Zarządzanie hasłami

Edycja w trybie z połączeniem

Zarówno użytkownicy, jak i usługi używają identyfikatorów i haseł do uwierzytelniania się w subskrypcji w chmurze. Aby zapewnić integralność haseł, strategie haseł mają zastosowanie zarówno do kont użytkowników, jak i do kont usług.

Konta użytkowników

Sposób, w jaki użytkownicy zarządzają swoimi hasłami, zależy od tego, czy subskrypcja wykorzystuje rozwiązanie korporacyjnego Dostawcy tożsamości (IdP) do uwierzytelniania w oparciu o protokół Security Assertion Markup Language (SAML).

Uwierzytelnianie IdP

Uwierzytelnianie użytkownika jest delegowane do dostawcy tożsamości (IdP), który jest połączony jako partner stowarzyszony SAML w produkcie Cloud Pak for Business Automation as a Service(Cloud Pak for Business Automation as a Service). Kiedy użytkownik loguje się do subskrypcji, login jest przekierowywany do dostawcy IdP w celu uwierzytelnienia użytkownika. Jeśli uwierzytelnianie zakończy się powodzeniem, zostaje przyznany dostęp do subskrypcji w chmurze. Użytkownicy utrzymują hasła w usłudze korporacyjnego dostawcy IdP.

Kiedy użytkownik się wyloguje, sesja subskrypcji zostaje zakończona, a użytkownik zostaje przekierowany do strony logowania, a następnie do dostawcy IdP.

Uwierzytelnianie inne niż przez dostawcę IdP

Gdy użytkownik aktywuje swoje konto, określą hasło, które jest zgodne z regułami haseł produktu Cloud Pak for Business Automation as a Service . Jeśli użytkownik ma dostęp do kilku subskrypcji, to samo hasło jest stosowane dla wszystkich subskrypcji.

Uwierzytelnianie w narzędziach
Następujące możliwości i narzędzia wymagają dodatkowego uwierzytelniania:
  • Narzędzia pulpitu Content Platform Engine
  • Aplikacja konektoraIBM® Salesforce Connector
  • Konsola administracyjna serwera IBM Navigator
  • Klient administracyjny produktu Enterprise Records: planowanie i uruchamianie przeglądania
To, w jaki sposób użytkownik ustawia hasło umożliwiające uzyskanie dostępu do tych narzędzi, zależy od tego, czy w subskrypcji jest skonfigurowane uwierzytelnianie przez dostawcę tożsamości, czy bez dostawcy tożsamości:
Uwierzytelnianie IdP
Użytkownik musi jawnie ustawić hasło narzędzi, przechodząc do menu użytkownika i wybierając opcję Ustaw hasło do narzędzi. Jeśli użytkownik ma dostęp do kilku subskrypcji, musi ustawić hasło do narzędzi w ramach jednej subskrypcji, a następnie aktywować je w każdej z pozostałych subskrypcji.
Uwierzytelnianie inne niż przez dostawcę IdP
Użytkownik musi aktywować swoje hasło logowania jako hasło do narzędzi, przechodząc do menu użytkownika i wybierając opcję Aktywuj hasło do narzędzi. Jeśli użytkownik ma dostęp do kilku subskrypcji, musi aktywować swoje hasło do narzędzi w każdej z pozostałych subskrypcji.
Zmiana haseł innych niż hasła dostawcy tożsamości

Wszystkie hasła są ważne przez 90 dni. Na tydzień przed datą wygaśnięcia hasła i w dniu wygaśnięcia hasła użytkownik otrzymuje automatycznie wysyłaną wiadomość e-mail. Użytkownicy mogą zarządzać hasłami, przechodząc do menu użytkownika i wybierając opcję Zmień hasło. Kiedy użytkownicy zmieniają hasła, mogą również zdecydować o zakończeniu wszystkich aktywnych sesji, na przykład jeśli uważają, że ich konto zostało skradzione. Po zakończeniu sesji konto użytkownika również zostaje na krótki czas zablokowane. Po kilku minutach użytkownik może zalogować się ponownie za pomocą nowego hasła. Jeśli użytkownik ma również hasło do narzędzi i ma dostęp do kilku subskrypcji, musi aktywować nowe hasło logowania jako hasło do narzędzi w każdej z pozostałych subskrypcji.

Gdy hasło utraci ważność, użytkownicy mają trzy próby zalogowania się w celu jego zmiany. Jeśli użytkownik zapomni hasła lub jego konto zostanie zablokowane z powodu pięciu nieudanych prób zalogowania, na stronie logowania może poprosić o zresetowanie hasła. Jeśli użytkownik ma również hasło do narzędzi i ma dostęp do kilku subskrypcji, musi aktywować nowe hasło logowania jako hasło do narzędzi w każdej z subskrypcji.

Konta usług

W przypadku kont usług hasło jest losowo wygenerowanym łańcuchem znaków, który jest wystarczająco długi i złożony, aby można było go uznać za bezpieczny z punktu widzenia ataków brute force (polegających na sprawdzaniu wszystkich możliwych kombinacji). Utrata ważności hasła nie jest wymuszana dla kont usług; użytkownik decyduje o tym, jak długo hasła pozostają ważne przed ich zmianą.

Jeśli liczba nieudanych prób logowania z użyciem identyfikatora funkcjonalnego konta przekroczy 100, konto usługi zostanie zablokowane na 60 minut.