パスワード情報の管理

オンラインで編集

パスワードインテリジェンスを活用することで、盗まれたパスワードや一般的なパスワード、既知のパスワードの使用を監視、警告、または防止することができます。

このタスクについて

IBM® パスワードインテリジェンスにより、管理者はきめ細かなアクセス管理機能を適用し、その IBM Verify 機能を強化することができます。 「 デフォルトのパスワードインテリジェンスポリシー 」と「 グローバルカスタムパスワードリスト 」のいずれか、あるいはその両方を使用できます。

執行措置
監査
このオプションには監査ログの記録が含まれます。 監査ログは、パスワードが不正なパスワードリストに含まれているかどうかを確認します。 ユーザーには通知されず、ログインが進行します。
注: すべての適用オプションについてログが生成されます。
メッセージでユーザーに警告します。
警告メッセージが表示されますが、ログインは続行されます。
アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。
警告メッセージが表示され、ユーザーはパスワード変更の手順へリダイレクトされます。
設定の優先順位は、低い順から 「監査」、「 警告 」、 「強制 」となっています。 たとえば、カスタムリストの適用設定で 「監査」 オプションが設定されており、 デフォルトのパスワードインテリジェンスポリシー「警告」 オプションが設定されている場合、両方のリストに不正なパスワードが含まれていると、 「監査」 オプションではなく 「警告」 オプションが適用されます。
注: ユーザーログインフローで最後のオプション 「ログインを拒否し、パスワード変更画面へリダイレクトする 」を選択した場合、「アカウント作成」「パスワードリセット」「パスワード変更」 の各フローでは、「アクションをブロックし、より安全なパスワードの使用をユーザーに要求する」 が選択されます。

手順

  1. テナントコンソールに管理者としてログインしてください
  2. 「セキュリティ 」>「 パスワード管理」 を選択します。
  3. 「インテリジェンス一覧」 を選択してください。
  4. デフォルトのパスワードインテリジェンスポリシーの設定を表示します。
    1. ユーザーログインフローの適用方法を選択してください。
      この措置は、すでにパスワードをお持ちの既存ユーザーに適用されます。
    2. アカウント作成、パスワードのリセット、およびパスワード変更の各フローについて、適用するルールを選択してください。
      この措置は、新規アカウントおよび既存ユーザーがパスワードを変更またはリセットする際に適用されます。
    3. 変更を保存してください。
  5. グローバルなカスタムパスワードリストを追加します。
    1. 「カスタムパスワードリストをダウンロード」 を選択して、ファイルを Password_intelligence_list.csv ダウンロードしてください。
    2. ファイル .csv を開き、パスワードを追加してください。
      この .csv 形式については、「共通形式」およびカンマ区切り値 .csv ファイルのMIMEタイプで規定されている必要があります。 encoderこの .csv ファイルは、文字エンコーディングを使用 UTF-8 することで、すべてのUnicode(UCS)文字に対応しています。 ファイルの最大サイズは20MBです。 パスワードは最大1,000,000文字までです。また、* comma などの特殊文字を含む値は、二重引用符で囲む必要があります。

      カスタムリストの最初の列のみが使用されます。 この列のヘッダー値は「password」です。

      password
badpassword
"bad""pass,word2"
      注:
      • ファイルの最初の行(1行目)には、以下の列値が含まれている必要があります。
        password
      • 列の値と名前はコンマで区切られています。
        {[(.. , .. )]}
        カスタム拒否リストでは、最初の列のみが使用されます。 コンマで区切る必要はありません。
      • それ以降の行(2 → …) その列の値が含まれています。
      • 各行はCRLF文字列で区切られています。
      • 値に二重引用符、改行コード(CR)、改行コード(LF)、またはコンマが含まれている場合は、各値を二重引用符で囲んでください。

        この場合、値にこれらの特殊文字が含まれているときは、値全体を二重引用符で囲む必要があります。

        ""埋め込みの二重引用符は " 、必ず2つ並べてください。

      • すべてのスペース文字が重要となります。
        注: このルールは、カンマ区切りの列が複数存在する場合に特に重要となります。
      • public注: ユーザーおよびグループのインポート用のCloud Directory REST APIは、ファイルを使用して .csv ユーザーおよびグループの値をインポートするものです。
    3. ファイルを保存してアップロードしてください。
      ファイルの内容が、ファイル Password_Intelligence_List.csv の内容にアップロードされます。
  6. カスタムインテリジェンスポリシーを作成する
    1. [ポリシーの作成] を選択し、一般設定を入力します。
    2. デフォルトのパスワードポリシーを使用する場合は、 「パスワードの強制適用を有効にする」 を選択してください。
      デフォルトのパスワードインテリジェンスポリシーを有効にする場合は、ユーザーログインフロー、およびアカウント作成、パスワードリセット、パスワード変更の各フローに対する適用設定を選択してください。
    3. カスタムパスワードリストを使用したい場合は、 「カスタムパスワードリストを有効にする」 を選択してください。
      グローバルカスタムパスワードリストを有効にする場合は、ユーザーログインフロー、およびアカウント作成、パスワードリセット、パスワード変更の各フローについて、適用するルールを選択してください。
  7. 「保存」 を選択します。

次の手順

ご利用のIDプロバイダーがパスワードインテリジェンスポリシーに対応している場合、IDプロバイダーの設定画面の「インテリジェンスポリシー」セクションで、そのポリシーを選択できます。