ時の時差 最後に DIGIPASS でログインに成功したときの DIGIPASS と WisePoint ○ サーバの時差を表示します。 PIN サポート PIN を利用する場合「YES」、利用しない場合「NO」と表示されます。 ○ PIN の長さ PIN の長さを表示します。 × PIN の最小長 PIN の最小の長さを表示します。 × 認証エラー回数 DIGIPASS でログインに失敗した回数を表示します。ログインに成功すると ○ クリアされます。 「クリアする」をチェックしてから「更新」ボタンを押すと、0にクリアされます。 次回ログイン時に PIN PIN を強制変更させる場合にこの項目をチェックしてから「更新」ボタンを押 を変更する すと、該当の DIGIPASS でログインしたときに PIN の入力画面が表示さ れ、PIN を入力しなおさなければなりません。 104 × ユーザエージェント管理 ユーザエージェント管理 システムに登録されているユーザエージェントと、対応する認証ページのコンテンツ種別を管理します。 Java Applet を利用できないブラウザや Java Applet のタイプを制御します。 図100. ユーザエージェント管理画面 105 ユーザエージェント管理 1 . ユーザエージェント一覧 システムに登録されているユーザエージェントと、対応する認証ページのコンテンツ種別を表示します。 ∼(略)∼ 図101. ユーザエージェント一覧表示画面 項目説明 項目名 説明 ユーザエージェント ブラウザごとに決まった文字列となるユーザエージェントです。 ブラウザ ブラウザの種類です。 コンテンツ種別 認証ページとして利用可能なコンテンツの種別とユーザID入力画面で利用される メソッドを表示します。 携帯電話認証画面 携帯電話イメージングマトリクス画面の設定の名称です。 ※ ユーザエージェントの一覧に「PDA」、「Opera」といった、WisePoint 動作対象外のユーザエージェン トが表示されますが、これは以前のバージョンを購入されたお客様用の設定であり、現在のバージョン ではサポート対象外です。 106 ユーザエージェント管理 2 . ユーザエージェントの変更・削除 ユーザエージェント一覧より ID またはユーザエージェントをクリックすると、変更・削除画面を表示します。 この画面では、システムに登録されているユーザエージェントの変更、削除を行います。 図102. ユーザエージェント変更・削除画面 項目説明 項目名 説明 ID ユーザエージェントの固有識別 ID です。 既に登録されている ID と重複して登録することはできません。 ユーザエージェント ブラウザごとに決まった文字列となるユーザエージェントです。 ユーザエージェントにはワイルドカードが使用可能です。 ブラウザ ブラウザの種類を選択します。 携帯電話認証画面 ブラウザで携帯電話を選択した場合に、携帯電話イメージングマトリクス認証画面を 選択します。 ※ ユーザエージェントを変更、削除した場合は、その端末からログインできなくなる場合がありますので ご注意ください。 107 ユーザエージェント管理 3 . ユーザエージェント登録 ユーザエージェントを新規に登録します。 図103. ユーザエージェント登録画面 項目説明 項目名 説明 ID ユーザエージェントの固有識別 ID です。 「自動採番」チェックボックスをチェックすると、現在登録されている ID に 1 を加えた 値が自動的に設定されます。チェックを外すと手動による設定が可能ですが、既に 登録されている ID と重複する値は登録することが出来ません。 ユーザエージェント ブラウザごとに決まった文字列となるユーザエージェントです。 ユーザエージェントにはワイルドカードが使用可能です。 ブラウザ ブラウザの種類を選択します。 携帯電話認証画面 ブラウザで携帯電話を選択した場合に、携帯電話イメージングマトリクス認証画面を 選択します。 108 ユーザエージェント管理 4 . 携帯電話認証画面 携帯電話イメージングマトリクス認証画面の設定の一覧を表示します。ここで表示される項目がユーザ エージェントの設定で、ブラウザで携帯電話を選択した時、携帯電話認証画面として選択可能になります。 図104. 携帯電話イメージングマトリクス認証画面 項目説明 項目名 説明 ID 携帯電話イメージングマトリクス認証画面の固有識別 ID です。 名称 画面の設定の名称です。 画像サイズ 画像のサイズです。(ドット数) 画像ファイル形式 画像ファイルの形式です。(PNG・GIF・JPEG) テンプレートファイル名 携帯電話イメージングマトリクス認証画面のテンプレートファイル名です。 Content−Type 出力コンテンツのコンテントタイプです。 109 ユーザエージェント管理 5 . 携帯電話認証画面の変更・削除 携帯電話イメージングマトリクス認証画面の設定を変更・削除します。 図105. 携帯電話イメージングマトリクス認証画面の変更・削除画面 110 ユーザエージェント管理 項目説明 項目名 説明 ID 携帯電話イメージングマトリクス認証画面の固有識別 ID です。 名称 画面の設定の名称です。既に登録されている名称は使用できません。 画像サイズ 画像のサイズをドット数で指定します。 画像ファイル形式 画像ファイルの形式を選択します。(PNG・GIF・JPEG) テンプレートファイル名 携帯電話イメージングマトリクス認証画面のテンプレートファイル名を入力します。 Content−Type 出力コンテンツのコンテントタイプです。 枠線 イメージを枠で区切って表示するかどうかの指定です。 ※ 携帯電話イメージングマトリクス認証画面の設定を変更、削除した場合は、設定されている端末でイメ ージングマトリクスが表示できなくなったり、ログインできなくなる場合があります。 ※ 既にユーザエージェントで設定されているものは削除することができません。 111 ユーザエージェント管理 6 . ユーザエージェントの取り込み 携帯電話の新機種やブラウザのバージョンアップに伴い、ユーザエージェントの設定を追加しなければなり ません。弊社から提供されるユーザエージェント情報の追加パッチを取り込む場合、この機能を利用します。 項目説明 項目名 説明 ファイル 登録パッチファイルを指定します。事前にご利用のPCにコピーしておいてください。 取り込み方法 (1)差分のみ反映(登録済データは置き換えない) 既に登録されているデータが存在する場合、情報の違いがあっても置 き換えません。 (2)差分のみ反映(登録済データは置き換える) 既に登録されているデータが存在する場合、無条件に置き換えます。 (3)完全入れ替え 登録済みデータをすべて削除して、指定したファイルのデータを挿入し ます。 112 ユーザエージェント管理 7 . 携帯電話認証画面登録 携帯電話イメージングマトリクス認証画面の設定を登録します。 図106. 携帯電話イメージングマトリクス認証画面登録 項目説明 項目名 説明 名称 画面の設定の名称です。既に登録されている名称は使用できません。 画像サイズ 画像のサイズを選択します。(大・中・小) 画像ファイル形式 画像ファイルの形式を選択します。(PNG・GIF・JPEG) テンプレートファイル名 携帯電話イメージングマトリクス認証画面のテンプレートファイル名を入力します。 Content−Type 出力コンテンツのコンテントタイプです。 ※ ID は自動的に設定されます。 113 ユーザエージェント管理 8 . 認証インタフェース一覧 システムに定義されている認証インタフェースの一覧を表示します。 ∼(略)∼ 図107. 認証インタフェース一覧 項目説明 項目名 説明 番号 認証インタフェースの番号です。 ブラウザ ブラウザの種類です。 認証方式名 対象のブラウザに対して設定されている認証方式名です。 インタフェース名 認証を行うインタフェースです。 114 ユーザエージェント管理 9 . 認証インタフェースの変更・削除 認証インタフェース一覧より番号をクリックすると、変更・削除画面を表示します。この画面では、システ ムに登録されている認証インタフェースの変更・削除を行います。 図108. 認証インタフェースの変更・削除画面 項目説明 項目名 説明 ブラウザ ブラウザの種類です。 認証方式 対象のブラウザに対して設定されている認証方式名です。 認証インタフェース 認証を行うインタフェースを選択します。 ※ 認証インタフェースを変更、削除した場合は、その端末からログインできなくなる場合がありますので ご注意ください。 115 ユーザ管理 1 0 . 認証インタフェース登録 認証インタフェースを新規に登録します。 図109. 認証インタフェース登録画面 項目説明 項目名 説明 ブラウザ ブラウザの種類を選択します。 認証方式 選択したブラウザに対して設定する認証方式を選択します。 認証インタフェース 認証を行うインタフェースを選択します。 116 認証サーバ管理 認証サーバ管理 WP-A の設定情報の閲覧および管理を行います。各設定が完了したら「適用」ボタンを押して、設定を WP-A サーバに適用します。 図110. 認証サーバ管理 ※ WP−A サーバにアクセスがある時は「適用」ボタンを押さないでください。 117 認証サーバ管理 1 . システム設定 WP-A の基本的な設定を管理します。 図111. システム設定 118 認証サーバ管理 項目説明 項目名 初期値 入力条件 説明 必須 認証の利用可能な回数 0 0∼100000 認証の利用可能な回数を指定します。 ○ セッションタイムアウト値を指定します。 ○ 0 の場合は無制限 認証タイムアウト 120 60∼2147483647 単位は秒です。 認証の連続失敗許容数(※1) 0 1∼100 認証の連続失敗許容数を指定します。 ○ 認証連続失敗回数クリア時間 0 0∼2147483147 秒 最後に認証失敗したときから、次に失敗す ○ 0 の場合は無制限 るまでの時間が、この設定値を超えて経過 (※1) していれば認証の連続失敗回数がクリアさ れます。 有効期限自動延長 無効にする (選択) 各認証を更新したときの有効期限 延長を − 自動で行うかどうかを指定します。「有効に する」を選択した場合のみ有効期限自動延 長に関する設定ができます。 有効期限自動延長の対象としたいユーザ は、ユーザ管理で「有効期限自動延長対 象」に設定する必要があります。 延長仕様 延長日数を (選択) 有効期限の延長方法を指定します。 指定する 「延長日数を指定する」を選択した場合、現 在の有効期限から指定した日数、月数、ま たは年数を加算する方法と、認証を更新し た日から指定した日数、月数、または年数 を加算する方法から選択できます。現在の 有効期限からの加算方式で、有効期限が 無期限の場合は延長されませんのでご注 意ください。 有効期限を (選択) 「有効期限を年月日で指定」を選択した場 年月日で指定 合、指定した年月日が有効期限として設定 されます。 「有効期限延長後の該当認証の有効期限 自動延長を無効にする」をチェックした場 合、有効期限延長後に「有効期限自動延 長対象外」に自動的に設定されます。 パスワード変更時ログイン回数 無効 (選択) 各認証を更新したときにログイン回数/認 /認証利用回数リセット − 証利用回数のリセットを行うかどうかを指 定します。 (※1) LDAP 使用時かつ Account Lock を使用しない場合、あるいは Active Directory 使用時は設定項目が 表示されません。 119 認証サーバ管理 2 . 通信許可設定 WP-A が通信を許可するIPアドレス井、シークレットの設定を行います。追加ボタンを押して RADIUS クラ イアントの IP アドレスとシークレットを追加してください。 図112. 共有シークレット設定画面 項目説明 設問項目 概要 Radius クライアントの IP アドレス※ Radius クライアントの IP アドレスを指定します。 Radius クライアントの共通鍵※ Radius クライアントで使用する共通鍵(シークレット)を指定します。 ※Radius クライアントの IP アドレスと Radius クライアントの共通鍵はペアで指定します。クライアント IP をホ スト名で指定することは出来ませんのでご注意ください。 ※Radius クライアントとして WP-GW を登録する場合で、かつ WP-GW でのユーザ認証方式にパスワード (PAP)を利用しない「ユーザ ID 認証のみ」に設定した場合は、シークレットに「None」を設定してください。 120 認証サーバ管理 3 . 認証ポート番号設定 WP-A が RADIUS 通信で使用する UDP ポート番号を認証方式ごとに設定します。使用する認証方式の チェックボックスをチェックしてポート番号を指定し、「決定」ボタンを押してください。ここに指定されている認 証方式のみが WP-A のサービスとして起動します。 図113. ポート番号設定画面 121 認証サーバ管理 項目説明 説明 設定値 ユーザID認証のポート番号 ポート番号 ユーザ ID + パスワード認証のポート番号 ポート番号 ユーザ ID + DIGIPASS認証のポート番号 ポート番号 ユーザID + マトリクスコード認証のポート番号 ポート番号 ユーザID + パスワード +マトリクスコード認証の ポート番号 ポート番号 ユーザID + DIGIPASS +マトリクスコード認証の ポート番号 ポート番号 ユーザID + Jパスワード認証のポート番号 ポート番号 ユーザID + パスワード +Jパスワード認証の ポート番号 ポート番号 ユーザID + DIGIPASS +Jパスワード認証の ポート番号 ポート番号 WisePoint-Gateway ご利用の際の SSL-VPN 等の連携製品による PAP 認証 ポート番号 問い合わせポート番号 WisePoint-Gateway ご利用の際の WisePoint-Gateway からの認証問い合 ポート番号 わせポート番号 ※WisePoint-Gateway をご利用になる際は、WisePoint-Gateway からの認証問い合わせに応答するポート と、SSL-VPN 等の連携製品からの認証問い合わせに応答するポートの2つの設定が必要となります。 122 認証サーバ管理 4 . 返却アトリビュート設定 認証成功時に返却する Radius アトリビュートの設定を行います。WP-A は、認証成功時に Radius クライ アントに任意の Radius アトリビュートを返却することが可能です。この機能を利用するには、返却するアトリ ビュートの設定と、返却するデータの登録が必要となります。 ユーザ毎に設定できるのはアトリビュートのデータのみです。返却するアトリビュートの種別をユーザ毎に 設定することはできません。データを登録していない場合は、アトリビュートを送信しません。 詳細は p.197「返却 Radius アトリビュートとしての拡張情報」をご覧ください。 VSA やアトリビュートのデータ型などの Radius アトリビュートの詳細については RFC2865 「ダ イヤルインユーザーサービスの遠隔認証(ラディウス)」をご覧ください。 図114. 返却アトリビュート一覧画面 返却するアトリビュートの設定を行うには「追加」ボタンを押して、どのような ID とデータ型で返却すべきか を設定します。 123 認証サーバ管理 (1)返却アトリビュートの登録 返却アトリビュート一覧画面で「追加」ボタンを押すと、返却アトリビュートの登録画面が表示されます。 各項目を設定してから「決定」ボタンを押してください。 図115. 返却アトリビュート登録画面 124 認証サーバ管理 項目説明 項目名 初期値 入力条件 説明 ID − − 自動で ID を付与します。 ○ データ取得先 ユーザ拡張情 [ ユーザ拡 張 情報 ] 返却アトリビュートとして連携機器に返却 ○ 報 または、[LDAP] するデータの取得先を指定します。 なし 最大 255 バイト 「データ取得先」で「ユーザ拡張情報」を選 ユーザ拡張情報名/属性名 必須 ○ 択した場合は、「運用管理」−「ユーザ官庁 情報設定」で指定した名前を指定してくださ い。ユーザ拡張情報の詳細は p.193「ユ ーザ拡張情報設定」をご覧下さい。 「データ取得先」で「LDAP」を選択した倍 亜は、LDAP に登録されている属性名を指 定してください。 アトリビュートID 25 1∼255 RADIUS のアトリビュートIDを指定しま ○ す。連携機器側で認識できる値を指定して ください。 型 文字列型 以下のいずれかの 指定したデータを送信するときの型を指定 型を指定します。 します。連携機器や RADIUS アトリビュー [文字列型] トの種類によって指定してください。 [整数型] VSA 説明 設定例 [列挙型] 整数 65536 [テキスト型] 選択肢 10 [IP アドレス型] 文字列 falconsc.com [バイナリ型] テキスト success IP アドレス 192.168.1.1 VSA(ベンダー固有属性)としてデータを送 未チェック 信する場合にチェックしてください。 チェックする と以下のようにベンダーIDの 入力枠が表示されます。1∼255 の範囲で ベンダーIDを指定してください。0 のまま登 録すると VSA として扱われません。 属性値の部分抽出 − − 取得先のデータが複数存在する場合に、 特定の属性だけ返却アトリビュートとして返 却することができます この設定は「データ取得先」に「LDAP」を 指定した場合のみ有効になります。 設 定 の詳 細は「 (3 ) 属性値の部分抽 出」をご覧ください。 125 ○ × 認証サーバ管理 (2)返却アトリビュートの修正/削除 返却アトリビュート一覧画面で修正または削除する設定のリンクをクリックしてください。 修正する場合は、「更新」ボタン、削除する場合は「削除」ボタンを押してください。 図116. 返却アトリビュート修正、削除画面 126 認証サーバ管理 項目説明 項目名 初期値 入力条件 説明 ID − − 自動で ID を付与します。 ○ データ取得先 ユーザ拡張情 [ ユーザ拡 張 情報 ] 返却アトリビュートとして連携機器に返却 ○ 報 または、[LDAP] するデータの取得先を指定します。 なし 最大 255 バイト 「データ取得先」で「ユーザ拡張情報」を選 ユーザ拡張情報名/属性名 必須 ○ 択した場合は、「運用管理」−「ユーザ官庁 情報設定」で指定した名前を指定してくださ い。ユーザ拡張情報の詳細は p.193「ユ ーザ拡張情報設定」をご覧下さい。 「データ取得先」で「LDAP」を選択 した倍 亜は、LDAP に登録されている属性名を指 定してください。 アトリビュートID 25 1∼255 RADIUS のアトリビュートIDを指定しま ○ す。連携機器側で認識できる値を指定して ください。 型 文字列型 以下のいずれかの 指定したデータを送信するときの型を指定 型を指定します。 します。連携機器や RADIUS アトリビュー [文字列型] トの種類によって指定してください。 [整数型] VSA 説明 設定例 [列挙型] 整数 65536 [テキスト型] 選択肢 10 [IP アドレス型] 文字列 falconsc.com [バイナリ型] テキスト success IP アドレス 192.168.1.1 VSA(ベンダー固有属性)としてデータを送 未チェック 信する場合にチェックしてください。 チェックすると以下のようにベンダーIDの 入力枠が表示されます。1∼255 の範囲で ベンダーIDを指定してください。0 のまま登 録すると VSA として扱われません。 属性値の部分抽出 − − 取得先のデータが複数存在する場合に、 特定の属性だけ返却アトリビュートとして返 却することができます この設定は「データ取得先」に「LDAP」を 指定した場合のみ有効になります。 設 定 の 詳 細は「 (3 ) 属性値の部分抽 出」をご覧ください。 127 ○ × 認証サーバ管理 (3)属性値の部分抽出 属性値の部分抽出は、ActiveDirectory の memberOf のように LDAP の属性値が複数登録されてい る場合に、必要なデータだけを送信する機能です。 複数の権限を持ったユーザから memberOf を取得すると、複数の属性値が LDAP から返されます。 この属性値をそのまま返却アトリビュートとして返した場合、RADIUS の制限である最大長の 255 バ イトを簡単に超えてしまいます。また長さが 255 バイトを超えなかったとしても、返却アトリビュート を受け取る側の機器が属性値のすべてを参照する機能を持っていない場合、先頭にあるデータだけを認 識してしまう場合もあります。 このような場合に、特定の部分だけを送信することでこの問題を解決することが出来ます。 属性の部分抽出を行うためには「データ取得先」に「LDAP」を指定してください。 指定すると「属性値の中から一部だけを抽出します」というチェックボックスが表示されます。 チェックボックスをチェックすると以下のような画面が表示されますので、必要な項目を設定してください。 図117. 属性値の部分抽出設定 128 認証サーバ管理 項目説明 項目名 初期値 入力条件 説明 必須 抽出する属性名 なし 最大 255 バイト 指定した属性値の中に含まれる属性名を × 指定します。 例:memberOf の中の CN だけを取り出 す場合は、「CN」と指定します。 属性値内の区切り記号 なし 最大 10 バイト 指定した属性値の中に含まれる属性値の × 区切り文字を指定します。 検索文字列 なし 最大 255 バイト 属性値に含まれる文字列を指定します。 × 検索文字列は部分マッチで検索されます ので、一部の文字列をしても問題ありませ ん。 送信時の区切り記号 なし 最大 10 バイト 連携機器に返却アトリビュートとして返却 ○ する場合、複数属性を連結するときの区切 り文字を指定します。 point: 設定の組み合わせによる抽出方法 取得する属性値が以下のように複数登録されている場合の「抽出する属性名」と「検索文字列」の関係は以下 のようになります。 「抽出する属性名」=CN CN=Fsc_Sales DC=falconsc DC=com CN=Fsc_Market DC=falconsc DC=com 「検索文字列」=Sales 上記の図の例ですと、「抽出する属性名」に「CN」、「検索文字列」に「Sales」を指定しているので、「CN=」で 始まる属性のなかの「Sales」という文字列が含まれる属性を抽出します。つまりこの場合は「CN=Fsc_Sales」 が返却アトリビュートとなります。 「抽出する属性名」だけが指定されている場合の返却アトリビュートは「CN=Fsc_Sales,CN=Fsc_Market」 となり、「検索文字列」だけが指定されている場合の返却アトリビュートは「CN=Fsc_Sales, DC=falconsc, DC=com」となります。 つまり「抽出する属性名」は列、「検索文字列」は行を特定する指定になります。 129 認証サーバ管理 5 . セッションログ表示 セッションログには、誰がどこから、何の認証方式を利用してアクセスしたかがアクセス時間と共に記録さ れます。規定ではセッションログの出力先が「ファイル」になっているため、管理ツールからログ表示を行うこ とが出来ません。ここで表示を行うためには、p.134「セッションログ設定」で「データベース出力」を有効にし てください。 図118. セッションログの表示設定画面 130 認証サーバ管理 (1)セッションログの表示 各種表示条件を指定して「決定」ボタンを押すことでセッションログを閲覧できます。 表示条件 表示順序 セッションログの表示順序(昇順・降順)を指定します。アクセス日時やユーザ ID とい ったカラムから選択します。 1ページの表示件数 1ページに表示させるセッションログ件数を指定します。ページを移動するには「前ペ ージへ」「次ページへ」ボタンをクリックします。 検索条件 左端のチェックボックスは表示有無を指定します。チェックしない項目は画面に表示 されません。左端から2番目のチェックボックスは検索条件を指定します。検索条件 の詳細はすぐ右隣にある入力項目で指定します。 画面例) ※ ユーザ ID と アクセス日時 を表示する ※ ユーザ ID が “yamada” という条件に合致するよう絞り込む 図119. セッションログ一覧(例) 131 認証サーバ管理 項目説明 項目名 順序 表示 検索 説明 アクセス日 ○ ○ ○ アクセス日 ユーザID ○ ○ ○ ユーザID 認証種別 × ○ ○ ユーザが利用した認証方式 「DIGIPASS」 「Jパスワード」 「マトリクスコード」 「ユーザ ID/パスワード」 リクエストコード × ○ ○ リクエストコード レスポンスコード × ○ ○ レスポンスコード 認証セッションカウンタ × ○ × 認証の利用回数 Radius クライアント × ○ ○ Radius クライアントの IP アドレス ※順序 … 表示順序条件として指定可能な項目です。 ※表示 … 検索結果として、表示有無を指定可能な項目です。 ※検索 … 検索条件として任意の条件が指定可能な項目です。 132 認証サーバ管理 (2)セッションログが 10,000 件を超える場合 セッションログが 10,000 件を超える場合は以下のメッセージが表示され、検索条件に合致した最初の 10,000 件のみ表示されます。 図120. セッションログが 10,000 件を超える場合 133 認証サーバ管理 6 . セッションログ設定 出力先の初期設定はファイル出力になっていますので、必要に応じて変更してください。 図121. セッションログ設定画面 項目説明 項目名 初期値 入力条件 説明 ファイル出力 出力する (選択) ファイル出力する場合にチェックします − 時刻形式 標準 (選択) 以下の項目から選択します。 − 「標準」… 必須 例「2006-01-01 00:00:00 JST」 「ISO8601」…例「2006-01-01T00:00:00」 ローテーション ローテーションしない (選択) 以下の項目から選択します。 − 「ローテーションしない」…ローテーションしません。 「日付でローテーションする」…指定した日時形式のフ ァイル名でローテーションします。 「ファイルサイズでローテーションする」…指定したファ イルサイズと世代でローテーションします。 日付パターン yyyy-MM-dd (選択) 日付でローテーションを行う場合に、ローテーション − する日付のパターンを指定します。 最大ファイルサイズ 100KB (選択) ファイルサイズでローテーションを行う場合に − ローテーションするファイルサイズを指定します。 最大バックアップ世代数 10 1∼10 ファイルサイズでローテーションを行う場合に バックアップする世代数を指定します。 134 − 認証サーバ管理 項目名 初期値 入力条件 説明 必須 データベース出力 出力しない (選択) データベースにログを出力する場合にチェックします。 − syslog 転送 転送しない (選択) syslog サーバにログを転送する場合にチェックします。 − syslog サーバ IP アドレス IP アドレス syslog サーバの IP アドレスを入力します。 − ファシリティ名 半角英数 syslog のファシリティ名を入力します。 − ファシリティ名を (選択) syslog のファシリティ名をログ出力します。 − ログ出力する (1)ファイル出力 セッションログをファイルに出力します。出力先ファイルは WP-A をインストールしたディレ クトリの 「logs/session.log」になります。 ①日付でローテーションする場合 日付でローテーションする場合、指定した日付パターンの変わり目でローテーションが行われます。 以下に例を示します。 日付パターン:yyyy-MM-dd の場合 2005/05/01 2005/05/02 現在のログ 2005-05-01session.log 2005-05-02session.log session.log ②ファイルサイズでローテーションする場合 ファイルサイズでローテーションする場合、指定したファイルサイズを超えてログが出力される時点で ローテーションが行われます。また最大バックアップ世代数で指定した数のバックアップファイルが作成 され、それ以前のログは自動的に削除されます。以下に例を示します。 最大ファイルサイズ:100KB 最大バックアップ世代数:9 100KB session.log.9 … 100KB 現在のログ session.log.1 session.log 135 認証サーバ管理 (2)データベース出力 セッションログをデータベースに出力します。データベースに記録する場合は、管理ツールの「セッションログ 表示」で検索、表示が可能となります。 (3)syslog 転送 セッションログを syslog サーバに転送します。 ※ syslog サーバに転送する場合は、WP-A サーバから syslog サーバに通信可能である必要があります。 (規定値では syslog は UDP 514 番ポートを使用します。) また syslog サーバが、WP-A サーバからのログを受け付ける設定になっていることが必要です。 136 認証サーバ管理 7 . 実行ログ設定 実行ログには、認証サーバのデバッグ情報が含まれます。 図122. 実行ログ設定画面 項目説明 項目名 初期値 入力条件 説明 ファイル出力 出力する (選択) ファイル出力する場合にチェックします − 時刻形式 標準 (選択) 以下の項目から選択します。 − 「標準」… 必須 例「2006-01-01 00:00:00 JST」 「ISO8601」…例「2006-01-01T00:00:00」 ローテーション ローテーションしない (選択) 以下の項目から選択します。 − 「ローテーションしない」…ローテーションしません。 「日付でローテーションする」…指定した日時形式のフ ァイル名でローテーションします。 「ファイルサイズでローテーションする」…指定したファ イルサイズと世代でローテーションします。 日付パターン yyyy-MM-dd (選択) 日付でローテーションを行う場合に、ローテーション − する日付のパターンを指定します。 最大ファイルサイズ 100KB (選択) ファイルサイズでローテーションを行う場合に ローテーションするファイルサイズを指定します。 137 − 認証サーバ管理 項目名 初期値 入力条件 説明 最大バックアップ世代数 10 1∼10 ファイルサイズでローテーションを行う場合に 必須 − バックアップする世代数を指定します。 WPA ログレベル 情報 (選択) 以下の項目から選択します。 − 「なし」「デバッグ」「情報」「警告」「エラー」「致命的」 データベースログレベル 情報 (選択) 以下の項目から選択します。 − 「なし」「デバッグ」「情報」 通信ログ 出力しない (選択) 通信ログを出力する場合にチェックします。 − セキュリティログ 出力する (選択) セキュリティログを出力する場合にチェックします。 − (1)ファイル出力 デバッグログをファイルに出力します。ログファイルは、WP-A サーバの以下の場所に作成されます。実行中 に問題が発生した場合はこのファイルをご参照ください。 {インストールディレクトリ}/logs/wpa.log ※ {インストールディレクトリ}は WP-A をインストールしたディレクトリです。 ローテーションについては p.135「日付でローテーションする場合」および「ファイルサイズでローテーションす る場合」をご参照ください。 (2)実行ログレベル WP-A の実行ログレベルを指定します。「なし」に設定するとログを出力しません。通常運用時は「情報」(規 定値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 (3)データベースログレベル データベースに関するログのログレベルを指定します。「なし」に設定するとログを出力しません。通常運用 時は「情報」(規定値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 (4)通信ログ 通信に関するログを出力する場合にチェックします。通常の運用では必要ありません。 (5)セキュリティログ セキュリティに関するログを出力する場合にチェックします。通常の運用では出力します。 138 WisePoint-Gateway 管理 WisePoint−Gateway 管理 WisePoint−Gateway の管理を行います。各設定が完了したら「適用」ボタンを押して、設定を WisePoint −Gateway サーバに適用します。 図123. WisePoint-Gateway 管理 ※ WisePoint−Gateway サーバにアクセスがある時は「適用」ボタンを押さないでください。 139 WisePoint-Gateway 管理 1 . システム設定 WisePoint−Gateway の細かな設定情報の閲覧および管理を行います。 図124. WisePoint-GW システム設定画面 140 WisePoint-Gateway 管理 項目説明 項目名 初期値 入力条件 説明 認証タイムアウト 120 60 ∼ 10800 WisePoint の認証画面が表示されてから認証 必須 ○ が完了するまでのタイムアウト時間(秒)を設定 します。タイムアウトになると再認証が必要とな ります。 レスポンスの表示形式 表示 (選択) 認証を行う際にクライアント画面に表示されるレ − スポンスの入力エリアの初期表示をそのまま表 示するかアスタリスク表示するかどうかの設定 です。 イメージングマトリクス 表示しない (選択) イメージングマトリクス認証で、デフォルトで数 パネル表示 イメージングマトリクス − 字パネルを表示するかどうか指定します。 成功させる PC 版イメージングマトリクス認証で、絵柄を余 (選択) − 分に多く選択しても認証を成功させるかどうか 絵柄選択数判定 を指定します。 イメージングマトリクス 許可する (選択) イメージングマトリクス(Applet)、イメージング クリックモード − マトリクス(JavaScript)において、画像のクリッ クによる選択を許可するかどうかを指定しま す。 イメージングマトリクス PC:2 乱数の桁数 携帯電話:1 (選択) イメージングマトリクス、携帯電話イメージング − マトリクスにおいて、横と縦に表示される乱数の 桁数を指定します。 こ の 設 定 を 変 更 し た 場 合 は 、 WisePoint-Authenticator の適用も必要にな りますのでご注意下さい。 ユーザ有効期限切れ告知 告知しない WisePoint Gateway を使用し、ユーザの有効 (選択) − 期限を指定している場合に、指定した期日前に なると告知するかどうか指定します。 ユーザ有効期限切れ告知日 − 0∼180(日前) 上記設定で「告知する」を選択した場合、有効 − 期限から、ここで指定した日数より前になると告 知します。 ログイン回数上限到達告知 告知しない WisePoint Gateway を使用し、認証ユーザの (選択) − 最大ログイン回数が設定されている場合に、残 りログイン回数が指定した回数以内である場合 に告知するかどうか指定します。 ログイン回数上限到達告知 − 1∼999999999(回) 回数 上記設定で「告知する」を選択した場合、残りの ログイン回数が、ここで指定した回数以内にな ると告知します。 141 − WisePoint-Gateway 管理 項目名 初期値 入力条件 説明 WisePoint 認証 告知しない (選択) WisePoint Gateway を使用し、WisePoint 認 有効期限切れ告知 必須 − 証の有効期限を指定している場合に、指定した 期日前になると告知するかどうか指定します。 WisePoint 認証 − 0∼180(日前) 有効期限切れ告知日 上記設定で「告知する」を選択している場合、有 − 効期限から、ここで指定した日数より前になると 告知します。 WisePoint 認証 告知しない WisePoint (選択) Gateway を 使 用 し 、 − WisePoint-Authenticator 側で認証の利用可 認証利用回数上限到達告知 能な回数が無制限以外に設定されている場合 に、残りの認証利用回数が指定した回数以内 である場合に告知するかどうか指定します。 WisePoint 認証 − 1∼999999999(回) 上記設定で「告知する」を選択している場合、残 認証利用回数上限到達告知 りの認証利用回数が、ここで指定した回数以内 回数 になると告知します。 WisePoint 認証期限切れ/ − J パスワードの期限切れ/認証利用回数上限 − 認証利用回数上限到達 到達告知の際、管理ツールへのリンクを表示す J パスワード る場合、管理ツールのアドレスを指定します。 − − 管理サーバ URL WisePoint 認証期限切れ/ − マトリクスコードの期限切れ/認証利用回数上 認証利用回数上限到達 限到達告知の際、管理ツールへのリンクを表示 マトリクスコード する場合、管理ツールのアドレスを指定しま 管理サーバ URL す。 WisePoint 認証期限切れ/ − − イメージングマトリクスの期限切れ/認証利用 認証利用回数上限到達 回数上限到達告知の際、管理ツールへのリン イメージングマトリクス クを表示する場合、管理ツールのアドレスを指 管理サーバ URL 定します。 142 − − WisePoint-Gateway 管理 2 . 認証サーバ設定 WisePoint-Gateway と WisePoint-Authenticator との通信に関する設定を行います。 図125. 認証サーバ設定画面 項目説明 項目名 初期値 入力条件 説明 Radius 通信設定 − − 認証問い合わせ先となる WP-A サーバの IP ア 必須 ○ ドレスとポート番号、シークレットを 2 台のサー バまで指定することができます。PAP 認証を使 用しない場合は、共有シークレットには"None" を入力してください。 通信タイムアウト 3000 0∼2147483647 Radius サーバからの応答を待つタイムアウト 値で、この時間を過ぎるとタイムアウトとなりま す。単位はミリ秒です。 143 ○ WisePoint-Gateway 管理 3 . 認証方式設定 WisePoint-Gateway で利用する認証方式の設定を行います。 認証は端末毎に設定を行うことが出来ます。また、旧方式の指定や、URL にパラメータを指定する事で認証 方式を切り替える設定も可能です。 図126. point: 認証方式設定画面 同じ環境から利用するエージェントについて 同じ環境から利用するエージェント(Internet Explorer と Netscape や NTT DoCoMo と KDDI au、 vodafone)については、セキュリティの観点から認証強度は同じ設定にすることをお勧めします。 144 WisePoint-Gateway 管理 項目説明 項目名 初期値 入力条件 説明 端末名 − − 端末で利用される端末やブラウザの種類です。 − 使用有無 チェック済 (チェック) アクセスを許可する場合チェックしてください。 − ユーザID認証 ユーザ ID (選択) ユーザID認証方式 ○ +パスワ ・なし ード ・ユーザ ID のみ入力 必須 ・ユーザ ID+パスワード入力 ・ユーザ ID+DIGIPASS 入力 端末認証 なし (選択) 端末固有の認証方式 ○ ・携帯電話ID認証 WisePoint 認証 (ご購入い WisePoint 認証方式 (選択) ただいたラ ・J パスワード認証 イセンスに ・マトリクスコード認証 よって異な ・固定パスワード認証 ります) ・イメージングマトリクス認証 ・携帯電話イメージングマトリクス認証 145 ○ WisePoint-Gateway 管理 (1)キーワードによる認証方式設定 URL にパラメータを指定して認証方式を切り替える場合は「キーワードによる認証方式設定を行う」 にチェックをします。画面が以下のように変わりますので、新規に追加する場合は「追加」ボタン、既存 の拡張認証方式を変更する場合は、該当する「認証キーワード」をクリックしてください。 指 定 し た 認 証 キ ー ワ ー ド は 以 下 の よ う に URL に 埋 め 込 み 利 用 し ま す 。 詳 細 は P.211 「WisePoint-Gateway のパラメータについて」をご参照下さい。 http://www.wisepoint.com/login?twauthkeyword=auth1 図127. 認証方式設定 キーワード設定画面 認証キーワード(この設定がログイン時に指定するURL内のパラメータ値となります)に任意の文 字列を指定し、ご利用になる端末名の「使用有無」をチェックして、認証方式をそれぞれ選択してくだ さい。 146 WisePoint-Gateway 管理 図128. 拡張認証方式設定画面 項目説明 項目名 初期値 入力条件 説明 端末名 − − 端末で利用される端末やブラウザの種類です。 − 使用有無 チェック済 (チェック) アクセスを許可する場合チェックしてください。 − ユーザID認証 ユーザ ID (選択) ユーザID認証方式 ○ +パスワ ・なし ード ・ユーザ ID のみ入力 必須 ・ユーザ ID+パスワード入力 ・ユーザ ID+DIGIPASS 入力 端末認証 なし (選択) 端末固有の認証方式 ○ ・携帯電話ID認証 WisePoint 認証 (ご購入い WisePoint 認証方式 (選択) ただいたラ ・J パスワード認証 イセンスに ・マトリクスコード認証 よって異な ・固定パスワード認証 ります) ・イメージングマトリクス認証 ・携帯電話イメージングマトリクス認証 147 ○ WisePoint-Gateway 管理 (2)旧認証方式 WisePoint3.7 以前のバージョンからバージョンアップされたお客様で、端末毎に設定する必要が無 い場合はこちらの設定をご利用下さい。 図129. 認証方式設定 旧認証方式設定画面 項目説明 項目名 初期値 入力条件 説明 第一画面での認証方式(※1) ユーザ ID (選択) ユーザ認証方式 必須 ○ ・ユーザ ID 認証 ・ユーザ ID パスワード認証 ・ユーザ ID+DIGIPASS 入力 第二画面での認証方式 マトリクス WisePoint 認証方式 (選択) コード ・J パスワード認証 ・マトリクスコード認証 ・イメージングマトリクス認証 148 ○ WisePoint-Gateway 管理 4 . 連携機器設定 WisePoint-Gateway で認証成功後にリダイレクトする連携機器のサブミット先情報を指定します。 この情報は、端末毎、ユーザ毎に指定することも出来ます。 画面上部の設定はシステム設定となり個別で設定を行わない場合有効になります。 サブミット先が1つしかなければ画面上部のシステム設定だけ行ってください。 図130. 連携機器設定 149 WisePoint-Gateway 管理 項目説明 項目名 初期値 入力条件 説明 認証成功後自動サブミット − − 認証が成功した後に自動サブミットを行う サブミット先 URL サブミット方式 必須 ○ SSL-VPN または VLAN の URL POST (選択) サブミットの方式 − ・POST ・GET username − Form 認証のユーザ ID パラメータ名 ○ password − Form 認証のパスワードパラメータ名 ○ パスワードの長さ(※1) 32 4∼80 パスワードの長さ ○ その他のパラメータ − − Form のパラメータとして送信する際のパラメー − ユーザ ID として扱う パラメータ パスワードとして扱う パラメータ タ名と値を指定します。複数指定する場合はセ (固定値) ミコロンで区切って指定してください。 (※1) パスワードの長さの変更をシステムに適用するには、認証サーバの再起動を行ってください。 150 WisePoint-Gateway 管理 端末毎に設定を行う場合は、画面下部の端末設定から該当の端末を選択して編集してください。 パスワードの長さはシステム設定で指定したものが有効になります。 図131. 端末毎の連携機器設定 項目説明 項目名 初期値 入力条件 説明 認証成功後自動サブミット − − 認証が成功した後に自動サブミットを行う サブミット先 URL サブミット方式 必須 ○ SSL-VPN または VLAN の URL POST (選択) サブミットの方式 − ・POST ・GET ユーザ ID として扱う username − Form 認証のユーザ ID パラメータ名 ○ password − Form 認証のパスワードパラメータ名 ○ − − Form のパラメータとして送信する際のパラメー − パラメータ パスワードとして扱う パラメータ その他のパラメータ (固定値) タ名と値を指定します。複数指定する場合はセ ミコロンで区切って指定してください。 (※1) パスワードの長さの変更をシステムに適用するには、認証サーバの再起動を行ってください。 151 WisePoint-Gateway 管理 5 . 実行ログ設定 WisePoint-Gateway を使用する場合のみ設定を行います。実行ログには WisePoint-Gateway サーバの デバッグ情報が含まれます。 図132. WisePoint-Gateway ログ設定画面 項目説明 項目名 初期値 入力条件 説明 実行ログレベル 情報 (選択) 以下の項目から選択します。 必須 − 「なし」「デバッグ」「情報」「警告」「エラー」「致命的」 データベースログレベル 情報 (選択) 以下の項目から選択します。 − 「なし」「デバッグ」「情報」 通信ログ 出力しない (選択) 通信ログを出力する場合にチェックします。 152 − WisePoint-Gateway 管理 (1)実行ログレベル WisePoint-Gateway サーバのログレベルを指定します。「なし」に設定するとログを出力しません。通常運 用時は「情報」(規定値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 (2)データベースログレベル データベースに関するログのログレベルを指定します。「なし」に設定するとログを出力しません。通常運用 時は「情報」(規定値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 (3)通信ログ 通信に関するログを出力する場合にチェックします。通常の運用では必要ありません。 ※設定を有効にするには WisePoint-Gateway サーバの再起動が必要です。 153 DIGIPASS 管理 DIGIPASS 管理 VASCO DATA SECURITY 社の DIGIPASS 認証に関する情報の表示、設定を行います。 DIGIPASS 認証に関する詳細は P.216「DIGIPASS認証」をご覧下さい。 図133. DIGIPASS 管理 1 . シリアル番号一覧 インポートされた DIGIPASS のシリアル番号の一覧を表示します。 一覧の表示は PIN を利用する場合と利用しない場合で表示が異なります。 何もインポートされていない場合は、以下のような画面が表示されますので、インポートを行ってください。 図134. インポートされていない場合のシリアル番号一覧 154 DIGIPASS 管理 図135. PIN ありの場合のシリアル番号一覧 図136. PIN なしの場合のシリアル番号一覧 この画面で、ユーザ ID とシリアル番号の割付設定、解除、DIGIPASS 情報のリセット、認証テスト、情報表 示、インポートデータの削除、CSV 形式ファイルのダウンロードを行うことができます。 それぞれの機能については、後述の説明をご参照下さい。 155 DIGIPASS 管理 (1)表示順序の指定 インポートしたシリアル番号が20以上存在する場合、複数ページに分けて表示されます。 この場合、表示順序と1ページの表示数を指定することができます。 シリアル番号の一覧の表示順序を変更する場合は、「表示順序」を指定して、「表示」ボタンを押しま す。また、1 ページの表示数を変更する場合は「1ページの表示数」を指定して、「表示」ボタンを押しま す。 図137. 図138. 図139. 表示順序の指定 ソートキー 表示順序の指定 並び順 1ページの表示数指定 設定項目 ソートキー シリアル番号のソートキーを以下から選択します。 「ユーザID」「シリアル番号」 表示順 シリアル番号の表示順を以下から選択します。 「昇順」「降順」 1ページの表示数 1ページに表示するシリアル番号の件数を指定します。 10∼100まで10刻みの単位で指定します。 156 DIGIPASS 管理 (2)ページの切り替え インポートしたシリアル番号が20以上存在する場合、複数ページに分けて表示されますが、ページ を切り替える場合、画面上部と画面下部にある「前へ」ボタンと「次へ」ボタンで切り替えることができ ます。 現在のページとトータルページ数は「前へ」ボタンの左に表示されます。 図140. ページの切り替えボタン 画面上部 図141. ページの切り替えボタン 画面下部 157 DIGIPASS 管理 (3)設定 ユーザとシリアル番号を割り付ける場合、シリアル番号横の入力枠にユーザIDを入力して「設定」ボ タンを押します。確認のウィンドウが表示されますので「OK」ボタンを押すと割付が完了します。割付 されるとユーザIDと「解除」ボタンが表示されます。 登録されていないユーザIDを指定するとエラーになります。また既にシリアル番号が割りついている ユーザIDを指定すると現在割りついているシリアル番号は解除されて、指定したシリアル番号が割り つきます。 ユーザ管理でも同様の設定が出来ます。詳しくは「ユーザ管理」をご覧ください。 図142. 図143. 図144. ユーザとシリアル番号の割付 割付前 ユーザとシリアル番号の割付確認 ユーザとシリアル番号の割付 割付後 158 DIGIPASS 管理 (4)解除 ユーザとシリアル番号の割付を解除する場合は、ユーザID横の「解除」ボタンを押します。確認ウィ ンドウが表示されますので「OK」ボタンを押すと解除が完了します。 ユーザ管理でも同様の設定が出来ます。詳しくは「ユーザ管理」をご覧ください。 図145. 図146. ユーザとシリアル番号の解除 ユーザとシリアル番号の解除確認 159 DIGIPASS 管理 (5)情報表示 DIGIPASS の情報を表示、更新する場合は「情報表示」ボタンを押します。 ユーザ管理でも同様の設定が出来ます。詳しくは「ユーザ管理」をご覧ください。 図147. DIGIPASS の情報表示 「情報表示」ボタンを押すと、以下の画面が表示されます。 PINが利用できる場合と出来ない場合で表示内容、設定できる内容が異なります。 設定できる項目は、認証エラー回数のクリア と PINの強制変更指定です。それぞれチェックボックス にチェックを入れてから「更新」ボタンを押してください。 図148. DIGIPASS 情報画面(PINなし) 160 DIGIPASS 管理 図149. DIGIPASS 情報画面(PINあり) 項目説明 項目名 PIN なしのとき 説明 の表示される か? シリアル番号 DIGIPASS のシリアル番号を表示します。 ○ 型番 ご利用の DIGIPASS の型番を表示します。 ○ 認証利用回数 DIGIPASS でログインに成功した回数を表示します。 ○ 最終ログイン日時 最後に DIGIPASS でログインに成功した日時を表示します。 ○ 最終ログイ時の時差 最後に DIGIPASS でログインに成功したときの DIGIPASS と WisePoint ○ サーバの時差を表示します。 PIN サポート PIN を利用する場合「YES」、利用しない場合「NO」と表示されます。 ○ PIN の長さ PIN の長さを表示します。 × PIN の最小長 PIN の最小の長さを表示します。 × 認証エラー回数 DIGIPASS でログインに失敗した回数を表示します。ログインに成功すると ○ クリアされます。 「クリアする」をチェックしてから「更新」ボタンを押すと、0にクリアされます。 次回ログイン時に PIN PIN を強制変更させる場合にこの項目をチェックしてから「更新」ボタンを押 を変更する すと、該当の DIGIPASS でログインしたときに PIN の入力画面が表示さ れ、PIN を入力しなおさなければなりません。 161 × DIGIPASS 管理 (6)リセット DIGIPASS と WisePoint-Authenticator サーバとの時間のずれや、未使用の期間がながった場合 に、認証に失敗する場合があります。この場合、リセットすると認証が出来るようになります。リセットす る場合は、「リセット」ボタンをクリックします。 ユーザ管理でも同様の設定が出来ます。詳しくは「ユーザ管理」をご覧ください。 図150. リセット 「リセット」ボタンを押すと、確認のウィンドウが表示されますので、「OK」ボタンを押してください。 図151. DIGIPASS 情報リセット確認画面 162 DIGIPASS 管理 (7)テスト 設定した内容で、認証が出来るかどうかを確認する場合は、「テスト」ボタンをクリックします。 ユーザ管理でも同様の設定が出来ます。詳しくは「ユーザ管理」をご覧ください。 図152. テスト 「テスト」ボタンを押すと、以下の画面がポップアップ表示されますので、DIGIPASSのパスワードを入 力して、「OK」ボタンを押してください。PINが必要な場合はPINとDIGIPASSを続けてパスワード入力 欄に入力してください。 図153. DIGIPASS 設定テスト画面 認証に成功すると以下のような画面が表示されます。「Successful」以外のメッセージが表示された 場合は認証に失敗しています。PIN番号の有無やシリアル番号を確認してください。 図154. DIGIPASS 設定テスト成功画面 163 DIGIPASS 管理 (8)すべて削除 インポートしたデータをすべて削除する場合は「すべて削除」ボタンを押します。 シリアル番号を一部削除することはできません。 図155. インポートデータの削除 「すべて削除」ボタンを押すと、確認のウィンドウが表示されますので、「OK」ボタンを押してください。 図156. インポートデータの削除確認画面 164 DIGIPASS 管理 (9)ダウンロード ユーザとシリアル番号の割付情報をCSV形式でファイルに出力できます。出力したファイルはユー ザ一括登録で利用できる形式です。 出力される情報には、ユーザと割りついていないものもすべて出力されますので、ユーザ一括登録 でご利用になる場合は、ユーザIDを追記するか、ユーザIDの設定されていない行を削除してご利用く ださい。 ファイルの出力を行う場合は「ダウンロード」ボタンを押します。 図157. ダウンロード 「ダウンロード」ボタンを押すと、以下のウィンドウが表示されます。「保存」ボタンを押してファイルに 保存してください。 図158. ダウンロード確認画面 165 DIGIPASS 管理 2 . インポート DIGIPASS 購入時に付属しているDPXファイルをインポートします。 DPXファイルにはPINありとPINなしがありますので、運用にあわせてインポートするファイルを選択してくだ さい。既にインポートされているじシリアル番号を取り込むことはできませんので、PINありとPINなしいずれか 一方だけインポートしてください。インポートする場合には転送キーが必要となります。転送キーをご確認の上 取り込んでください。 図159. インポート 166 DIGIPASS 管理 3 . 割付設定 ユーザ管理やシリアル番号一覧からもユーザとシリアル番号の割付ができますが、ユーザIDとシリアル番号 を共に指定して割付することがこの画面では出来ます。 存在しないユーザID、またはシリアル番号を指定することは出来ませんのでご注意ください。 図160. 割付設定 167 DIGIPASS 管理 4 . テスト ユーザ管理やシリアル番号一覧からもテストができますが、ユーザIDとパスワードを共に指定してテストする ことがこの画面では出来ます。 以下の画面がポップアップ表示されますので、ユーザIDとDIGIPASSのパスワードを入力して、「OK」ボタン を押してください。PINが必要な場合はPINとDIGIPASSを続けてパスワード入力欄に入力してください。 図161. DIGIPASS 設定テスト画面 認証に成功すると以下のような画面が表示されます。「Successful」以外のメッセージが表示された場合は 認証に失敗しています。ユーザID、PIN番号の有無やシリアル番号を確認してください。 図162. DIGIPASS 設定テスト成功画面 168 DIGIPASS 管理 5 . PIN 設定 ユーザ管理からもPIN設定ができますが、ユーザIDとPINを共に指定して設定することがこの画面では出来 ます。 以下の画面がポップアップされますので、「ユーザID」、「PIN」、「PIN(Retry)」を入力して、「OK」ボタンを押 してください。 「PIN (Retry)」は、「PIN」で入力したものの確認用ですので、「PIN」と同じものを入力してください。 図163. PINの設定 169 DIGIPASS 管理 6 . カーネルパラメータ カーネルパラメータとは、DIGIPASSの認証を行い際の基本的な情報です。 図164. カーネルパラメータ設定画面 項目説明 項目名 初期値 入力条件 説明 時間同期の許容範囲 100 2∼1000 認証時の時刻同期の許容範囲を指定します。 必須 ○ 指定した値は現在の時刻からの前後何秒かを してします。100 を指定した場合は、前後50秒 が許容範囲となります。 時刻同期の初期許容範囲 6 1∼60 最初に認証を行った場合の時刻同期の許容範 ○ 囲を指定します。単位は時間です。 GMT 時刻の調整値 0 -86400∼86400 経過と共にサーバの時計とDIGIPASSの時計 ○ に誤差が出てきますが、この誤差を秒で指定し ます。 DIGIPASS 未 使 用 期 間 許 0 0∼1024 DIGIPASSを使用しない期間を日で指定しま す。 容日 170 ○ 認証方式管理 認証方式管理 認証に関する情報の表示、設定を行います。 図165. 認証方式管理 171 認証方式管理 1 . 認証方式の一覧表示 「一覧表示」ボタンをクリックすると、システムで利用可能な認証方式をそれぞれのカテゴリごと(ユーザID認 証、端末認証、WisePoint 認証)に表示します。表示される内容は製品ライセンスにより異なり、利用者が変更 することはできません。 図166. 認証方式一覧表示画面 項目説明 項目名 説明 ID 認証方式を管理する ID です。 認証方式 認証方式の名前です。 認証回数上限 一度に繰り返し可能な最大認証回数です。 認証方式 レスポンスを OTP 化するフラグです。認証画面が Java Applet の場合に有効となります。 172 認証方式管理 2 . パスワードポリシー設定 WisePoint ではユーザ ID の長さ、パスワード長さ、J パスワードの質問および回答の長さなどの認証情報 に関する入力を制限することができます。 ここでの設定は認証自動設定の生成条件にも影響します。 変更を反映するには、管理ツールの再起動が必要です。 図167. パスワードポリシー設定画面 項目説明 項目名 説明 ユーザ ID ユーザ ID の長さのポリシーを設定します。(1 バイト以上 80 バイト以下) パスワード パスワード長のポリシーを設定します。(1 バイト以上 80 バイト以下) J パスワードの質問 J パスワードの質問の長さのポリシーを設定します。(1 バイト以上 80 バイト以下) J パスワードの回答 J パスワードの回答の長さのポリシーを設定します。(1 バイト以上 80 バイト以下) 173 認証方式管理 3 . マトリクスコード設定 マトリクスコードの仕様を定義します。 マトリクスコードの表サイズ、質問に表示される文字数は、システム単位で指定します。 変更する場合は「決定」ボタンをクリックしてください。 表サイズが変更された場合は、すべてのユーザのマトリクスコード表が再生成されます。 図168. マトリクスコードの仕様定義 174 認証方式管理 項目説明 項目名 初期値 入力条件 説明 コード仕様 なし (選択) マトリクスコードの仕様を指定します。 必須 ○ ・チャレンジ数(1,2,3,4,5) ・コード表の行数(3∼10)と列数(3∼10) ・構成文字タイプ(数字のみ、英字と記号)(*1) ・表の列項目の開始数字(0,1)(*2) 有効期限 無期限 1990.1.1 有効期限の規定値を指定します。ユーザ登録 ∼9999.12.31 時に自動生成する場合、この有効期限が設定 ○ されます。変更したい場合はユーザ管理の認 証情報詳細にて変更できます。自動生成された マトリクスコード表はここで指定した有効期限と なります。必要に応じて、ユーザ毎に変更してく ださい。 有効期限自動延長対象/対 対象外 (選択) マトリクスコードを変更したときに、「認証サーバ 象外 ○ 管理」−「システム設定」で指定した延長方法で 有効期限を更新するかどうかを指定します。 ステータス 通常 (選択) ステータスの規定値を指定します。ユーザ登録 − 時に自動生成する場合、このステータスが設定 されます。変更したい場合はユーザ管理の認 証情報詳細にて変更できます。自動生成された マトリクスコード表はここで指定したステータス となります。必要に応じて、ユーザ毎に変更して ください。 (*1) ご利用の Radius クライアントによっては、パスワードとして記号が使えない場合があります。その場合は 数字のみ を設定してください。 (*2) 5×5のマトリクスコードを設定した場合、開始数字の設定が 0 の場合は A のようなマトリクスコードに、 1 の場合は B のようなマトリクスコードになります。 175 認証方式管理 0 1 2 3 4 1 2 3 4 5 A A B B C C D D E E マトリクスコード:A マトリクスコード:B 開始数字に 0 を設定した場合 開始数字に 1 を設定した場合 176 認証方式管理 4 . イメージングマトリクス設定 認証に利用するイメージングマトリクスのイメージの種別、イメージ表示順序、選択するイメージの数は、 システム単位で指定します。 まず、下のイメージ群から認証に利用するイメージ種別を選択し「選択」ボタンをクリックしてください。 選択できるイメージ種別の数 無制限 図169. イメージングマトリクス設定画面 次に、選択するイメージの数を設定し「決定」ボタンをクリックします。 表から選択できるイメージの数 図170. 1∼5 イメージ数設定画面 選択済みの上のイメージ種別は「上へ」、「下へ」ボタンを使って表示順序を変えることができます。 177 認証方式管理 図171. point: イメージングマトリクス表示順序設定画面 イメージングマトリクス設定について ここで設定するイメージングマトリクス仕様は、 どのイメージ群を 、 どれくらいの数 、 どのような順序で 使うのかという、システム全体(全ユーザ)に関わる設定です。これに対し、ユーザが イメージ群の中からどの イメージを選択するのか という設定は p.90「イメージングマトリクス認証の設定」で説明したように、ユーザごと に行う必要があります。 178 認証方式管理 5 . 携帯電話イメージングマトリクス設定 (1)携帯電話イメージングマトリクスの仕様定義 認証に利用する携帯電話イメージングマトリクスのイメージの種別、イメージ表示順序、選択するイメー ジの数は、システム単位で指定します。 まず、下のイメージ群から認証に利用するイメージ種別を選択し「選択」ボタンをクリックしてください。 選択できるイメージ種別の数 無制限 図172. 携帯電話イメージングマトリクス設定画面 次に、選択するイメージの数を設定し「決定」ボタンをクリックします。 表から選択できるイメージの数 1∼5 図173. イメージ数設定画面 179 管理ツール設定 管理ツール設定 管理ツールの設定を行います。 各ボタンをクリックすることでそれぞれの設定画面を表示します。 図174. 図175. 管理ツール設定 LDAP 利用時の管理ツール設定 180 管理ツール設定 1 . LDAP ユーザフィルタ LDAP 使用時に管理ツールから扱うユーザのフィルタを設定します。この設定項目は運用管理の LDAP 設 定の LDAP サポートが「LDAP」あるいは「Active Directory」の場合に表示されます。 LDAP サーバ側に登録されているユーザ数が非常に多い場合、サーバ側からサイズ制限を超えたというエ ラーメッセージが返却されることがありますが、その場合このフィルタで検索結果数を制限することで回避する こ とが出来ます。ここで指定したLDAPフィルタはユーザ管理に影響しますが、ライセンス数には影響しませ ん。 サポートされているディレクトリサーバによって、全件検索時のユーザフィルタは以下のようになります。結果 数を制限する場合「*」の部分にフィルタ式を記述します。 ディレクトリサーバ ユーザフィルタ Sun Java System Directory Server (&(objectClass=inetOrgPerson)(uid=*)) Active Directory (&(objectClass=user)(sAMAccountName=*)) 「a」で始まる属性を扱う場合のフィルタ例 ディレクトリサーバ ユーザフィルタ Sun Java System Directory Server (&(objectClass=inetOrgPerson)(uid=a*)) Active Directory (&(objectClass=user)(sAMAccountName=a*)) 181 管理ツール設定 2 . 管理ツールログ設定 管理ツールログ設定では、管理ツールのログ設定を行います。 図176. 管理ツールログ設定画面 項目説明 項目名 初期値 入力条件 説明 管理ツール 管理ツール (選択) 以下の項目から設定を行う対象を選択します。 必須 − 「管理ツール」 「パスワード管理ツール」 「J パスワード管理ツール」 「イメージングマトリクス管理ツール」 ログレベル 情報 (選択) ログレベルを以下の項目から選択します。 − 「なし」「デバッグ」「情報」「警告」「エラー」「致命的」 データベースログレベル 情報 (選択) 以下の項目から選択します。 「なし」「デバッグ」「情報」 管理ツールのログは以下の場所に出力されます。 Windows の場合 ${TOMCAT_HOME}¥logs¥stdout.log Linux の場合 ${TOMCAT_HOME}/logs/catalina.out ※${TOMCAT_HOME}は、各管理ツールのインストール時に指定した TOMCAT_HOME です。 182 − 管理ツール設定 (1)管理ツール 設定を行う対象となる管理ツールを選択すると、現在の設定が「ログレベル」と「データベースログレベル」に セットされます。「管理ツール」の場合のみ「更新」ボタンで更新を行うと、すぐに設定が適用されます。その他の 管理ツールは再起動が必要です。 (2)ログレベル 設定対象のログレベルを指定します。「なし」に設定するとログを出力しません。通常運用時は「情報」(規定 値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 (3)データベースログレベル データベースに関するログのログレベルを指定します。「なし」に設定するとログを出力しません。通常運用 時は「情報」(規定値)に設定し、問題が発生した時のみ「デバッグ」を選択します。 183 運用管理 運用管理 システムの運用情報を管理します。 LDAP をご利用の場合に設定を行う「LDAP 設定」、ユーザの情報を拡張する「ユーザ拡張情報設定」、現 在のライセンス利用状況を表示する「ライセンス利用状況」などが選択できます。各ボタンをクリックすることで それぞれの設定画面を表示します。 システム設定情報は、導入時に初期設定値が設定されていますので、お客様のご利用状況に合わせて設 定を変更してください。 図177. 運用管理画面 184 運用管理 1 . LDAP 設定 LDAP の設定を行います。LDAP サポートレベルによって設定項目が異なります。ここでの設定を変更した 場合、管理ツール(Tomcat)と WP−A サーバの再起動が必要です。 また、LDAP と Active Directory の切り替えを行った場合、管理ツール再起動後「管理ツール設定」の p.181「LDAP ユーザフィルタ」の設定も行ってください。 (1)LDAP を使用しない場合 LDAP を使用しない場合は「LDAP サポートレベル」を「なし」に設定します。 図178. LDAP 設定画面 185 運用管理 (2)LDAP を使用する場合 サポートされている LDAP を使用する場合、「LDAP サポートレベル」を「LDAP」に設定します。 186 運用管理 図179. LDAP 設定画面(LDAP) 187 運用管理 項目説明 項目名 初期値 入力条件 説明 なし − LDAP サーバの URL を指定します。 LDAP サーバの URL 必須 ○ ldaps の場合には IP アドレスではなくホスト名 で指定します。 コネクションプールを使用する 使用しない LDAP 接続にコネクションプールを使用する場 − − 合にチェックします。 使用しない AccountLock 機能を使用する場合にチェックし − − ます。LDAP サーバ側に wpAccountLock 属 性 の 設 定 が 必 要 と な り ま す が 、 wpAccountLock 属性が設定されていない場 AccountLock を使用する 合は、WisePoint 認証がロック対象となりま す。wpAccountLock の設定についてはインス トールマニュアルの LDAP の項目をご覧くださ い。 5000 ここで指定した時間を経過すると LDAP サーバ 10∼10000 ○ との接続がタイムアウトします。単位はミリ秒で 接続タイムアウト 指定します。 再接続間隔 ユーザ認証方式 60 LDAP サーバとの接続を維持するために再接 10∼10000 ○ 続を行う間隔を秒単位で指定します。 なし (選択) ユーザ認証方式を「なし」「simple」の中から選 − 択します。 なし Base DN を 指 定 し ま す 。 LDAP の 場 合 − ○ REFERRAL には対応していません。同一サ Base DN ーバ上に複数の DN がある場合は、ここで追加 します。 なし WisePoint システムが LDAP サーバに接続す (選択) システム認証 − る時の認証方式を「なし」「simple」の中から選 択します。 なし − システム認証で「なし」以外を選択した場合に ○ WisePoint がバインド操作を行う時の主体名を 主体名 指定します。 なし − システム認証で「なし」以外を選択した場合に ○ WisePoint がバインド操作を行う時の資格情報 資格情報 を指定します。 フィルタ文字列(※1) ユーザ ID 用属性名(※2) ユーザ名用属性名(※2) − ユーザ検索用 LDAP フィルタの文字列を指定 − ○ します。 uid ここで指定した属性名は WisePoint のユーザ − ○ ID として扱われます displayName ここで指定した属性名は WisePoint のユーザ − 名として扱われます。 188 ○ 運用管理 (3)Active Directory を使用する場合 Active Directory を使用する場合、「LDAP サポートレベル」を「Active Directory」に設定します。 189 運用管理 図180. LDAP 設定画面(Active Directory) 190 運用管理 項目説明 項目名 初期値 入力条件 説明 なし − LDAP サーバの URL を指定します。 LDAP サーバの URL 必須 ○ ldaps の場合は IP アドレスではなくホスト名で 指定します。 コネクションプールを使用する 使用しない LDAP 接続にコネクションプールを使用する場 − − 合にチェックします。 5000 ここで指定した時間を経過すると LDAP サーバ 10∼10000 ○ との接続がタイムアウトします。単位はミリ秒で 接続タイムアウト 指定します。 再接続間隔 ユーザ認証方式 Base DN デフォルト AD ドメイン 60 LDAP サーバとの接続を維持するために再接 10∼10000 ○ 続を行う間隔を秒単位で指定します。 なし (選択) ユーザ認証方式を「なし」「simple」の中から選 − 択します。 なし − Base DN を指定します。 ○ なし − ユーザ ID に「¥」マークを付加しない場合のドメ ○ イン名を指定します。 なし WisePoint システムが LDAP サーバに接続す (選択) システム認証 − る時の認証方式を「なし」「simple」の中から選 択します。 なし − システム認証で「なし」以外を選択した場合に ○ WisePoint がバインド操作を行う時の主体名を 主体名 指定します。 なし − システム認証で「なし」以外を選択した場合に ○ WisePoint がバインド操作を行う時の資格情報 資格情報 を指定します。 フィルタ文字列(※1) ユーザ ID 用属性名(※2) ユーザ名用属性名(※2) − ユーザ検索用 LDAP フィルタの文字列を指定 − ○ します。 uid ここで指定した属性名は WisePoint のユーザ − ○ ID として扱われます displayName ここで指定した属性名は WisePoint のユーザ − 名として扱われます。 191 ○ 運用管理 (※1) …サポートされているディレクトリサーバによって、ユーザ検索用 LDAP フィルタの文字列は以下のよう になります。LDAP と Active Directory の切り替えを行った場合は自動的に設定されないため、以下の 設定を確認してください。 ディレクトリサーバ ユーザフィルタ Sun Java System Directory Server (&(objectClass=inetOrgPerson)(uid=$$USERID$$)) Active Directory (&(objectClass=user)(sAMAccountName=$$USERID$$)) (※2) …サポートされているディレクトリサーバによって、ユーザ ID 用属性名とユーザ名用属性名の規定値は、 以下のようになります。LDAP と Active Directory の切り替えを行った場合、ユーザ ID 用属性名は自 動的に設定されますが、ユーザ名用属性名は設定されませんので、ご利用の環境に合わせて適切に設 定してください。 ディレクトリサーバ ユーザ ID 用属性名 ユーザ名用属性名 uid displayName sAMAccountName displayName Sun Java System Directory Server Active Directory 192 運用管理 2 . ユーザ拡張情報設定 インストール時のユーザ情報は、WP-A を実行するために必要な情報のみ指定できるようになっていますが、 運用に合わせてユーザの情報を拡張情報として追加することができます。また、この拡張情報は認証成功時 に Radius クライアントに返却するアトリビュートとしても利用することができます。アトリビュートの返却の詳細 については p.123「返却アトリビュート」をご覧ください。 * LDAP 使用時はデフォルト値の設定はできません。 (1)一覧 「ユーザ拡張情報設定」ボタンを押すと、以下のように拡張情報の一覧が表示されます。 図181. ユーザ拡張情報一覧 193 運用管理 (2)追加 ユーザ拡張情報を登録します。 図182. ユーザ拡張情報の追加 項目説明 項目名 初期値 入力条件 説明 名前 なし 1∼1024 拡張情報の名前を指定します ○ デフォルト値 なし 1∼1024 ユーザ新規登録時のデフォルト値を指定し × ます。LDAP 使用時は設定できません。 194 必須 運用管理 (3)修正 ユーザ拡張情報を修正します。 図183. ユーザ拡張情報の修正 項目説明 項目名 初期値 入力条件 説明 名前 なし 1∼1024 拡張情報の名前を指定します ○ デフォルト値 なし 1∼1024 ユーザ新規登録時のデフォルト値を指定 × します。LDAP 使用時は設定できませ ん。 (4)削除 ユーザ拡張情報を削除します。ユーザ管理で登録した情報もあわせて削除されます。 図184. ユーザ拡張情報の削除確認メッセージ 195 必須 運用管理 (5)ユーザ管理での拡張情報入力 拡張情報を登録すると、ユーザの新規作成や既存ユーザの修正を行う際に拡張情報の入力欄が表示さ れます。 図185. ユーザ管理画面での拡張情報 196 運用管理 (6)返却 Radius アトリビュートとしての拡張情報 認証成功時に Radius アトリビュートとして任意のデータを返却する場合は、ユーザの拡張情報としてデ ータを登録するか LDAP 利用時は LDAP の属性からの取得となります。ユーザ拡張情報を利用する場合 は、ユーザの拡張情報が登録されており、かつ返却アトリビュート設定(*1)で要返却アトリビュートとして登 録されているデータのみが認証成功時に Radius アトリビュートとして Radius クライアントに返却されます。 また、空のデータを登録(入力フォームを未入力の状態にする)すると、データは Radius クライアントに 返却されません。これにより、結果としてユーザ毎に返却するデータの種別を変えることができます。 *1 詳細は p.123「返却アトリビュート」をご覧ください。 197 運用管理 3 . 適用設定 管理ツールより行った変更は「適用」ボタンを押すことによって、設定対象のサーバに適用することが出来ま す。ここで設定対象のサーバの URL を指定します。 図186. 適用設定画面 198 運用管理 項目説明 項目名 初期値 説明 WisePoint-Gateway およ び WisePoint の設定再読 WisePoint-Gateway および WisePoint の設定 http://127.0.0.1/twreload 再読み込み機能の URL を指定します。 み込み機能の URL WisePoint-Authenticator の設定再読み込み機 WisePoint-Authenticator の設定再読み込み機能の http://127.0.0.1:33333/twreload URL 199 能の URL を指定します。 運用管理 4 . ライセンス利用状況 システムに登録されているユーザ数とライセンスの利用状況を表示します。 図187. ライセンス利用状況の表示画面 項目説明 カテゴリ名 項目名 説明 ユーザ システムに登録されているユーザ数 システムに登録されているすべてのユーザ数です。「有効」「利用 停止」「無効」としてそれぞれの内訳を表示します。(※1) ご購入頂いているライセンス数 システムに導入されているライセンスの最大数です。 ご利用可能な残りのユーザ数 システムに導入されているライセンスの最大数から、システムに 登録されている「有効」状態のユーザ数を引いたものです。(※2) (※1) … LDAP 使用時かつ AccountLock を使用しない場合、または Active Directory 使用時は、利用停 止ユーザ数と無効ユーザ数は表示されません。 (※2) … ステータスが「有効」であるユーザ数がユーザライセンス数を超えた場合、システムを継続利用する ことができません。ライセンスの追加については別途販売店までお問い合わせください。 200 パスワード管理 パスワード管理 パスワード管理ツールにアクセスすると以下のような画面が表示されます。 新しいパスワードを入力して、更新ボタンを押してください。 図188. パスワード管理画面 パスワードが正常に変更されると以下の画面が表示されます。この画面が表示されると旧パスワードを利用 できなくなりますのでご注意ください。そのままウィンドウを閉じる場合は、「閉じる」ボタンを押してください。 図189. パスワード変更完了画面 LDAP 環境ではパスワード管理ツールを利用することはできません。 201 Jパスワード管理 Jパスワード管理 Jパスワード管理ツールにアクセスすると以下のような画面が表示されます。 「作成」ボタンを押して J パスワード作成画面を表示します。 図190. 図191. J パスワード管理画面 パスワード変更完了画面 「質問」には認証時にシステムから問い合わせされる質問を、「回答」には質問に対する回答を入力します。 「決定」ボタンを押すと J パスワードが設定されます。設定後は、旧パスワードを利用できなくなりますのでご注 意ください。J パスワード管理ツールからログオフする場合は、ブラウザの「閉じる」ボタンを押してください。 202 イメージングマトリクス管理 イメージングマトリクス管理 イメージングマトリクス管理ツールにアクセスすると以下のような画面が表示されます。 「選択」ボタンを押してイメージングマトリクス設定画面を表示します。設定方法については、p.90 イメージングマトリクス認証の設定」をご参照ください。 図192. イメージングマトリクス管理画面 イメージングマトリクスが正常に変更されると以下の画面が表示されます。この画面が表示されると古いイメ ージは利用できなくなりますのでご注意ください。イメージングマトリクス管理ツールからログオフする場合は、 ブラウザの「閉じる」ボタンを押してください。 図193. イメージングマトリクス設定完了画面 203 携帯電話パスワード管理 携帯電話パスワード管理 携帯電話パスワード管理ツールにログインすると以下のメニュー画面が表示されます。 ※ 御利用の携帯電話の機種によっては、表示される画面が上記画面と多少異なる場合があります。 図194. 携帯電話パスワードツールメニュー画面 1 . 固定パスワード 新旧のパスワードを入れて、「Submit」ボタンを押して下さい。 図195. 携帯電話パスワードツール・固定パスワード画面 204 携帯電話パスワード管理 2 . 端末ID(製造番号)登録 DoCoMo の場合、以下の画面の途中で端末IDの送信問合せが表示されます。 SoftBank、au については予め端末IDを送信するように設定してから操作してください。 図196. 携帯電話パスワードツール・端末ID登録画面 3 . 端末ID(製造番号)削除 利用しなくなった携帯電話の端末IDを選択して削除します。 図197. 携帯電話パスワードツール・端末ID削除画面 205 携帯電話パスワード管理 4 . イメージングマトリクス 新旧のイメージの乱数値を入力して「Submit」ボタンを押してください。 パスワードが未設定の場合、「旧パスワード」の入力欄は表示されません。 図198. 携帯電話パスワードツール・イメージングマトリクス画面 206 ログ設定ファイル ログ設定ファイル 管理ツールから設定を行う「WP-A ログ」「管理ツールログ」「WisePoint-GW ログ」は、システムが正常に起 動した後に有効となります。データベース接続開始時にエラーが発生した場合、ログ設定をデータベースから 読むことができないため、規定の設定で出力されます。規定の設定は以下の設定ファイルに書かれています。 項目名 設定ファイル設置場所 セッションログ・WP-A ログ ${WPA_HOME}/bin/log4j.xml 管理ツールログ ${TOMCAT_HOME}/webapps/wpmt/WEB-INF/classes/log4j.xml パスワード管理ツールログ ${TOMCAT_HOME}/webapps/wppwd/WEB-INF/classes/log4j.xml J パスワード管理ツールログ ${TOMCAT_HOME}/webapps/wpjpwd/WEB-INF/classes/log4j.xml イメージングマトリクス ${TOMCAT_HOME}/webapps/wpimgm/WEB-INF/classes/log4j.xml 管理ツールログ WisePoint-GW ログ ${TOMCAT_HOME}/webapps/wpgw/WEB-INF/classes/log4j.xml ${WPA_HOME}…WPA をインストールしたディレクトリ ${TOMCAT_HOME}…それぞれのサーバをインストールした Tomcat のホームディレクトリ 設定ファイルでログレベルを変更するには以下の網掛けの部分を変更します。例えばデータベースに関する ログをデバッグで出力するためには「<level value ="debug" />」に変更します。 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE log4j:configuration SYSTEM "log4j.dtd"> <log4j:configuration xmlns:log4j="http://jakarta.apache.org/log4j/" > <appender name="stdout" class="org.apache.log4j.ConsoleAppender"> <param name="Target" value="System.out" /> <layout class="org.apache.log4j.PatternLayout"> <param name="ConversionPattern" value="%d{yyyy-MM-dd HH:mm:ss z} %m%n" /> </layout> </appender> …(省略)… <logger name="database" > <level value ="info" /> <appender-ref ref="stdout" /> </logger> <root> <level value ="info" /> <appender-ref ref="null"/> </root> </log4j:configuration> 207 有効期限告知機能 有効期限告知機能 1 . ユーザ有効期限切れ告知機能 WisePoint Gateway を使用し、ユーザの有効期限を指定している場合に、指定した期日前になるとユーザ のチャレンジ画面に有効期限が近づいていることを知らせる機能です。 ※ LDAP あるいは Active Directory 使用時はご利用になれません。 図199. ユーザ有効期限切れ告知画面 ユーザ有効期限切れ告知日を設定するには、管理ツールの「WisePoint-Gateway 管理→システム設定→ ユーザ有効期限切れ告知機能」の「告知する」チェックボックスをチェックし、テキストボックスに告知する日を 「∼日前」の形で指定します。当日に告知する場合は「0」を指定します。 図200. ユーザ有効期限切れ告知設定画面 208 有効期限告知機能 2 . WisePoint 認証有効期限切れ告知機能 WisePoint Gateway を使用し、WisePoint 認証のチャレンジに有効期限を指定している場合、指定した期 日前になると、ユーザのチャレンジ画面に有効期限が近づいていることを知らせる機能です。管理ツールを利 用する場合、管理ツールのリンクを表示してユーザに変更を促すことも可能です。 図201. WisePoint 認証有効期限切れ告知画面 ※ J パスワード認証の場合、それぞれのチャレンジに有効期限が設定可能なため、どれか一つのチャレ ンジの有効期限が指定した期日前になると告知します。 ※ 有効期限を過ぎたもの、あるいは利用停止に設定されているチャレンジについては告知されません。 209 有効期限告知機能 WisePoint 認証有効期限切れ告知日を設定するには、管理ツールの「WisePoint-Gateway 管理→システ ム設定→WisePoint 認証有効期限切れ告知日」の「告知する」チェックボックスをチェックし、テキストボックス に告知する日を「∼日前」の形で指定します。当日に告知する場合は「0」を指定します。 告知時に管理ツールへのリンクを表示する場合は、それぞれの認証ごとに管理ツールの URL を指定します。 表示しない場合は何も入力しないでください。 図202. WisePoint 認証有効期限切れ告知設定画面 3 . 告知日について 有効期限と告知日の関係は以下のようになります。 有効期限:2006/05/05 「3 日前」に告知する設定の場合 2006/05/01 2006/05/02 2006/05/03 告知しない 2006/05/04 2006/05/05 有効期限切れ 告知する 210 WisePoint-Gateway のパラメータについて WisePoint-Gateway のパラメータについて WisePoint-Gateway にアクセスする際に、URL に続けて以下のパラメータを指定することで、拡張機能を ご利用いただけます。 パラメータ名 twrespcnt 説明 システムで利用するパラメータ。 携帯電話で、複数画面を利用する認証で、表示している画面が何画面目かを示 す、内部使用の POST パラメータ。 ユーザ側利用は出来ません。 wpgwparam3 FirePass6 連携時専用のパラメータ(内部使用なのでユーザ側利用は不可) twauthkeyword 拡張認証方式設定の関連 twauthkeyword=aaa 拡張認証方式設定−認証キーワードと一致した場合、認証キーワードに登録さ れている認証方式で認証する。 twforceauthitf APPLET または javascript 使用の認証画面は、ユーザエージェントの設定で、 APPLET と javascript のどちらを使用するかを持っているのだが、このパラ メータでユーザエージェントでの設定を無視して強制的に設定する機能 211 自動サブミット先の変更 自動サブミット先の変更 WisePoint-Gateway を使用する場合、ユーザごとに自動サブミット先を変更するには、クエリ文字列に特定 の文字列を含めることで可能となります。クエリ文字列が日本語を含んでいる場合の文字コードは UTF8 であ る必要があります。 指定できる項目は以下の通りです。 項目 wpgwurl1 wpgwurl2 wpgwparam1 wpgwparam2 wpgwnoparam0 wpgwencoding 説明 リダイレクト先を指定します。 リダイレクト先を認証中のユーザの拡張情報の値にします。 ここではその拡張情報の名前を指定します。 リダイレクトの際、ここで指定したパラメータを HIDDEN 属性で 追加します。 リダイレクトの際に送信する HIDDEN 属性のパラメータが設定 されている拡張情報の名前を指定します。 リダイレクトの際に、管理ツールの「WisePoint-Gateway 管理」の 「システム設定→認証成功後自動サブミット設定→その他のパラ メータ(固定値)」で指定したパラメータを追加しません。 上記 wpgwurl1・wpgwurl2・wpgwparam1・wpgwparam2 が日本語を含 んでいる場合、リダイレクトの際にここで指定した文字コードに なります。 1 . リダイレクト先をクエリ文字列で指定する場合 https://xxx.yyy.zzz/aaa/bbb リダイレクト先を上記の URL にし、WisePoint-Gateway のアドレスが 「https://foo.bar.com/login」の場合、クエリ文字列の指定は以下のようになります。 https://foo.bar.com/login?wpgwurl1=https%3A%2F%2Fxxx.yyy.zzz%2Faaa%2Fbbb ここで「%3A」は半角記号の「:」、「%2F」は半角記号の「/」をそれぞれ URL エンコード したものです。 212 自動サブミット先の変更 2 . リダイレクト先を認証中のユーザの拡張情報の値で指定する場合 「住所」という名前を持つユーザ拡張情報が存在し、各ユーザの拡張情報「住所」の値にリダイレクト 先が設定されている場合、この値をリダイレクト先とするクエリ文字列の指定方法は以下のようになり ます。 https://foo.bar.com/login?wpgwurl2=%e4%bd%8f%e6%89%80 ここで「%e4%bd%8f%e6%89%80」は、ユーザ拡張情報の名前である「住所」を、文字コード UTF-8 で URL エンコードしたものです。 ※wpgwurl1 や wpgwurl2 が複数指定された場合の動作は不定です。 3 . リダイレクトの際に送信するパラメータをクエリ文字列で指定する場合 <INPUT TYPE= hidden <INPUT TYPE= hidden name= username name= password value= 徳川家康 > value= tokugawa00 > リダイレクト先に上記の HIDDEN 属性のパラメータを送信する場合のクエリ文字列の指定方法は、 以下のようになります。 https://foo.bar.com/login?wpgwparam1=username%3D%25E5%25BE%25B3%25E5%25B7 %259D%25E5%25AE%25B6%25E5%25BA%25B7%26password%3Dtokugawa00 ※実際には途中の改行は含めないでください。 ここで「username」の直後にある「%3D」は半角記号の「=」を、 「password」の直前にある「%26」 は半角記号の「&」をそれぞれ URL エンコードしたものです。 また「username」の「%25E5%25BE%25B3%25E5%25B7%259D%25E5%25AE%25B6%25E5%25BA%25B7」は 「徳川家康」を文字コード UTF-8 でエンコードしたものをさらに UTF-8 でエンコードしたもの です。 213 自動サブミット先の変更 4 . リダイレクトの際に送信するパラメータを拡張情報の名前で指定する場合 「住所」という名前を持つユーザ拡張情報が存在し、各ユーザの拡張情報「住所」の値にリダイレクト 先に送信する HIDDEN 属性のパラメータを設定し、これをクエリ文字列で指定する場合は以下のよ うになります。 まず、認証を行うユーザの拡張情報「住所」には、以下の値を設定します。 username=徳川家康&password=tokugawa00 この値をリダイレクト先に送信するためのクエリ文字列は以下のようになります。 https://foo.bar.com/login?wpgwparam2=%e4%bd%8f%e6%89%80 ここで「%e4%bd%8f%e6%89%80」は、ユーザ拡張情報の名前である「住所」を、文字コード UTF-8 で URL エンコードしたものです。 ※wpgwparam1 と wpgwparam2 の両方が指定された場合、両方のタグが出力されます。 ※wpgwparam1 や wpgwparam2 が複数指定された場合の動作は不定です。 ※指定した名称の拡張情報が存在しない場合、これらのパラメータが指定されなかった時と同じ動作 となります。 5 . リダイレクト先にシステムの固有値パラメータを送信しない場合 管理ツールの「WisePoint-Gateway 管理」の「システム設定→認証成功後自動サブミット機能→ その他のパラメータ(固有値)で設定されているパラメータを、リダイレクト先に送信しない場合のクエ リ文字列の指定方法は以下のようになります。 https://foo.bar.com/login?wpgwnoparam0= このパラメータは存在していれば有効となるため、値を持つ必要はありません。 214 自動サブミット先の変更 6 . リダイレクト先に送信する URL やパラメータの文字コードを指定する場合 リダイレクト先 URL や送信するパラメータが日本語を含んでおり、その文字コードをクエリパラメータ で指定する場合のクエリ文字列の例を示します。以下は(4)のパラメータをリダイレクト時に Shift_JIS で送信する場合の例です。 https://foo.bar.com/login?wpgwparam2=%e4%bd%8f%e6%89%80&wpgwencoding=Shift_JIS このパラメータを指定しない場合、リダイレクト先に送信される文字コードは WisePoint-Gateway の 動作環境の文字コードとなります。(Linux で動作している時は EUC-JP、Windows で動作している 時は Shift_JIS) 指定可能な値は以下の通りです。 設定値 wpgwencoding=euc-jp wpgwencoding=Shift_JIS wpgwencoding=utf8 説明 EUC-JP で送信します。 Shift_JIS で送信します。 UTF-8 で送信します。 215 DIGIPASS 認証 DIGIPASS認証 DIGIPASS 認証をご利用になる場合の運用準備や利用者の利用イメージ、制限事項について説明します。 1 . 運用準備 DIGIPASS を利用できるまでの設定の流れを説明します。 設定方法には 2 種類の方法があります。運用にあわせて設定してください。 (1)管理者による設定 管理者がユーザとDIGIPASSの管理を行う場合は以下の手順で設定してください。 ①ユーザの登録 ②DPXファイルのインポート ③ユーザとシリアル番号の割付 ④PINの強制変更設定(PINを利用する場合で、初期のPINをユーザが変更する場合) ⑤DIGIPASSの配布 (2)ユーザによる設定 ユーザとDIGIPASSの割付をユーザが行う場合は以下の手順で設定してください。 ①ユーザの登録(管理者) ②DPXファイルのインポート(管理者) ③DIGIPASS の配布(管理者) ④ログイン画面からの DIGIPASS シリアル番号の設定(ユーザ) 216 DIGIPASS 認証 2 . 認証の流れ DIGIPASS 認証を設定すると以下のような認証画面が表示されます。「DIGIPASS パスワード」には DIGIPASS で表示されたパスワードを入力します。 PINを利用している場合は、「DIGIPASS パスワード」に PIN と DIGIPASS で表示されたパスワードを続け て入力します。 また PIN を変更したい場合は、「DIGIPASS パスワード」に PIN と DIGIPASS で表示されたパスワード、さ らに新しい PIN を 2 回続けて入力します。 まだ DIGIPASS とユーザが割りついていない場合は、「初めての方はこちら」をクリックします。 図203. DIGIPASS 認証画面 217 DIGIPASS 認証 「初めての方はこちら」をクリックすると以下のような画面が表示されます。 前画面で入力された情報は無視されますので、以下の画面でユーザID、DIGIPASS のシリアル番号、 DIGIPASS で表示されたパスワードを 2 回(異なるパスワードを入力してください)入力します。 シリアル番号とパスワードがマッチするとユーザと DIGIPASS の割付が行われ、同時に認証も行われます。 既にシリアル番号の割付を行っているユーザが誤ってこの画面に移動してしまった場合は、「認証画面に戻る」 をクリックしていただければ、元の画面に戻ります。 図204. DIGIPASS 初期設定画面 218 DIGIPASS 認証 強制的にPINを変更するよう設定されている場合は、「DIGIPASS 認証画面」から以下の画面に遷移しま す。 このときPINが設定されていない状態になっていますので、前の画面で入力された DIGIPASS パスワードは 無視されます。以下の画面で、新しい PIN を 2 回(同じもの)と DIGIPASS で表示されたパスワードを 2 回(異 なるもの)を入力してください。パスワードが間違っていなければ、PINが設定されて、同時に認証も行われま す。 図205. PIN 設定画面 219 DIGIPASS 認証 3 . DIGIPASS 認証をご利用の際の制限事項 WisePoint で DIGIPASS を利用する場合、VASCO DATA SECURITY 社の VACMAN Middleware や Indentikey で利用できる機能すべては対応しておりません。 制限事項がありますので「導入の手引き」をご確認の上ご利用ください。 220 (1)本書の内容の一部または全部を無断で複写、転載することは固くお断りします。 (2)本書の内容については、将来予告なしに変更することがあります。 (3)本書の内容については万全を期して作成しておりますが、万一ご不審な点や誤り、記載漏れなどお気づき の点がありましたらご連絡ください。 (4)運用した結果の影響につきましては(3)項にかかわらず責任を負いかねますのでご了承ください。 (5)本製品がお客様に不適当に使用されたり、本書の内容に従わずに取り扱われたり、またファルコンシステ ムコンサルティング株式会社およびファルコンシステムコンサルティング株式会社指定のもの以外の第三者 により改変されたことなどに起因して生じた損害などにつきましては、責任を負いかねますのでご了承くださ い。 (6)本ソフトウェア製品の使用は、使用許諾書の条件に従うこととします。使用許諾書を許諾しなければこの製 品をご使用になれません。 WisePoint®はファルコンシステムコンサルティング株式会社の登録商標です。 Microsoft は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。 Microsoft® Windows®および Active Directory®は米国 Microsoft Corporation の米国およびその他の国 における登録商標です。 Linux は Linus Torvalds 氏の商標です。 Apache および Tomcat は Apache Software Foundation の登録商標あるいは商標です。 その他、記載されている商品名は各社の商標または登録商標です。 Java および JDK(Java Development Kit)を含むすべての Java 関連の商標は米国およびその他の国にお ける米国 Sun Microsystems ,Inc.の商標または登録商標です。 VASCO および DIGIPASS は、VASCO Data Security 社の登録商標です。 「WisePoint® Authenticator 運用管理マニュアル」 2010 年 4 月発行 発行 ファルコンシステムコンサルティング株式会社 http://www.falconsc.com/ ©Falcon System Consulting, Inc.
© Copyright 2024 ExpyDoc