IBM Cloud Docs
パスワード・ポリシーの定義

パスワード・ポリシーの定義

ストレングス要件などのパスワード・ポリシーを使用すると、アプリケーションのセキュリティーを高めることができます。 拡張ポリシーを定義することで、ユーザーがパスワードの設定やアプリへのサインインを行うときに守らなければならないルールを定義できます。 例えば、ユーザーをロックアウトさせるサインインの連続失敗回数を設定できます。

ポリシー: パスワード・ストレングス

強力なパスワードを使用すると、他人がそのパスワードを手動または自動化された方法で推測することが困難または不可能になります。 ユーザー・パスワードの強度の要件を設定するには、以下の手順を使用します。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの**「Cloud Directory」>「パスワード・ポリシー」**タブに移動します。

  2. **「パスワード・ストレングスの定義 (Define password strength)」ボックスで、「編集」**をクリックします。 画面が開きます。

  3. **「パスワード・ストレングス (Password strength)」**ボックスに、有効な正規表現ストリングを入力します。

    例:

    • 8 文字以上でなければなりません。(^.{8,}$)
    • 1 つの数字、1 つの小文字、および 1 つの大文字が含まれている必要があります。(^(?:(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).*)$)
    • 指定できるのは英文字と数字です。(^[A-Za-z0-9]*$)
    • 少なくとも 1 つの固有文字が必要です。(^(\w)\w*?(?!\1)\w+$)

  4. 保存 をクリックします。

パスワードの強度は、 App ID ダッシュボードの Cloud Directory 設定ページ、または 管理 API を使用して設定できます。

カスタム・エラー・メッセージの設定

独自のパスワード正規表現ポリシーを設定し、ユーザーが要件を満たさないパスワードを選択した場合、デフォルト・メッセージは The password doesn't meet the strength requirements./management/v4/<tenantId>/config/cloud_directory/password_regex エンドポイントを使用して独自のメッセージを設定することもできます」になります。

拡張パスワード・ポリシー

パスワード制約を施行することで、アプリケーションのセキュリティーを強化できます。

以下の 5 つのフィーチャーの任意の組み合わせから成る拡張パスワード・ポリシーを作成できます。

  • 間違った資格情報が繰り返し入力された後のロックアウト (Lockout after repeated wrong credentials)
  • パスワード再利用を避ける
  • パスワードの有効期限
  • パスワード変更間隔の最短期間 (Minimum period between password changes)
  • パスワードにユーザー名が含まれていないことを確認する

この機能を有効にすると、高度なセキュリティ機能の課金が有効になります。 詳しくは、App ID の料金はどのように計算しますか? を参照してください。

ポリシー: パスワード再利用を避ける

新しいパスワードを作成するときに、最近使用したパスワードを選択できないようにすることができます。 ユーザーが最近使用したパスワードを設定しようとすると、デフォルトのログイン・ウィジェット GUI にエラーが表示され、別のパスワードを入力するように求められます。 この設定では、一度使用したパスワードを再利用するために空ける必要があるパスワードの世代数を選択できます。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの Cloud Directory > Password policies タブにアクセスする。

  2. **「拡張パスワード・ポリシー」「使用可能」**に切り替えます。

  3. **「パスワードが再利用可能になるまでの回数 (The number of times that a password can't be repeated)」**を指定します。 1 から 8 までの範囲の整数を使用できます。

  4. **「パスワードが再利用可能になるまでの回数 (The number of times that a password can't be repeated)」「使用可能」**に切り替えます。

  5. 保存 をクリックします。

以前のパスワードは、ユーザーの現在のパスワードと同じ保管方法で安全に保管されます。

ポリシー: 間違った資格情報が繰り返し入力された後のロックアウト

疑わしい動作 (誤ったパスワードによる連続した複数回のサインイン試行など) が検出されたときに、サインインする機能を一時的にブロックすることで、ユーザーのアカウントを保護できます。 この手段は、悪意のある第三者がユーザーのパスワードを推測してユーザーのアカウントにアクセスすることを防ぐのに役立ちます。

アカウントをロックされたユーザーは、指定されたロックアウト期間が終わるまで、サインインすることも他のセルフサービス操作を実行することもできません。 ロックアウト期間が終わると、ユーザーは自動的にアンロックされます。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの**「Cloud Directory」>「パスワード・ポリシー」**タブに移動します。

  2. **「拡張パスワード・ポリシー」「使用可能」**に切り替えます。

  3. **「ユーザーをロックアウトさせるサインインの連続失敗回数」**を指定します。 1 から 10 までの範囲の整数を使用できます。

  4. **「不正な資格情報でサインインを試行したユーザーがロックアウトされる時間」**を指定します。 この時間は、分単位で指定します。 1 から 1440 (24 時間) までの範囲の整数を使用できます。

  5. **「ユーザーをロックアウトさせるサインインの連続失敗回数」行を「使用可能」**に切り替えます。

  6. 保存 をクリックします。

ロックアウト期間が終了する前に、ユーザーをアンロックすることもできます。 ユーザーがロックアウトされているかどうかを確認するには、active フィールドが false に設定されているかどうかを確認します。 また、サービス・ダッシュボードの**「ユーザー」**タブで、ユーザーの状況が disabled に設定されているかどうかを確認することもできます。 ユーザーをアンロックするには、API を使用して active フィールドを true に設定する必要があります。

ポリシー: パスワード変更間隔の最短期間

パスワードの変更間隔として空けなければいけない最小時間を設定して、ユーザーがすぐにパスワードを切り替えるのを防止できます。

この機能は、Avoid password reuseポリシーと一緒に使用すると特に有用です。 この制限がない場合は、パスワードを何度も連続して変更するだけで、最近使用したパスワードの再利用に対する制限を回避することができます。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの**「Cloud Directory」>「パスワード・ポリシー」**タブに移動します。

  2. **「拡張パスワード・ポリシー」「使用可能」**に切り替えます。

  3. **「パスワード変更の最短時間」**を指定します。 この時間は、1 時間単位で指定します。 1 から 720 (30 日) までの範囲の整数を使用できます。

  4. **「パスワード変更の最短時間」「使用可能」**に切り替えます。

  5. 保存 をクリックします。

ポリシー: パスワード有効期限

セキュリティー上の理由から、パスワード・ローテーション・ポリシーを適用することもできます。 ユーザー・パスワードの有効期限を設定すると、ユーザーはアプリケーションへのアクセスを保持するためにパスワードの更新を強制されます。 これにより、ユーザーの資格情報に起因するアプリケーションへの損害が長期間続く可能性を抑えることができます。 パスワードの有効期限が切れたユーザーは、次にサインインしようとしたときにパスワードの再設定を強制されます。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの**「Cloud Directory」>「パスワード・ポリシー」**タブに移動します。

  2. **「拡張パスワード・ポリシー」「使用可能」**に切り替えます。

  3. **「パスワードの有効日数」**を指定します。 この期間は、日数で指定します。 1 から 90 までの範囲の整数を使用できます。

  4. **「パスワードの有効日数」「使用可能」**に切り替えます。

  5. 保存 をクリックします。

このオプションを初めてオンに設定したときは、既存のユーザー・パスワードに有効期限は設定されません。 すべてのユーザーがパスワード・ローテーション・ポリシーによって制限されるようにするために、この機能を構成した後にユーザーにパスワードを更新するよう促すことができます。

カスタム・サインイン操作環境

カスタムのサインイン操作環境を使用している場合、ユーザーが期限切れパスワードを使用してサインインしようとすると、エラーがトリガーされます。 それで、必要なユーザー・エクスペリエンスが提供されるように、アプリケーションを構成しておく必要があります。 新規パスワードの設定のためにパスワード変更 API を呼び出すことができます。

トークン・エンドポイント応答は、以下のようになります。

{
  "error" : "invalid_grant",
  "error_description" : "Password expired",
  "user_id" : "356e065e-49da-45f6-afa3-091a7b464f51"
}

ポリシー: パスワードにユーザー名が含まれていないことを確認する

より強力なパスワードにするには、ユーザー名や E メール・アドレスの最初の部分を含むパスワードを作成できないようにする必要があります。

GUI を使用してこの構成を設定するには、以下のようにします。

  1. App ID ダッシュボードの**「Cloud Directory」>「パスワード・ポリシー」**タブに移動します。

  2. **「拡張パスワード・ポリシー」「使用可能」**に切り替えます。

  3. **「パスワードにユーザー ID を含めることはできない」「使用可能」**に切り替えます。

  4. 保存 をクリックします。

この制約では大/小文字の区別はありません。 ユーザーは、個人情報を使用するために一部またはすべての文字の大/小文字を変更することはできません。 このオプションを構成するには、スイッチをオンに切り替えてください。