|
[本書について] [表示画面] [商標および免責事項] 本製品は医療機器、原子力施設、航空関連機器、軍備機器、輸送設備やその他人命に直接関わる施設や設備など、高い安全性が要求される用途での使用は意図されていません。該当する施設や設備には使用しないでください。 [版権/注意] 本書の内容は万全を期して作成しておりますが、万一ご不明な点や誤り、記載漏れなどお気づきの点がございましたら、弊社までご連絡ください。 |
目次
管理画面からダウンロードしたクライアント証明書のインポートパスワード
1 はじめに
1.1 運用管理ガイド(admin権限)について
運用管理ガイドは、PassLogic管理ツールを操作する管理者(admin権限)を対象として書かれています。
本ガイドは以下の6章から構成されています。
|
章 |
項目名 |
主な内容 |
|
1 |
はじめに |
本製品とガイドに関する基本的な情報 |
|
2 |
システム管理ガイド |
管理ツールの基本的な使い方 |
|
3 |
連携設定ガイド |
RADIUS、SAML2.0の連携設定など |
|
4 |
ユーザ管理ガイド |
ユーザの追加/編集/削除など |
|
5 |
ログ閲覧ガイド |
ログの検索、ダウンロードなど |
|
6 |
注意事項 |
製品を使用するにあたっての注意事項 |
ソフトウェアトークンである「PassClip L」は、2024年9月24日以降App Store若しくはGoogle Playからダウンロード及びアップデートした場合、名称が「PassLogic Authenticator」に変更されました。
本マニュアル内では「PassClip」及び「PassClip L」と表記されている部分がございますが、適宜読み替えていただけますようお願いいたします。
※認証サーバ側の名称変更は、今後進めていく予定です。
1.2 PassLogic(パスロジック)とは?
PassLogicは、独自技術であるデバイスレス・ワンタイムパスワード認証方式(以下、デバイスレス方式)を中心に、ハードウェアトークン、ソフトウェアトークン、クライアント証明書などの多様な認証方式に対応した認証プラットフォームです。
標準的な連携プロトコル(RADIUS及びSAML)もサポートしておりますので、他システム(サービス)との認証連携も可能です。
1.3 デバイスレス方式とは?
デバイスレス方式は、ログイン時に表示される乱数表の“マス目の位置”と“パターン(選択する順番)”をパスワード生成のルールとし、ログイン毎に正解パスワードを生成するセキュアな認証方式です。
本方式に関するご説明は、PassLogic製品サイト上で公開しています。
本URLはユーザへの初期案内メール等でもご活用いただけます。
URL:https://passlogic.jp/pattern_staticpass
2 システム管理ガイド
2.1 管理ツールへのアクセス
管理者用のアカウント情報の案内に従い、以下のPassLogic認証サーバソフトウェア管理ツールにウェブブラウザでアクセスします。
管理ツールのユーザID入力欄に管理者権限のユーザIDを入力し次ページに進み、ワンタイムパスワードを入力しログインします。
https://[テナント名].passlogiccloud.com:8443/[テナント名]/passlogic-admin/
※ユーザID:adminによる初期ログイン方法は、アカウント開通通知メールをご参照ください。
管理ツールトップ画面
2.2 管理者用パスワードの変更
管理ツール左側メニューの[パスワード変更]にて、管理ツールにログイン中の自身の管理者アカウントのパスワード(パターンと追加フレーズ)の変更ができます。
※「管理者ポリシー」に設定したパスワードポリシーに則ったパスワードに変更することができます。
【例】オレンジ色のマスで示す「L字」のパターンを設定したい場合
|
STEP1: |
STEP2: |
STEP3: |
※計3回の入力でパスワードが変更されます。
2.3 管理者管理
PassLogic管理者アカウントには下記のいずれかの権限を付与できます。
|
権限の種類 |
admin |
useradmin |
operator |
|
全ての機能 |
○ |
× |
× |
|
ユーザ作成・管理機能、及びクライアント証明書発行・管理機能 |
○ |
○ |
× |
|
アンロック、パスワード再発行 |
○ |
○ |
○ |
【登録手順】
(ⅰ)管理ツール左側メニューの[管理者管理]→[管理者作成]をクリック
(ⅱ)登録内容を入力・変更[次へ]をクリック
(ⅲ)入力内容を確認[登録]をクリック
【項目解説】
|
uid(必須) |
利用可能文字:半角英数字(大文字小文字を区別)、.(ピリオド)、-(ハイフン)、_(アンダースコア) 文字数:1-30文字 例外として、0しか含まない文字列は利用できません。 |
|
権限(必須) |
権限の種類を選択 |
|
メールアドレス |
アカウント作成結果をメール通知する場合は必須・最大255文字 |
|
氏名 |
最大255文字 |
|
社員番号 |
最大255文字 |
|
部署 |
最大255文字 |
|
電話 |
最大255文字 |
|
パターン |
パターンの初期値を指定 ↓通知例 ※10桁以上はアルファベット[A-Z]で、36ケタ以上は[a-z]で表現します。 |
|
追加フレーズ |
ワンタイムパスワードの後に付加する追加フレーズの初期値を指定 追加フレーズに使用できる文字種:半角英数字(大文字小文字を区別)と以下の記号です。 ※カンマとコロンは利用できません。 |
|
有効(必須) |
アカウントの有効/無効を選択 |
|
有効期限 |
アカウントの有効期限日 ※設定した日までアカウントは有効です。 |
|
備考 |
最大255文字 |
管理者ポリシー
全管理者アカウントに一律適用される管理者専用のポリシーを設定します。
【項目解説】
|
認証全般 |
|
|
認証方式 |
管理者ユーザはPassLogic認証固定です。 |
|
ロックアウトまでの連続失敗回数 |
連続で認証失敗した回数が設定値に達したユーザはロックされます。 ※設定値”0”はロックアウトされません。 |
|
ロックアウト解除までの秒数 |
指定した秒数でロックアウト状態が自動的に解除されます。 ※[自動ロック解除しない]をチェック状態にすると設定した秒数経過後も自動ロック解除を行いません。 |
|
認証可能な時間帯 |
指定時間帯のみ認証することができます。 ※開始時刻よりも終了時刻の方が早い場合は、0時をまたぐ設定になります。 |
|
アカウントロック通知メール |
パスワード連続失敗回数に到達し、アカウントがロックされた際にメールを送る機能です。(管理者による手動のロックは含めません) 送信先に送信しない、ロックされたユーザに登録されたメールアドレス、入力した特定のメールアドレスの3種類が選べます。 |
|
PassLogic認証 |
|
|
乱数表の有効時間 |
PassLogic乱数表の有効時間を設定します。 |
|
パターンの有効期限 ※1 |
パターンを定期的に変更させる場合に日数を設定します。 |
|
パターンの有効期限が設定されている場合に、特定期間の間に期限切れとなるユーザに対してメールを送信します。 |
|
|
乱数表の縦横サイズ |
管理者アカウントは”4×12”固定です。 |
|
ランダム発行時の長さ |
管理者アカウントは”6”文字固定です。 |
|
ランダム発行時の長さ |
管理者アカウントは”6”文字固定です。 |
※1:管理者アカウントはパターンの有効期限が切れた後も管理ツールにログインすることはできますが、ログイン後の画面上部に赤字で「[!]パターンの有効期限が切れています。」と表示され続けます。
管理者アカウントはこの項目一覧に記載されていないユーザポリシーの機能や設定については、利用できない、または適用されません。
ユーザ通知設定
「2.7 ポリシー設定」の「ユーザ通知設定」の同名の項目をご参照ください。
2.4 ユーザ管理
ユーザの管理方法は、「4 ユーザ管理ガイド」をご参照ください。
2.5 ドメイン管理
PassLogic上のユーザは全てドメインを適用して管理します。ドメイン管理を設定しない場合は、デフォルト値の”local”ドメインのユーザが作成されます。
ドメイン追加
【ドメイン名追加手順】
(ⅰ)管理ツール左メニューの[ドメイン管理]→[追加]をクリック
(ⅱ)任意のドメイン名を入力し[次へ]をクリック
(ⅲ)入力内容を確認し[登録]をクリック
※ドメイン名は半角英数字、ピリオド、ハイフンのみ使用でき、最大64文字までです。
※既に登録されているドメイン名と重複することはできません。
※デフォルトで”local”ドメインが用意されています。
2.6 基本設定
システム全体で共通に適用される基本の設定です。
全般設定、メールサーバ設定の2種類があります。
【基本設定変更手順】
(ⅰ)管理ツール左側メニューの[設定]→[基本設定]をクリック
(ⅱ)基本設定を編集し[次へ]をクリック
(ⅲ)入力内容を確認し[決定]をクリック
全般設定
【項目解説】
|
設定項目 |
設定内容 |
設定値 |
|
ドメイン選択表示 |
ユーザ名入力時に、ドメインを選択するプルダウンの表示有無を設定します。 |
デフォルト『表示』 |
|
ADパスワード欄表示 |
ADパスワードが保存されている場合に、パスワード入力欄をグレーアウトします。 ※PassLogic クラウド版では使用しない設定値です。 |
デフォルト『OFF』 |
|
パスワードリマインダーURL有効期限 |
パスワードリマインダーのワンタイムURLの有効期限を秒数で指定してください。 |
デフォルト『86400』 |
|
パスワードリマインダーのメールアドレスを大文字/小文字を区別しないで入力する |
パスワードリマインダー利用時に入力するメールアドレスに、大文字が含まれていても強制的に小文字に変換して扱います。 |
デフォルト『OFF』 |
|
LDAP認証連携ユーザ強制小文字 |
LDAP認証連携でログインをする際に、大文字のユーザIDを禁止する場合設定してください。 ※PassLogic クラウド版では使用しない設定値です。 |
デフォルト『行わない』 |
|
証明書管理者パスワード |
管理画面からクライアント証明書をダウンロードする際にパスワードを設定することができます。 |
デフォルト『未設定』 |
|
ログインプロテクト無効化 |
ログインプロテクトの無効化を実施している間は、PassLogicサーバはログインプロテクト解除の確認を実施しません。 |
デフォルト『OFF』 |
|
SSO時の新規タブ無効化 |
各種SSO時での遷移において、新しいタブを開きたくない場合に設定してください。 |
デフォルト『未設定』 |
|
シームレスサインオンの有効化 |
PassLogic for Windows DesktopでWindowsをインストールした端末にログオンしたユーザで、ブラウザの認証をスキップしたい場合にONにしてください。 【Windowsサービスのポートの最小値】Windows上で動作するサービスに対して、使用を許可する最小のポートを指定します。 PassLogic for Windows Desktopの設定値「MinPort」と同じ値を設定してください。 【Windowsサービスのポートの最大値】 【ブラウザがWindowsサービスを検索する際のタイムアウト値 (秒) 】 |
デフォルト『OFF』 ポートの最小値のデフォルト『10800』 ポートの最大値のデフォルト『10810』 タイムアウト値(秒)のデフォルト『3』 |
メールサーバ設定
【項目解説】
|
設定項目 |
設定内容 |
設定値 |
|
エンコーディング |
ISO-2022-JP / UTF-8の選択 |
デフォルト『ISO-2022-JP』 |
|
SMTPサーバ ※1 |
SMTPサーバのIPアドレスまたはホスト名 |
デフォルト『localhost』 |
|
SMTPサーバのポート |
SMTPサーバのポート |
デフォルト『ブランク』 |
|
認証ユーザID(SMTP-AUTH) |
SMTP-AUTHを利用する際のユーザID |
デフォルト『ブランク』 |
|
認証パスワード(SMTP-AUTH) |
SMTP-AUTHを利用する際のパスワード |
デフォルト『ブランク』 |
|
TLS/SSL |
TLSまたはSSLで接続する場合に選択 |
デフォルト『None』 |
【重要】
SMTPサーバに「localhost」を指定すると、Amazon SES(※1)を使用してメール送信できます。
ただしこの場合は、PassLogicから送信されるユーザ通知の送信元メールアドレスは、デフォルトの設定値”noreply@passlogiccloud.com”のように、ドメイン部分は”passlogiccloud.com”である必要があります。
お客様がご利用されているSMTPサーバをご指定(設定)し、メールの送信をされる場合には、この制約はありません。
2.7 ポリシー設定
認証方式やパスワードの下限桁数などのセキュリティポリシーのことをPassLogicでは「ポリシー」と呼びます。
ユーザに対して1つのポリシーを割り当てることができます。
(ポリシーは認証サーバ内で複数作成・管理でき、ユーザごとに異なるポリシーを割り当てることができます。)
アカウント開通直後は”Default Policy”のみ登録されています。
なお、”Default Policy”は追加するポリシーのテンプレート情報となります。
【ポリシー追加手順】
(ⅰ)管理ツール左側メニューの[設定]→[ポリシー設定]→[追加]をクリック
(ⅱ)ポリシー名(半角英数字、ハイフン、アンダースコア/先頭文字はアルファベットまたはアンダースコアのみ/30文字以内)を入力して[次へ]をクリック
(ⅲ)内容を確認し[登録]をクリック
(ⅳ)[戻る]リンクをクリックし、追加したポリシー名の右側[編集]リンクをクリック
(ⅴ)ポリシー設定を編集し[次へ]をクリック(”Default Policy”の内容が初期表示されます)
(ⅵ)入力内容を確認し[決定]をクリック
【項目解説】
|
認証全般 |
|||||||
|
認証方式 |
”PassLogic”、”PassClip”、”TOTP”のいずれかを選択します。 ・PassLogic:デバイスレス ※”Default Policy”はPassLogic認証のみ選択できます。 |
||||||
|
ロックアウトまでの連続失敗回数 |
連続で認証失敗した回数が設定値に達したユーザはロックされます。 ※設定値”0”はロックアウトされません。 |
||||||
|
ロックアウト解除までの秒数 |
指定した秒数でロックアウト状態が自動的に解除されます。 ※[自動ロック解除しない]をチェック状態にすると設定した秒数経過後も自動ロック解除を行いません。 |
||||||
|
認証可能な時間帯 |
指定時間帯のみ認証することができます。 ※開始時刻よりも終了時刻の方が早い場合は、0時をまたぐ設定になります。 |
||||||
|
端末固定 |
認証可能な端末(ブラウザ)を固定する場合はチェックしてください。 ・固定:初回発行時のCookie値を永続利用(デフォルト) ※1ユーザあたり最大5台まで登録できます。 |
||||||
|
PKI認証機能 |
クライアント証明書によるPKI認証機能を利用する場合はチェックしてください。 |
||||||
|
自動発行機能 |
クライアント証明書を『ユーザ作成時( ※1 )』『ユーザ初回ログイン時』のどちらかのタイミングで自動的に発行する機能です。 識別名フォーマット: 有効期限:自動発行されるクライアント証明書の有効期限 |
||||||
|
ADパスワード保存 |
将来機能拡張に向けた予約項目です。 ※PassLogic クラウド版では使用しない設定値です。 |
||||||
|
パラメータ設定機能の利用 |
ユーザによるパラメータ変更を許可する場合はチェックを入れ、パラメータ名を入力してください。 ※”https://[テナント名].passlogiccloud.com/[テナント名]/ui/”からログイン後に[設定]ボタンをクリックすることでユーザ自身のパラメータ変更が可能です。 |
||||||
|
前回ログイン日時表示 |
ユーザログイン後のアプリケーションリスト画面に、前回ログイン日時を表示させることができます。 |
||||||
|
アカウント有効期限表示 |
ユーザログイン後のアプリケーションリスト画面に、管理者が設定したアカウント有効期限を表示させることができます。 |
||||||
|
認証セッション継続機能 |
ユーザがログアウトせずにブラウザを閉じた場合でも、認証セッション継続時間内であれば再接続時にログインを省略する機能です。 |
||||||
|
アカウントロック通知メール |
パスワード連続失敗回数に到達し、アカウントがロックされた際にメールを送る機能です。(管理者による手動のロックは含めません) |
||||||
|
Windows Logonの使用 |
PassLogic for Windows Desktopモジュールを使用して、Windows端末にログオンする際は有効にしてください。 【認証方式】 [Hybrid] オフライン認証連続失敗上限(1~99)
|
||||||
|
PassLogic認証 |
|||||||
|
乱数表の有効時間 |
PassLogic乱数表の有効時間を設定します。 |
||||||
|
再設定時の制限 |
直近n回と同じパターンの設定を禁止します。 |
||||||
|
パターンの有効期限 |
パターンを定期的に変更させる場合に日数を設定します。 |
||||||
|
パターンの有効期限が設定されている場合に、特定期間の間に期限切れとなるユーザに対してメールを送信します。 |
|||||||
|
パスワード有効期限表示 |
ユーザログイン後のアプリケーションリスト画面に、パスワード(パターンと追加フレーズ)の有効期限を表示できます。 YYYY/MM/DD:パスワード有効期限を年月日表示します。 有効期限のないユーザには「無期限」を表示します。 |
||||||
|
初回パスワード変更を強制 |
初回ログイン時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。 |
||||||
|
パスワード変更機能の利用 |
ユーザログイン後のアプリケーションリスト画面に、パスワード変更ボタンを表示します。 |
||||||
|
パスワード変更時に現在のパスワードを確認する |
ユーザログイン後のアプリケーションリスト画面からパスワード変更する際に、現在のパスワード確認を要求するか否かを設定します。 |
||||||
|
乱数表の縦横サイズ |
PassLogic乱数表の縦横サイズを設定します。 最大値:縦4×横16マス |
||||||
|
ワンタイムパスワードの長さ |
ワンタイムパスワードの長さの範囲を指定します。 ※0以上64以下の範囲で最小/最大を設定してください。 |
||||||
|
ランダム発行時の長さ |
パターンをランダム生成するときの長さを指定します。 二筆書きで発行する |
||||||
|
追加フレーズの長さ |
追加フレーズ(固定パスワード)の長さの範囲を指定します。 ※0以上64以下の範囲で最小/最大を設定してください。 |
||||||
|
ランダム発行時の長さ |
ユーザ新規作成やパスワード再発行時に、追加フレーズ(固定パスワード)をランダム生成する場合の長さを指定します。 使用される文字列は数字の0、1、小文字のl(エル)、大文字のI(アイ)、O(オー)を除く半角英数字です。 |
||||||
|
パターン制約 |
安易なパターンの使用を制限します。 一筆書き禁止 全てのブロックから必ず1つ以上選択する 設定禁止パターン ※部分一致ではなく”完全一致”です。 |
||||||
|
パスワードリマインダーの利用を許可 |
ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。 ※パスワードリマインダー用のURLは、メール通知やログイン画面への記載等で別途ユーザに提示する必要があります。 |
||||||
|
Web Tokenの使用 |
Web Tokenを使用する際には有効にしてください。 また、パラメータの指定により、ユーザIDの入力を省き、直接乱数表を呼び出すことができます。 ※ポリシーの設定でPKI認証機能が有効な場合、Web Tokenの画面アクセスをクライアント証明書で制限可能です。 パスワード変更ボタンを表示する |
||||||
|
乱数表のガイドを表示 |
乱数表の縦横の位置を示すガイド文字(縦I~IV、横A~H)を表示するかどうかを設定します。 |
||||||
|
ログインプロテクト ※3 |
ログインプロテクトの利用には、別途パスロジ社への申し込みが必要になります。 ログインプロテクトAPIサーバのURL サービスID ※現在使用中のポリシーでログインプロテクトを有効にしてしまうと、そのポリシーを適用しているPassLogic認証ユーザがログインプロテクトによってログイン不可となってしまいます。一度、システムでのログインプロテクトを無効にして、準備を行う等の方法をご検討ください。 スロットの登録回数上限 回数 APIサーバのURL |
||||||
※1:隣接した位置とは、特定の位置を中心とした8方向(縦・横・斜め)です。本ガイド冒頭に紹介されているようなV字のパターンの使用を制限することができます。
※2:パターンと追加フレーズに対して同時に0を指定することはできません。また、管理者によるパスワード発行などの操作はポリシーで設定されている許容桁数などの制約を受けません。
※3:ログインプロテクトを有効にした際のPassClipのスロット名は「LoginProtect」固定です。
|
TOTP認証(ハードウェアトークン) |
|
|
時間ズレ補正ステップ1 |
ハードウェアトークン内部の時計がPassLogic認証サーバの時刻とずれた場合、このステップ数の範囲内であれば自動的に時刻ズレを補正します。 |
|
時間ズレ補正ステップ2 |
補正ステップ1の範囲外、かつ補正ステップ2の範囲内の場合は、ハードウェアトークンが生成するパスワードを2回入力することで時刻ズレを補正します。 |
|
TOTPトークンPINの長さ |
TOTPトークンの後ろに付加するPINの最小桁数を設定します。 |
|
PINコード変更時に現在のPINコードを確認する |
ユーザログイン後のアプリケーションリスト画面からPINコード変更する際に、現在のPINコード確認を要求するか否かを設定します。 |
|
PassClip 認証(ソフトウェアトークン) |
||
|
スロット名 |
PassClip Lに登録した際、表示されるスロットの名前を設定します。 |
|
|
表示形式 |
ワンタイムパスワードの表示形式を選択します。 「ベーシック表示」は横一列に並んだ数値で表示されます。
「ビンゴ型」は下記のように、縦横5列ずつに整列したマス内に数値で表示されます。
|
|
|
タイムステップ(秒) |
ワンタイムパスワードの有効時間を設定します。 ※PassLogic認証サーバは、現在のパスワードに加えて、1つ前のパスワードと1つ後のパスワードを許容します。 |
|
|
桁数 |
ワンタイムパスワードの桁数を設定します。 ※表示形式「ビンゴ型」をご利用の場合は、PassClipの仕様上、8桁での利用をお勧めします。 |
|
|
PassClipトークンPINの長さ |
PassClipパスワードの後ろに付加するPINの最小桁数を設定します。 |
|
|
PINコード変更時に現在のPINコードを確認する |
ユーザログイン後のアプリケーションリスト画面からPINコード変更する際に、現在のPINコード確認を要求するか否かを設定します。 |
|
|
スロットの登録回数上限 |
PassClip に登録できる回数を制限する場合、チェックを入れてください。 回数 APIサーバのURL 登録回数を制限する場合は、PassClip端末からアクセス可能なURL設定が必須です。 |
|
|
ログインプロテクト |
ログインプロテクトを使用する場合、チェックを入れてください。 ログインプロテクトAPIサーバのURL サービスID ※ログインプロテクトを使用したい場合は、事前に申請が必要となります。 |
|
ユーザ通知設定
利用者に送信するメールテンプレートの文面はポリシーごとに設定します。
【設定手順】
(ⅰ)管理ツール左側メニューの[設定]→[ポリシー設定]をクリック
(ⅱ)設定するポリシー名の右側[編集]リンクをクリック
(ⅲ)[ポリシー設定項目]下部の[ユーザ通知設定]欄を編集し[次へ]をクリック
(ⅳ)入力内容を確認し[決定]をクリック
PassLogicから送信されるユーザ通知の送信元、Cc、Bccのメールアドレスを指定できます。
|
送信元メールアドレス |
送信元メールアドレスを1つのみ指定できます。 |
|
Cc |
利用者以外の宛先を指定します。受信者全員に、宛先に含まれていることを明示できます。 ※カンマ区切りで複数指定できます。 |
|
Bcc |
利用者以外の宛先を指定します。受信者全員に、宛先に含まれていることを明示しません。 ※カンマ区切りで複数指定できます。 |
【重要】
[ユーザ通知設定]で”送信元メールアドレス”を変更してご使用する場合は、必ず[基本設定]の[メールサーバ設定]で、実際にお客様がご使用されている”SMTPサーバ”へ設定を変更する必要があります。
[メールサーバ設定]を変更せずに[ユーザ通知設定]でメールアドレスのみ変更されますと、通知メールが配信されませんのでご注意ください。
認証方式ごとに以下の通知テンプレートが用意されています。
|
① |
PassLogic認証用 |
PassLogic認証ユーザ登録後に送信するメールのテンプレートです。 ※アプリケーションリスト画面を省略するためのログインURLを案内したい場合は、「アプリケーションリストをスキップする方法」をご参照ください。 |
|
② |
PassClip認証用 |
PassClip認証ユーザ登録後に送信するメールのテンプレートです。 |
|
③ |
TOTP認証用 |
TOTP認証ユーザ登録後に送信するメールのテンプレートです。 |
|
④ |
PassLogic認証用 |
PassLogic認証ユーザのパスワード再発行時に送信するメールのテンプレートです。 |
|
⑤ |
PassLogic認証用 |
パスワードリマインダー機能から利用者に送信されるメールのテンプレートです。 |
|
⑥ |
PassClip認証用 |
PassClip端末を再アクティベートする利用者に管理者から送信するメールのテンプレートです。 |
|
⑦ |
TOTP認証用 |
交換用のハードウェアトークンとPINコードを利用者に送信するメールのテンプレートです。 |
|
⑧ |
PassLogic/PassClip/TOTP共通 |
端末固定機能を利用する際、2台目以降の端末をアクティベートするときに管理者から送信するメールのテンプレートです。 ※1台目の端末は初回認証成功時に自動登録されるため、2台目以降の端末固定に必要です。 |
|
⑨ |
PassLogic/PassClip/TOTP共通 |
クライアント証明書をダウンロードする際のダウンロードキーを案内するためのメールのテンプレートです。 |
|
⑩ |
PassLogic認証用 |
PassLogic認証ユーザのパスワード有効期限切れを事前案内する際に送信するメールのテンプレートです。 |
|
⑪ |
PassLogic/PassClip/TOTP共通 |
ユーザアカウントがロックされた際に自動で送信されるメールのテンプレートです。 |
※”①②③”は1つのメールテンプレートにまとめてあります。認証方式に合ったテンプレートをご利用ください。
※”④⑤⑩”はポリシー設定にて認証方式「PassLogic」を選択した場合に編集できます。
※”⑥”はポリシー設定にて認証方式「PassClip」を選択した場合に編集できます。
※”⑦”はポリシー設定にて認証方式「TOTP」を選択した場合に編集できます。
【置換タグ定義】
通知テンプレートに下記の置換タグを埋め込み、ユーザごとの情報をメール本文に含めることができます。
|
<%UNAME%> |
氏名 |
|
<%TENANT%> |
テナント名 |
|
<%UID%> |
PassLogicユーザID |
|
<%DOMAIN%> |
ドメイン名 |
|
<%PASSLOGICPATTERN%> |
PassLogic認証パターン |
|
<%SPASSWORD%> |
PassLogic認証ワンタイムパスワードの後ろに付加する追加フレーズ(固定パスワード) |
|
<%ENTRYKEY%> |
端末固定アクティベーション用キー |
|
<%DOWNLOADKEY%> |
クライアント証明書のダウンロードキー |
|
<%CERT_PASSWORD%> |
クライアント証明書のインポート用パスワード |
|
<%REMINDER_URLKEY> |
パスワードリマインダー利用時のパスワードリセットURLキー |
|
<%PASSCLIP_URL%> |
PassClip認証のPassClipアプリ アクティベート用URLキー |
|
<%PASSCLIP_PIN%> |
PassClip認証のPINコード |
|
<%EXPIRE_DATE%> |
パスワード有効期限 |
|
<%TOKEN_SERIAL%> |
ハードウェアトークンのシリアル番号 |
|
<%NEXT_TOKEN_SERIAL%> |
交換用ハードウェアトークンのシリアル番号 |
※置換用のタグはBody(本文)でのみ置換されます。Subject(件名)には使用できません。
2.8 アクセス制御
PassLogicと連携するサービスに対するアクセス制御方法に、「グループ」あるいは「IPグループ」を使用することができます。
|
グループ |
管理者が設定したグループ設定をもとに、ユーザがアクセス可能な連携先アプリケーションを指定する方法 |
|
IPグループ |
クライアントのIPアドレスをもとに、ユーザがアクセス可能な連携先アプリケーションを指定する方法 |
グループ設定
PassLogicと連携するサービス(ユーザが認証後に利用できるサービス)のアクセス可否をユーザグループごとに制御することができます。
ユーザグループは複数作成することができ、連携するサービス毎にアクセス許可するグループを複数指定できます。
各ユーザは、所属グループ情報登録用に5つの枠、グループ1~5を持ちます。グループ1~5に、グループ設定で登録したユーザグループを割り当てることで、1ユーザに複数のユーザグループを適用することができます。
1ユーザに6つ以上のユーザグループを割り当てる際は、1つの枠に複数のユーザグループを指定することで行います。
例えば、グループ設定に「group1,group2,group3」の登録がある場合、ユーザのグループ1に「'group1','group2','group3'」の3つの文字列を区切り文字で連結して登録することで、このユーザを「group1,group2,group3」に所属させることができます。
(グループ1にgroup1を、グループ2にgroup2、グループ3にgroup3を登録した場合と同じアクセス制御を行うことができます。)
このようにして、1つの枠に複数グループを登録することで、1ユーザに6つ以上のグループを割り当てることが可能です。
【グループの追加手順】
(ⅰ)管理ツール左側メニューの[設定]→[グループ設定]→[追加]をクリック
(ⅱ)グループ名(半角英数字、ハイフン、アンダースコア/20文字以内)を入力して[次へ]をクリック
(ⅲ)内容を確認し[登録]をクリック
※登録したグループをユーザに設定する方法は「4.1 ユーザ新規作成」を参照してください。
※登録したグループを連携サービスに設定する方法は「RADIUS SSO設定」もしくは「SAML設定」を参照し、各連携サービスの「アクセスグループ」に登録したグループを設定してください。
【グループの削除手順】
(ⅰ)グループ一覧画面で、削除したいグループ名と同じ行の「削除」をクリック
(ⅱ)確認ダイアログで[OK]をクリック
※所属しているユーザがいる、または連携サービスで利用しているグループは削除することができません。
【所属ユーザでユーザ検索】
「グループ名」リンクをクリックすると、そのグループに属するユーザ一覧が表示されます。
IPグループ設定
PassLogicはSAML連携において、ユーザのアクセス元IPアドレスでアクセス制限をかけることができます。
IPアドレスのグループを作成し、SAML連携設定時にIPアクセスグループを選択することで、IPグループ内からアクセスしてきたユーザのみをアクセス許可することができます。
IPグループはCIDR形式で表記され、単体IPから範囲指定まで設定することができます。またIPグループは複数管理することができ、各サービスには最大10グループ適応することができます。
【IPグループの追加手順】
(ⅰ)管理ツール左側メニューの[設定]→[IPグループ設定]→[追加]をクリック
(ⅱ)IPグループ名(半角英数字、ハイフン、アンダースコア/20文字以内)とCIDR形式のIPアドレス範囲を入力して[次へ]をクリック
(ⅲ)内容を確認し[登録]をクリック
※登録したIPグループを連携サービスに設定する方法は、「SAML設定」のページを参照し、各連携サービス「IPアクセスグループ」に登録したIPグループを設定してください。
【IPグループの削除手順】
(ⅰ)IPグループ一覧画面で、削除したいIPグループ名と同じ行の[削除]をクリック
(ⅱ)確認ダイアログで[OK]をクリック
※連携サービスで利用しているIPグループは削除することができません。
【IPアドレス範囲の確認・編集】
IPグループ名 リンクをクリックすると、そのIPグループの内容が表示されます。
IPアドレス範囲を変更して[次へ]をクリックし、変更内容を確認後[登録]をクリックすることで、IPグループを編集することができます。
2.9 トークン設定
ハードウェアトークンを使用する場合は、ハードウェアトークン情報(シリアル番号やシードなど)をPassLogic認証サーバに登録した後、ユーザIDに紐づけたうえでハードウェアトークンを配布します。
本項ではハードウェアトークンをユーザへ配布できる状態にするための説明をします。
【1.ハードウェアトークンをPassLogicへ追加】
(ⅰ)管理ツール左側メニューの[設定]→[トークン設定]→[追加]をクリック
【項目解説】
|
個別登録 |
シリアル番号:半角英数字、以下記号、半角スペースで1-32文字(入力必須) |
|
CSV一括登録 |
CSVフォーマット:シリアル番号,シード,タイムステップ,桁数,交換目安 ※CSVフォーマット複数行からなるテキストデータです。 |
【2.ハードウェアトークンの一覧・検索】
(ⅰ) 管理ツール左側メニューの[設定]→[トークン設定]をクリック
上記へアクセスすると、デフォルトで50件の登録済みトークンが一覧で表示されます。
検索することでトークンを絞り込むことができます。検索時のオプションは以下の3通りです。
|
シリアル番号検索 |
シリアル番号を入力すると、全文一致で検索。 |
|
ユーザ検索 |
ユーザIDとドメインを入力して、全文一致検索。 |
|
未使用検索 |
ユーザに紐付けてないトークンを検索。 |
【3.認証ポリシーの設定】
(ⅰ)管理ツール左側メニューの[設定]→[ポリシー設定]から任意のポリシー(Default Policy以外)をクリック
ハードウェアトークンを使用する場合は、認証方式の項目でTOTPを選択してください。
該当ポリシーが設定されたユーザの認証をハードウェアトークン(TOTP)認証にすることができます。
(ⅱ)ユーザ通知設定 > 新規ユーザ送信メール
ハードウェアトークンの利用に沿った通知メッセージに変更します。
【4.ユーザの設定】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[新規作成]
(または一覧から該当ユーザの[編集]をクリック)
(ⅱ)TOTP認証方式が設定されたポリシーを選択
※TOTPの際のユーザ設定項目は「4.1 ユーザ新規作成」をご参照ください。
2.10 PKI設定
PassLogic認証サーバ単体でプライベート認証局を提供します。
PKI認証機能が有効なポリシーのユーザに適用されます。
PKI設定状況
ルート証明書関係の設定(ルート証明書発行、更新、リセット、ダウンロード)とクライアント証明書の1ユーザあたりの発行件数と、ダウンロード回数制限を設定します。
【ルート証明書関係の設定】
(ⅰ)ルート証明書が未設定の場合、ルート証明書設定ページでインポート、もしくはパラメータ( ※1 )を入力の上発行することができます。
(ⅱ)設定済の場合は、ルート証明書設定ページで発行した証明書・秘密鍵のダウンロード、有効期限の更新、ルート証明書・発行済みクライアント証明書の設定のリセットができます。
※1パラメータのフォーマット
|
識別名 |
64文字以内の半角英数字、半角スペース、以下記号。 |
|
国/地域コード |
2文字英字の国コード(例:JP) |
|
都道府県 |
128文字以内の半角英数字と半角スペース、以下記号。 |
|
市区町村 |
128文字以内の半角英数字と半角スペース、以下記号。 |
|
組織名 |
64文字以内の半角英数字と半角スペース、以下記号。 |
|
所属名 |
64文字以内の半角英数字と半角スペース、以下記号。 |
|
メールアドレス |
メールアドレス形式 |
|
有効期限 |
YYYY/MM/DDフォーマット |
※クライアント証明書のパラメータも同様フォーマット。
【1ユーザあたりの発行件数制限】
1ユーザに対して、クライアント証明書を発行する件数の上限を設定します。
(0以上99以下の範囲)
”0”で上限なしとなります。
【ダウンロード回数制限】
ユーザがクライアント証明書をダウンロードする回数の上限を設定します。
(0以上99以下の範囲)
”0”で上限なしとなります。
※管理メニューからのダウンロード回数は含めません。
クライアント証明書発行
ユーザに対してクライアント証明書を発行します。
ユーザに紐付かず共有可能なクライアント証明書と、ユーザに紐付くクライアント証明書の2種類を発行できます。
※ルート証明書が未設定の場合は、先にルート証明書の設定を実施してください。
【共有証明書発行】
共有証明書発行ボタンを押すと、ユーザに紐付かず共有可能なクライアント証明書を発行できます。
共有利用のクライアント証明書は、ユーザIDとの紐付きをチェックせずにPKI認証できるため、複数名が共有する貸出端末などの利用に適しています。
デフォルト設定ではクライアント証明書インポート用のパスワードは設定されません。
クライアント証明書のインポート用パスワードにつきましては、後述の「管理画面からダウンロードしたクライアント証明書のインポートパスワード」をご参照ください。
※”uid/domain”は”common/common”という疑似名に設定されます。
【一括発行】
ユーザ一覧のチェックボックスにチェックを入れて一括発行ボタンを押すと、チェックされたユーザに一括でクライアント証明書が発行されます。
識別名フォーマット:
・uid_domain:uidとdomainの間に_(アンダースコア)を挟んだ表記。
・uid_domain_random:上記表記の末尾に_(アンダースコア)とランダム8文字(a-z、A-Z、1-9)を付加表記。
メール通知:
チェックを入れた場合、ユーザにメールアドレスが登録されていれば、クライアント証明書発行後に自動的にクライアント証明書の発行メールを送信します。
発行完了後、『通知書をメール』『通知書をプリントアウト』をクリックすることで、クライアント証明書の発行メールの送信や印刷画面の表示がされます。
【発行リンク】
ユーザ一覧の右端にある発行リンクをクリックすることで、ユーザに対してクライアント証明書を発行することができます。
発行完了後、『通知書をメール』『通知書をプリントアウト』をクリックすることで、クライアント証明書の発行メールの送信や印刷画面の表示がされます。
また、『証明書のダウンロード』をクリックすることで、発行したクライアント証明書を「PKCS#12」フォーマットでダウンロードします。
※ダウンロードした証明書には、インポート用のパスワードは設定されておりません。
※パスワードを設定する場合は[設定]→[基本設定]→[全般設定] の「証明書管理者パスワード」を設定してください。
クライアント証明書管理
発行したクライアント証明書の管理を行います。
『検索』、『失効』、『削除』、『通知書をメール』、『通知書をプリントアウト』、『証明書のダウンロード』と、証明書の詳細の確認を行います。
また、証明書のチェックボックスにチェックを入れて『一括失効』、『一括削除』、『一括ダウンロード』をすることも可能です。
【検索】
「識別名」または「ユーザID」を条件にクライアント証明書を検索します。
【失効/一括失効】
クライアント証明書を失効すると、失効フラグが証明書DBに付与され、クライアントが証明書を提出してもPKI認証が通らなくなります。
※一度失効した証明書は使用可能に戻せません。
【削除/一括削除】
クライアント証明書を削除すると、証明書DBからクライアント証明書を削除します。
クライアントが証明書を提出してもPKI認証が通らなくなります。
【証明書のダウンロード/一括ダウンロード】
クライアント証明書をダウンロードします。
一括ダウンロードの場合は、証明書ファイルをまとめたzipファイルをダウンロードできます。
ダウンロードした証明書には、インポート用のパスワードは設定されておりません。
※パスワードを設定する場合は[設定]→[基本設定]→[全般設定]の「証明書管理者パスワード」を設定してください。
【有効期限】
クライアント証明書一覧の有効期限は、期限切れ1ヵ月前になると黄色、期限切れになると赤色に表示されます。
管理画面からダウンロードしたクライアント証明書のインポートパスワード
【共有証明書発行】および【証明書のダウンロード/一括ダウンロード】
管理画面からクライアント証明書をダウンロードした場合、デフォルト設定ではクライアント証明書インポート用のパスワードは設定されません。
この場合、クライアント証明書を端末に登録する際は、インポート用のパスワードは未入力で登録します。
ただし、インポート用のパスワードが未設定の場合、iOS等の一部端末で、クライアント証明書の登録が出来ない場合があります。
ご利用の端末をご確認の上、必要に応じてインポート用のパスワードを設定してください。
インポート用パスワードの設定方法は「2.6 基本設定」の「全般設定」をご参照ください。
ユーザによるクライアント証明書の取得
発行したクライアント証明書は、管理画面にてダウンロードする以外にユーザ側でダウンロードすることができます。
ユーザ側でダウンロードする方法として『ユーザ用のダウンロード画面』にアクセスしてダウンロードする方法と、クライアント証明書の自動発行機能でユーザ初回ログイン時に発行する『自動発行画面』からダウンロードする方法があります。
【ユーザ用ダウンロード画面】
クライアント証明書の発行メールや、プリントアウト用紙にダウンロード画面にアクセスするためのURLが表示されます。そのURLにアクセスし、ユーザログイン画面と同様にログインをすると、ダウンロード画面に遷移します。
ユーザはダウンロード画面でインポート用のパスワードを入力することで、証明書をダウンロードできます。
【自動発行画面】
ポリシー設定でクライアント証明書の自動発行機能ONかつ、発行タイミングがユーザ初回ログイン時の場合、ユーザが初回ログイン(もしくはクライアント証明書のダウンロードが完了していない場合)後に自動発行画面に遷移します。
ユーザは自動発行画面でクライアント証明書を発行/ダウンロードすることができます。
※ユーザが証明書をダウンロードした場合、その証明書にはインポート用のパスワードが設定されています。
※インポート用パスワードは、クライアント証明書の発行メールやプリントアウト用紙に記載されています。
クライアント証明書の登録方法
ダウンロードしたクライアント証明書を端末に登録する方法は、下記のWebページに掲載しています。
ユーザにお知らせください。
https://passlogic.jp/register_cert/
クライアント証明書の削除方法
クライアント証明書を端末から削除する方法は、下記のWebページに掲載しています。
ユーザにお知らせください。
https://passlogic.jp/delete_cert/
2.11 その他
管理者用(admin)パスワードを忘れた場合
ログイン可能なadmin権限の管理者に、パスワード再発行を依頼してください。
全てのadmin権限管理者がパスワードを忘れた場合は、パスロジにてテナント管理者として登録されたアカウントに対して再発行を行いますので、その旨申請をお願いします。
パスワードリマインダー
ユーザがPassLogic認証のパスワード(パターン/追加フレーズ)を忘れてしまった場合にユーザ自身でパスワードの再発行ができる機能です。
ポリシー設定でパスワードリマインダーの利用を許可されたポリシーに属するユーザだけが利用できます。
【ユーザ利用手順】
(ⅰ)” https://[テナント名].passlogiccloud.com/[テナント名]/ui/reminder.php ”にアクセス
(ⅱ)ユーザ名(必要な場合はドメイン名をプルダウンから指定、プルダウン非表示の場合は”ユーザ名@ドメイン名”の形式で入力)と『ユーザ情報に登録されているメールアドレス』を入力し[次へ]をクリック
(ⅲ)ユーザ名とメールアドレスの組み合わせが正しい場合、対象メールアドレス宛にパスワード再発行のURLが記載されたメールが送信
(ⅳ)メールに記載されたURLにアクセスすると、新しいパスワードが再発行され、対象メールアドレス宛に新しいパスワードが記載された通知メールが送信
※パスワード再発行のURLは1回限り有効です。また、有効期間はURLが発行されてから24時間(設定変更は「2.6 基本設定」を参照してください)です。
※有効期間を過ぎた場合は新しいパスワードは再発行されません。
※パスワード再発行のURLは最新のものをご利用ください(同一ユーザで「ⅱ」の操作だけを複数回実行した場合は、最後に送信されたパスワード再発行のURLだけが有効です)。
※再発行されるパスワードは[設定]→[ポリシー設定]にて、ランダム発行時の長さ(ワンタイムパスワード)と、ランダム発行時の長さ(追加フレーズ)に設定されている長さのランダムなパスワードです。
※パスワードリマインダー利用後、対象ユーザのロック状態は強制解除されます。
3 連携設定ガイド
PassLogic クラウド版には大きく分けて2つの連携方式が用意されています。
|
対応プロトコル |
管理機能名称 |
概要 |
|
|
RADIUS |
RADIUS |
PassLogicがRADIUSサーバ機能を提供します。 |
|
|
SSO方式 |
フォーム認証代行 |
||
|
SAML2.0 |
SAML |
SAML2.0のIdP機能を提供します。 |
|
|
SSO方式 |
SP-initiated、IdP-initiated |
||
3.1 RADIUS(SSL-VPN)
PassLogic認証サーバがRADIUSサーバ機能を提供します。
SSL-VPN装置などRADIUSプロトコルに対応した機器との認証連携が可能です。
RADIUSクライアントの開通設定はパスロジが承ります。
「PassLogic クラウド版 利用申込書」または「PassLogic クラウド版 変更申込書」より申請をお願いします。
ご申告いただいたRADIUSクライアントのIPアドレスからのみRADIUS連携認証がご利用いただけます。
RADIUS認証サーバの接続先情報は、管理ツールのトップページに記載しております。
|
RADIUS認証サーバ#1 |
管理ツールトップページの |
|
RADIUS認証サーバ#2 |
管理ツールトップページの |
あらかじめ、RADIUSクライアント側では ”1812/udp” で疎通できるよう設定ください。
認証方式は、PAP、CHAP、MSCHAPv1、MSCHAPv2に対応しています。
連携製品のログイン画面で認証
RADIUSを用いた連携では、VPN装置など連携製品が持つ標準のログイン画面(VPNクライアントソフトやWebのログイン画面)に直接ワンタイムパスワードを入力することでログインすることができます。
|
認証方式 |
利用方法 |
|
Web Token |
VPNなどのログイン画面とは別に、ブラウザで乱数表を取得します。 ※ポリシーの設定で、Web Tokenの利用を有効にしてください。 |
|
乱数表の取得方法は以下の2つの方法があります。 方法1:以下のURLにアクセスし、ユーザIDを入力して次をクリックする 方法2:以下のURLに直接アクセスする(パラメータ送信方式:POST/GET) ※Web Tokenが有効である場合、PassLogicのアプリケーションリスト画面にWeb Tokenへのリンクが表示されます。 |
|
|
ソフトウェアトークン |
PassClipの認証方式が選択されたポリシーのユーザは、ソフトウェアトークンで生成した正解をVPNのログイン画面に入力しログインできます。 ※PassClipの利用に関する注意点は「6.1 PassClip利用時の注意点」をご参照ください。 |
|
ハードウェアトークン |
TOTPの認証方式が選択されたポリシーのユーザは、ハードウェアトークンで生成した正解をVPNのログイン画面に入力しログインできます。 |
※VPNクライアントなどのログイン画面に入力するユーザ名は「uid@tenant」のように”@tenant”を付加してください。
(”local”以外のドメインを使用する場合は「uid@tenant:domain」形式で入力してください。)
※SSL-VPN機器等、RADIUSクライアントがPassLogicにRADIUS認証リクエストをする際のユーザーIDは「uid@tenant」または「tenant\uid」の形式で問い合わせるようにしてください。
(”local”以外のドメインを使用する場合は「uid@tenant:domain」形式で問い合わせるようにしてください。)
SSO設定
RADIUSで連携する機器(SSL-VPN機器など)がWebのフォーム認証に対応している場合、PassLogicのUIから連携機器に対して自動フォーム認証によるSSO(シングルサインオン)ができます。
以下、RADIUSで連携している場合のSSO設定の説明です。
【設定手順】
(ⅰ)管理ツール左側メニューの[RADIUS SSO設定]→[追加]をクリック
(ⅱ)各項目 を入力し[次へ]をクリック
(ⅲ)入力内容を確認し[決定]をクリック
【項目解説】
|
No. |
ユーザログイン後のアプリケーションリスト画面での表示順(昇順)を半角数値で入力してください。 |
|
アプリケーション名称 |
ユーザログイン後のアプリケーションリスト画面に表示されます。 |
|
認証の送信先URL( ※1 ) |
ログイン情報を送信するURLを指定してください。 |
|
スマートフォン用認証の送信先URL( ※1 ) |
端末とスマートフォンで認証の送信先URLが異なる場合に、スマートフォン(ios/Android)でアクセスする際の、ログイン情報送信先URLを指定してください。 ※設定しない場合は、スマートフォンでアクセスしても『認証の送信先URL』に送信します。 |
|
ログインIDのname属性 |
RADIUS連携機器へのログインに使用するログインID(ユーザID)のname属性の名称を入力してください。(例:userid) ※属性名に対応する属性値は、PassLogicのユーザIDを下記「ログインIDのvalue属性」に指定するフォーマットに変換した値です。 |
|
ログインIDのvalue属性 |
RADIUS連携機器へのログインに使用するログインID(ユーザ)の形式を ※「PassLogic Domain」とはドメイン管理画面の「ドメイン名」を示します。 |
|
テナント追加 |
ログインIDにテナント名を追加します。 ※ログインIDのvalue属性を『PassLogic Domain』形式にしていた場合、SSO先に送られるログインIDは「user@domain」となりますが、テナント追加した場合は「user@tenant:domain」となり、PassLogic側でテナント名を判断できるようになります。 |
|
パスワードのname属性 |
RADIUS連携機器へのログインに使用するパスワードのname属性の名称を入力してください。(例:Password) ※属性名に対応する属性値は、PassLogic RADIUSサーバが認証する際のワンタイムパスワードです。このときのワンタイムパスワードはPassLogic認証サーバが自動生成します。 |
|
ADパスワードの送信 |
今後の機能拡張用予約項目です。通常は使用しません。 |
|
アクセスグループ |
アクセスを許可するグループを選択します。 ※未指定の場合は全ユーザが利用できます。 |
|
Webアプリケーションとの通信方式 |
GETまたはPOSTを選択します。 |
|
ログインページのURL |
RADIUS連携機器へログイン情報を送信する前に、ログインページに含まれる特定の情報(エンティティ)を取得する必要がある場合のみログインページのURLを設定します。 ※取得したエンティティはログイン情報とともに認証の送信先URLへ送信されます。 ログインページから取得する値の名前( ※2 ) |
|
その他の追加パラメータ |
RADIUS連携機器へログイン情報を送信する際に、全ユーザで同一の固定パラメータを送信する場合は、属性名を「付加するパラメータ」欄、対応する値を「パラメータの値」に設定してください。 |
|
ユーザごとのパラメータ |
RADIUS連携機器へログイン情報を送信する際に、ユーザごとに送信したいパラメータのname属性を指定します。 ※ユーザ情報の”sslvpn param1-10”が対応する値となります。 |
あらかじめ、RADIUSクライアント側では ”443/tcp” と ”1812/udp” で疎通できるよう設定ください。
※1:http、https以外のhandler(カスタムURLスキーム)も登録できます(例:anyconnect://)。
その際には以下の文字列が置換文字列として使用できます。
|
<%authid%> </%authid%> |
ログインID(ログインIDのvalue属性に指定した形式) |
|
<%password%> </%password%> |
認証パスワード |
|
<%param1%> </%param1%> |
ユーザごとのパラメータ sslvpn param1 |
|
<%param2%> </%param2%> |
ユーザごとのパラメータ sslvpn param2 |
|
<%param3%> </%param3%> |
ユーザごとのパラメータ sslvpn param3 |
|
<%param4%> </%param4%> |
ユーザごとのパラメータ sslvpn param4 |
|
<%param5%> </%param5%> |
ユーザごとのパラメータ sslvpn param5 |
|
<%param6%> </%param6%> |
ユーザごとのパラメータ sslvpn param6 |
|
<%param7%> </%param7%> |
ユーザごとのパラメータ sslvpn param7 |
|
<%param8%> </%param8%> |
ユーザごとのパラメータ sslvpn param8 |
|
<%param9> </%param9> |
ユーザごとのパラメータ sslvpn param9 |
|
<%param10> </%param10> |
ユーザごとのパラメータ sslvpn param10 |
|
<%userpass1> </%userpass1> |
ユーザごとのパラメータ password1 |
|
<%userpass2> </%userpass2> |
ユーザごとのパラメータ password2 |
|
<%userpass3> </%userpass3> |
ユーザごとのパラメータ password3 |
|
<%userpass4> </%userpass4> |
ユーザごとのパラメータ password4 |
|
<%userpass5> </%userpass5> |
ユーザごとのパラメータ password5 |
※2:シングルサインオンのために送信すべき値の中には、毎回変わる値も存在します。
|
【RADIUS連携機器 ログイン画面 HTMLソース例】 <form method="post" name="vpnform" action="login.cgi"> ログイン名: <input type="text" name="user_id"><br /> パスワード: <input type="password" name="password"><br /> <input type="hidden" name=" SESSION_TOKEN " value=” [毎回変わる値] ”> <br /> <input type="submit" name="submit" value="ログイン"> <input type="hidden" name="mode" value="login"> </form> |
※上記ログインページの仕様の場合「ログインページから取得する値の名前」に「SESSION_TOKEN」を指定することで、PassLogic認証サーバが動的に変わる値をHTMLソースから取得し”名前=値”のペアをRADIUS連携機器へログイン情報とともに送信します。
ただし、ログインページから取得する変動値が、セッションクッキーと紐づいている場合、正しい値を送信できない場合があります。
RADIUS認証動作(参考)
radclientによる認証動作の例です。
実際の動作はご利用のアプリケーションまたは機器により異なります。
(注意1) ***.***.***.*** の部分は、RADIUS認証サーバ#1 または RADIUS認証サーバ#2をご指定ください。
(注意2) RADIUS認証サーバ#1および RADIUS認証サーバ#2のIPアドレスは、管理ツールのトップページに記載しております。
(注意3) RADIUS認証サーバへのアクセスには、事前にRADIUSクライアントのIPアドレスのご申告が必要です。
■PAP
|
# echo "User-Name=test@tenant, User-Password=8283" | radclient -x ***.***.***.*** auth secret
Sending Access-Request of id 44 to ***.***.***.*** port 1812 User-Name = "test@tenant" User-Password = "8283" rad_recv: Access-Accept packet from host ***.***.***.***:1812, id=44, length=20 |
■CHAP
|
# echo "User-Name=test@tenant, CHAP-Password=0772" | radclient -x ***.***.***.*** auth secret
Sending Access-Request of id 42 to ***.***.***.*** port 1812 User-Name = "test@tenant" CHAP-Password = 0x2a49ec0d72c3bbc6dbe850ef2edda47f32 rad_recv: Access-Accept packet from host ***.***.***.***:1812, id=42, length=20 |
3.2 SAML
PassLogicがSAML(Security Assertion Markup Language)のIdPとなり、SAML SPとして認証連携に対応しているサービスと連携することができます。
SP登録
PassLogic管理ツールにSP(Service Provider)定義を登録します。
※SP(Service Provider)側の設定方法は各サービスプロバイダのマニュアルを参照してください。
【設定手順】
(ⅰ)管理ツール左側メニューの[SAML]→[SP登録]→[追加]をクリック
(ⅱ)各項目 を入力し[次へ]をクリック
(ⅲ)入力内容を確認し[決定]をクリック
【項目解説】
|
No. |
ユーザログイン後のアプリケーションリスト画面での表示順(昇順)を半角数値で入力してください。 |
|
プロバイダ |
ユーザログイン後のアプリケーションリスト画面に表示されます。 ※記号や半角スペースを含めないでください。 |
|
SAMLタイプ |
”SP initiated SSO”または”IdP initiated SSO”のいずれかを選択してください。 |
|
NameIDフォーマット |
サービスプロバイダに送信するSAML Responseのユーザ名に使われるNameIDのフォーマットを選択します。 |
|
UIDタイプ |
SPに送信するSAML Responseのユーザ名に使用されるPassLogicのユーザ属性を選択します。 |
|
ドメイン |
SPに送信するSAML Responseのユーザ名に含まれるドメイン名を入力してください。 |
|
RelayState(SSO URL) |
SAML認証後の遷移先URLを指定してください。 |
|
RelayState(Value) |
SAML認証後の遷移先を指定するための値。 |
|
Recipient |
SPのACS URL・SAML responseの送信先。 |
|
Destination |
SPのACS URL・SAML response内Destination属性の値。 |
|
Issuer |
IdP entityid・SAML response内Issuer属性の値。 |
|
Audience |
SAML response内Audience属性の値。 |
|
署名アルゴリズム |
SAML Responseの署名に使用する署名アルゴリズムを指定します。 |
|
PassLogic FQDN |
ユーザがPassLogicにアクセスするときのURLの一部( https://[テナント名].passlogiccloud.com )を入力してください。 ※IdP metadataダウンロード機能を利用する場合は必須です。 |
|
Attribute mapping1-5 ※1 |
SAML ResponseとしてSPに受け渡す情報をキーと値のセットで登録してください。 |
|
アクセスグループ |
アクセスを許可するグループを選択します。 ※未指定の場合は全ユーザが利用できます。 |
|
IPアクセスグループ |
アクセスを許可するIPグループを選択します。 ※未指定の場合は全ユーザが利用できます。 |
※「SP initiated SSO」の場合、”SAML Request”は下記のURLに到達するようにSPを設定してください。
https://[テナント名].passlogiccloud.com/[テナント名]/ui/idp.php?target=[プロバイダ]
※多重エスケープを防ぐために、PassLogic側でXMLマークアップ違反の文字を変換することはありません。
必要に応じて適宜変換したものをご入力ください。(例:& → &)
|
※1:Attribute mapping 1-5の項目解説 |
|||||||||||
|
Attribute mapping1-5 |
SAML Response内Attribute要素Name属性の値。 |
||||||||||
|
Attribute mapping1-5 |
SAML Response内AttributeValueの要素内容。
|
||||||||||
|
複数値 |
SAML Response内Attribute要素に複数のAttributeValue要素を設定したい場合にチェックボックスをONにします。 【指定可能な区切り文字】 |
||||||||||
SPメタデータアップロード
SP登録の設定画面下部にある「SPメタデータアップロード」を使用することで、プロバイダのSPメタデータの一部を設定値に反映することができます。
保存前の設定内容は破棄されるためご注意ください。
(新規作成の場合、未設定状態。編集の場合、変更前の状態に戻ります)
【設定手順】
(ⅰ)管理ツール左側メニューの[SAML]→[SP登録]→[追加をクリック
(ⅱ)画面下部[SPメタデータアップロード]の入力欄をクリック
(ⅲ)SPメタデータファイルを選択し、[次へ]をクリック
|
NameIDフォーマット |
SPメタデータ:NameIDFormat |
|
ドメイン |
SPメタデータ:entityID |
|
RelayState(SSO URL) |
SPメタデータ:entityID |
|
Recipient |
SPメタデータ:Location |
|
Destination |
SPメタデータ:Location |
|
Audience |
SPメタデータ:entityID |
証明書
PassLogic管理ツールにSAML連携で利用する証明書を登録します。
※登録する公開鍵と秘密鍵の証明書セットはご用意ください。
【公開鍵証明書の登録手順】
(ⅰ)管理ツール左側メニューの[SAML]→[証明書管理]をクリック
(ⅱ)「証明書」の「アップロード」右側の[ファイルを選択]をクリックして公開鍵証明書ファイルを選択
(ⅲ)ファイル名を確認し、右の[登録]をクリック
※公開鍵証明書はSP側にも同じものを登録してください。
※正しいフォーマットの公開鍵証明書が登録されると、発行者情報と有効期限が表示されます。
※「証明書ダウンロード」をクリックすると、登録した公開鍵証明書ファイルがダウンロードできます。
【秘密鍵の登録手順】
(ⅰ)管理ツール左側メニューの[SAML]→[証明書管理]をクリック
(ⅱ)「秘密鍵」の「アップロード」右側の[ファイルを選択]をクリックして秘密鍵ファイルを選択
(ⅲ)ファイル名を確認し、右の[登録]をクリック
3.3 連携設定に付随する設定
アプリケーションリストをスキップする方法
PasslogicのログインURLに以下のクエリストリングを指定することで、認証完了後にアプリケーションリスト画面をスキップして自動的にSSL-VPN、クラウドサービスへ連携することができます。
パスワード有効期限切れなどの理由でパスワード変更が必要なユーザは、認証完了後にパスワード変更画面に遷移し、パスワード変更完了後はアプリケーションリスト画面をスキップして自動的に対象のアプリケーションへ連携します。
※任意のタイミングでパスワード変更が必要な場合は”https://[テナント名].passlocicloud.com/[テナント名]/ui/”からログインの上でパスワード変更操作が必要です。
※ログイン後、セッションタイムアウトすると”https://[テナント名].passclogiccloud.com/[テナント名]/ui/?mode=logout”に遷移します。
タイムアウト画面からログイン再開する場合は、アプリケーションメニューをスキップしないURL(https://[テナント名].passlogiccloud.com/[テナント名]/ui/)からの操作となります。
RADIUS連携
|
https://[テナント名].passlogiccloud.com/[テナント名]/ui/?sso-vpn=[アプリケーションの名称] |
SAML連携(IdP initiatedの場合)
|
https://[テナント名].passlogiccloud.com/[テナント名]/ui/?sso-saml=[サービスプロバイダの名称] |
※SP initiatedで連携する場合は、直接サービス側のSAMLログインURLにアクセスしてください。
※IEをご利用される場合、[アプリケーションの名称/サービスプロバイダの名称]部分をURLエンコードしたパラメータとして入力する必要があります。
4 ユーザ管理ガイド
4.1 ユーザ新規作成
PassLogic管理ツールからユーザアカウントを手動登録する手順です。
【設定手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[新規作成]をクリック
(ⅱ)各項目を入力し[次へ]をクリック
(ⅲ)入力内容を確認し[登録]をクリック
【項目解説】
|
uid(必須) |
ユーザIDを入力します。 (例)”0”や”000”など。 |
|
ドメイン名 |
PassLogic内で扱うドメイン名を選択します。 |
|
メールアドレス |
最大255文字 ※新規ユーザ通知やアカウントロックアウトのアラートなどをメールで送信する場合は必須。 |
|
氏名 |
最大255文字 |
|
社員番号 |
最大255文字 |
|
部署 |
最大255文字 |
|
電話 |
最大255文字 |
|
ポリシー |
ポリシーを選択します。 |
|
グループ |
グループ名を入力(最大4096文字)します。 ※指定したグループに許可されている連携機能を利用できます。ユーザグループとアクセス制御の詳細は「2.8 アクセス制御」のグループ設定をご参照ください。 |
|
パターン |
パターンの初期値を指定します。 ※10桁以上はアルファベット[A-Z]で、36桁以上は[a-z]で表現します。 |
|
追加フレーズ |
ワンタイムパスワードの後に付加する追加フレーズの初期値を指定します。 ※使用できる文字は、半角英数字(大文字小文字を区別)と以下記号です。 |
|
有効(必須) |
ユーザアカウントの有効/無効を選択します。 ※ロックアウトでは、時間経過による自動解除設定をしている場合には指定時間経過後に自動解除されるため、管理者任意にアカウントの利用停止をさせたい場合にご利用ください。 |
|
アカウント有効期限 |
アカウントの有効期限日を設定します。 |
|
備考 |
最大255文字 |
|
attribute |
RADIUS連携の際にPassLogicからRADIUSクライアントに対して、ユーザ毎に異なるアトリビュートを送信する必要がある場合、入力した値を利用することができます。 ※attribute1 ~ attribute10の計10個のパラメータを指定可能です。 |
|
sslvpn param |
RADIUS連携の際にPassLogicから対象機器にSSOする際に、ユーザ毎に異なるパラメータを送信する必要がある場合、入力した値を利用することができます。 ※sslvpn param1 ~ sslvpn param 10の計10個のパラメータを指定可能です。 |
TOTP認証方式のポリシー固有の設定項目
|
トークンのシリアル番号 |
認証する際に利用するハードウェアトークンのシリアル番号を入力します。 |
|
交換用トークンのシリアル番号 |
交換用ハードウェアトークンのシリアル番号が表示されます。 ※交換用トークンは、ユーザ一覧画面「交換用トークン設定」リンクから登録できます。 |
|
TOTP トークンPIN |
ワンタイムパスワードの後ろに付加するPINを指定します。 ※使用できる文字は、半角英数字(大文字小文字を区別)と以下記号です。 |
※ハードウェアトークンのユーザーへの利用案内はPassLogicの案内通知機能ではなく、トークンの配布とともにトークンPINなどのログイン情報を記載した用紙の配布を想定しています。(PassLogicの案内通知文にトークンPINを挿入する機能はありません。)
PassClip認証方式のポリシー固有の設定項目
|
PassClip トークンPIN |
PassClipパスワードの後ろに付加するPINを指定します。 ※使用できる文字は、半角英数字(大文字小文字を区別)と以下記号です。 |
4.2 ユーザの端末固定
ポリシー設定にて端末固定を有効にした場合、対象ポリシーのユーザは1ユーザにつき最大5台の端末(ブラウザ)を固定することができます。
1台目は初回ログイン認証が成功したときに自動的に端末固定が完了します。2台目以降の端末登録は下記の手順で追加してください。
※端末固定の有効期限は最後の認証成功から360日間です。有効期限は認証成功の都度、更新されます。
【端末登録手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理][ユーザ一覧]から該当する「uid」リンクをクリック
(ⅱ)No.1 ~ 5いずれかの「発行」リンクをクリック
(ⅲ)メールアドレスと備考(任意の文字列・未入力可)を入力し[次へ]をクリック
※初期表示されるメールアドレスはユーザ情報に登録されているメールアドレスです。
(ⅳ)[発行]をクリック
(ⅴ)[通知書をメール]をクリックすると新規端末登録用メールが「ⅲ」で入力したメールアドレスに送信されます。
[通知書をプリントアウト]をクリックするとメール送信する内容を画面表示します。
※メールアドレスを登録しない場合[通知書をメール]ボタンが表示されません。
(ⅵ)ユーザが端末登録用URLをクリックして認証成功後に端末登録が完了します。
4.3 ユーザ一括登録、CSVダウンロード
ユーザ情報をCSV形式で一括入出力することができます。
【一括登録手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[ユーザ一括登録]をクリック
(ⅱ)[ファイルを選択]をクリックして取込みファイルを選択し[次へ]をクリック
|
ファイル形式 |
CSV(カンマ区切りテキストファイル) |
|
文字コード |
Shift-JIS |
|
フォーマット |
[削除フラグ],[ユーザID],[ドメイン],[メールアドレス],[氏名],[社員番号],[部署],[電話],[ポリシー],[グループ1],[グループ2],[グループ3],[グループ4],[グループ5],[有効],[アカウント有効期限],[備考],[attribute1],[attribute2],[attribute3],[attribute4],[attribute5],[attribute6],[[attribute7],[attribute8],[attribute9],[attribute10],[sslvpn param1],[sslvpn param2],[sslvpn param3],[sslvpn param4],[sslvpn param5],[sslvpn param6],[sslvpn param7],[sslvpn param8],[sslvpn param9],[sslvpn param10],[ロック],[トークンのシリアル番号],[交換用トークンのシリアル番号],[password1],[password2],[password3],[password4],[password5],[adpassword],[TOTPトークンPIN],[PassClipトークンPIN],[パターン],[追加フレーズ] |
(ⅲ)下記の設定および取込み内容を確認して[登録]をクリック
|
先頭行を項目名としてスキップ |
先頭行を取込み対象外にする場合はチェックを入れてください。 |
|
通知書をメール |
ユーザ新規作成と同時にメール通知をする際にはチェックを入れてください。メールアドレス情報の取込みが必須です。 ※新規作成されるユーザに対するメール送信のみで、更新および削除されるユーザにはメール送信されません。 |
※一括登録処理を実行途中の場合、別の一括登録処理は実行できません。
※ロックアウト状態(locked=1)で更新されたユーザのロックアウト時刻はCSV取込時刻に更新され、自動ロック解除までの残り時間がリセットされます。
【CSVテンプレートファイルダウンロード手順 】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[ユーザ一括登録]をクリック
(ⅱ)[テンプレートファイルをダウンロード]をクリック
【CSVダウンロード手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[ユーザ一括登録]をクリック
(ⅱ)[CSVファイルをダウンロード]をクリック
【CSVファイルフォーマット】
|
パラメータ名 |
項目名 |
設定可能値 |
補足 |
|
delflag |
削除フラグ |
d |
削除するユーザに”d”を設定 |
|
uid |
ユーザID(必須) |
半角英数字、記号(- _ .) |
半角英数字(大文字小文字を区別)、記号(- _ .)で1~30文字です。 |
|
domain |
ドメイン(必須) |
半角英数字、記号(- .) |
ドメイン管理で作成したドメイン名を指定 |
|
uemail |
メールアドレス |
メールアドレスフォーマット |
|
|
uname |
氏名 |
制限なし( ※1 ) |
最大255文字 |
|
employee_number |
社員番号 |
制限なし( ※1 ) |
最大255文字 |
|
section |
部署 |
制限なし( ※1 ) |
最大255文字 |
|
phone |
電話番号 |
制限なし( ※1 ) |
最大255文字 |
|
policy |
ポリシー |
半角英数字、記号(- _) |
PassLogic管理ツールで登録したポリシー名を指定できます。 |
|
group1 |
グループ1 |
半角英数字、記号(- _) |
最大4096文字。 |
|
group2 |
グループ2 |
||
|
group3 |
グループ3 |
||
|
group4 |
グループ4 |
||
|
group5 |
グループ5 |
||
|
udisabled |
有効 |
0/1 |
有効 0/無効 1 |
|
uexpiry |
アカウント有効期限 |
yyyyMMdd |
ユーザの有効期限。 |
|
ucomment |
備考 |
制限なし( ※1 ) |
ユーザの備考 |
|
attribute1 - 10 |
attribute1 - 10 |
制限なし( ※1 ) |
他のシステムと連係する際に利用する値です。 |
|
sslvpn param1 - 10 |
sslvpn param1 - 10 |
制限なし( ※1 ) |
他のシステムと連係する際に利用する値です |
|
locked |
ロック |
0/1 |
0:ロック解除 |
|
token_serial |
トークンのシリアル番号 |
半角英数字、記号 |
1~32文字 , + - . / _ ( ) | 半角スペース |
|
next_token_serial |
交換用トークンのシリアル番号 |
半角英数字、記号 |
1~32文字 , + - . / _ ( ) | 半角スペース |
|
token_pin |
TOTPトークンPIN |
半角英数字、記号(カンマ、コロン) |
新規ユーザ登録時のみ使用。ダウンロード不可。 |
|
passclip_pin |
PassClipトークンPIN |
半角英数字、記号(カンマ、コロン以外) |
新規ユーザ登録時のみ使用。ダウンロード不可。 |
|
secret_pattern |
パターン |
カンマ区切りの数字(1~64) |
新規ユーザ登録時のみ使用。ダウンロード不可。 |
|
static_password |
追加フレーズ |
半角英数字、記号(カンマ、コロン以外) |
新規ユーザ登録時のみ使用。ダウンロード不可。 |
|
lastauthdate |
最終認証日時 |
yyyy/mm/dd hh:mm:ss |
ダウンロード時のみ。インポート不可。 |
|
passsetdate |
パスワード変更日時 |
yyyy/mm/dd hh:mm:ss |
ダウンロード時のみ。インポート不可。 |
※1:ダブルクォートを入力するときは、ダブルクォートを2つを入力することで1つのダブルクォートになります。
(例:「テスト”01”ユーザ」→”テスト””01””ユーザ”)
※2:”random”の場合は、ポリシー設定の「ランダム発行時の長さ(ワンタイムパスワード)」の長さでランダム生成します。
※3:”random”の場合は、ポリシー設定の「ランダム発行時の長さ(追加フレーズ)」の長さでランダム生成します。
※4:パターンと追加フレーズのいずれも指定がない場合、新規登録ユーザのパスワードは、ポリシー設定の「ランダム発行時の長さ(ワンタイムパスワード)」の長さで指定したパターンをランダム生成します。但し、「ランダム発行時の長さ(ワンタイムパスワード)」が0のポリシーでは新規登録ユーザを作成できません。
※5:複数のユーザグループ名を区切り文字コロン”:”を用いて連結した文字列をカラムに登録することで、1つのカラムでユーザに複数のユーザグループを設定することも可能です。ユーザグループとアクセス制御の詳細は「2.8 アクセス制御」のグループ設定をご参照ください。
(ユーザ作成後に区切り文字を変更することはできません。)
文字数の制限が記載されていない項目は最大255文字まで登録できます。
ダウンロードしたCSVファイルをMicrosoft Office Excelを使用して編集すると、データが破損してしまう場合があります。
編集する際は、テキストエディタやCSVファイル用エディタの使用を推奨します。
4.4 ユーザによるパラメータ設定
ポリシー設定にて、パラメータ設定機能の利用を許可されている場合、ユーザログイン後の”~/ui/menu.php”にて、「設定(デフォルトの場合)」押下後の画面上で、許可したパラメータの値を変更できます。
本設定により、ユーザ自身でSSO用のユーザIDやパスワードを登録する運用が可能になります。
【項目解説】
|
項目名 |
入力制限 |
補足 |
|
|
[ユーザ編集画面] |
attribute1 - 10 |
最大255文字 |
管理ツール左側メニューの[ユーザ管理]→[ユーザ一覧]対象ユーザのデータと紐付いています。 |
|
[ユーザ編集画面] |
param1 - 10 |
最大255文字 |
管理ツール左側メニューの[ユーザ管理]→[ユーザ一覧]対象ユーザのデータと紐付いています。 |
|
本人のみ編集可能な情報 |
password1 - 5 |
最大159バイト |
管理者でも閲覧・変更不可の値です。ユーザ本人のみ閲覧・変更可能値です。 |
※表示されている項目名の”name”はポリシー設定にて、設定した名称になります。
4.5 ロックの解除方法
パスワード連続失敗回数に到達、または管理者によって強制的にロックアウトされたユーザは[ユーザ一覧]画面ロック項目 の背景が赤くなり「ロック解除」と表示されます。ロック解除の文字をクリックすることでロックアウト状態を解除できます。
また、管理ツールから該当ユーザのパスワードを再発行することでも、ロックアウト状態を解除することができます。
4.6 ユーザの無効化
ユーザの無効化は、管理ツール左側メニューの[ユーザ管理]→[ユーザ一覧]から任意に行えます。
4.7 パスワード再発行
PassLogic認証ポリシーに属するユーザがパスワードを忘れた場合、管理者がパスワードを再発行することができます。
なお、管理者ツールからパスワード再発行後、ロックアウト状態が解除されます。
【パスワード再発行手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[ユーザ一覧]をクリック
(ⅱ)対象ユーザの パスワード再発行 リンクをクリック
(ⅲ)各項目 を入力し[次へ]をクリック
(ⅳ)入力内容を確認し[登録]をクリック
(ⅴ)[通知書をメール]をクリックするとパスワード再発行メールが「ⅲ」で入力したメールアドレスに送信されます。
[通知書をプリントアウト]をクリックするとメール送信する内容を画面表示します。
※メールアドレスを登録しない場合は[通知書をメール]ボタンが表示されません。
(ⅵ)ユーザは再発行パスワードでログインすることができます。
※対象ユーザの属するポリシー「初回パスワード変更を強制」が「Yes」に設定されている場合、再発行パスワードでログインしたときに、強制的にパスワード変更を要求されます。
【項目解説】
|
メールアドレス |
再発行したパスワードをここで入力したメールアドレス宛に送信します。 ※入力したメールアドレスがユーザ情報のメールアドレスとして上書き更新されます。 |
|
パターン |
パターンを指定します。 ※「パターンをランダムに設定する」のチェックボックスをONにすることでランダム生成します。 |
|
追加フレーズ |
ワンタイムパスワードの後に付加する追加フレーズを指定します。 ※必須項目ではありません。未指定の場合パスワードはパターンだけになります。 |
4.8 PassClipリセット
PassClip認証ポリシーのユーザがPassClipアプリをリセット(再アクティベート)する場合は、管理者がPassClipアクティベートURLを発行します。
【PassClipリセット手順】
(ⅰ)管理ツール左側メニューの[ユーザ管理]→[ユーザ一覧]をクリック
(ⅱ)対象ユーザの「PassClipリセット」リンクをクリック
(ⅲ)メールアドレスを入力し[次へ]をクリック
※ユーザ情報に登録されているメールアドレスが初期表示されます。
※ここで登録したメールアドレスがユーザ情報のメールアドレスとして上書き更新されます。
(ⅳ)入力内容を確認し[登録]をクリック
(ⅴ)[通知書をメール]をクリックするとPassClip再セットアップメールが(ⅲ)で入力したメールアドレスに送信されます。
[通知書をプリントアウト]をクリックするとメール送信する内容を画面表示します。
※メールアドレスを登録しない場合は[通知書をメール]ボタンが表示されません。
(ⅵ)ユーザがPassClip Lアプリをインストールした端末でアクティベートURLにアクセスすると、PassClip LにPassLogicログイン用スロットが追加されます。
5 ログ閲覧
PassLogicの管理画面上からPassLogicのログを検索し閲覧することができます。また、検索結果をダウンロードすることも可能です。
【ログ検索手順】
(ⅰ)管理ツール左側メニューの[ログ閲覧]をクリック
(ⅱ)検索項目を入力し[検索]ボタンをクリック
(ⅲ)ログ検索の結果を保存したい場合は[ダウンロード]ボタンをクリック
【検索項目】
|
From / To |
From(いつから)To(いつまで)を設定し、検索対象期間を絞り込むことができます。 |
|
ユーザID |
ユーザID(uid)を部分一致で検索できます。 |
|
ドメイン |
ドメインを部分一致で検索できます。 |
|
Code |
エラーコードを部分一致で検索できます。 |
|
ログローテート済みファイルも検索対象に含める |
チェックボックスOFFで検索する場合、1日分のPassLogicログの検索結果を出力します。 |
※「再読み込み」ボタンをクリックすることで、検索項目をクリアした状態の検索結果を一覧表示します。
※ログは毎日0:00過ぎにローテートしております。
6 注意事項
6.1 PassClip利用時の注意点
□ PassClip認証方式ポリシーを使用するユーザについては、ユーザ作成時にポリシーでPassClip認証方式をご選択し、PassClip Lアプリをご使用ください。
□ PassClip Lアプリのダウンロード用URLは下記の通りです。
・iOS版 PassClip L
https://itunes.apple.com/jp/app/id1167322433?mt=8
・Android版 PassClip L
https://play.google.com/store/apps/details?id=com.passlogy.passclip.local
□ PassClip LアプリのヘルプページURLは下記の通りです。初回利用開始の案内メール等でご活用ください。なお、同一の内容がアプリ内から閲覧可能です。
https://www.passclip.com/ja/help_for_passclip_l
□ PassClip Lアプリがインストールされている端末と、PassLogicがインストールされているサーバの時刻を合わせておく必要があります。時刻が違う場合、認証に失敗します。
6.2 その他、注意点
□ ポリシー設定画面にて運用中のポリシーの認証方式を変更する場合、あるいはユーザ設定画面でポリシーを認証方式の異なるものに変更する場合は、パスワードやPassClipの再設定をお願いします。
