FIM2010にはパスワードを忘れたときに、ユーザー自らがパスワードをリセットすることができる機能があります。
ただし、パスワードのリセットは誰でも行うことができては、ユーザーアカウントを不正に利用される可能性があるので、
「秘密の質問」をあらかじめ設定しておき、その質問に答えられた人だけがパスワードリセットできるようにしています。
(いわゆる、本人確認ですね)
秘密の質問機能を利用するためには、
Step1 秘密の質問を使って本人確認を行うための設定
Step2 秘密の質問を登録する設定
の2つが必要になります。
では、2つの設定について見てみることにしましょう。
Step1 秘密の質問を使って本人確認を行うための設定
この設定には、本人確認を行うワークフロー、パスワードをリセットするワークフロー
そして、それらをまとめる管理ポリシーを作成しなければなりません。
■本人確認を行うワークフロー
ILMポータルサイトのワークフローから新規作成をクリックします。
ここでは、ワークフローの名前を_AuthN-Gatesという名前にしておきます。
認証ワークフローを選択して、次へをクリックします。
アクティビティタブで、ロックアウトゲートを選択します。
ロックアウトゲートとは、秘密の質問を何度もチャレンジできないように構成する機能です。
ロックアウトの詳細を設定して、保存します。
続いて、アクティビティを追加し、QA Gate(Tech・Edスライドでは「認証ゲート」という名前で紹介しています)を選択します。
QA Gateでは、秘密の質問を定義することができます。
QA Gateでは、秘密の質問を設定します。
保存できたら、下図のような状態になります。
確認できたら、完了してください。
■パスワードをリセットするワークフロー
秘密の質問に正解したときに、パスワードをリセットするワークフローを設定します。
ILMポータルサイトのワークフローから新規作成をクリックします。
ここでは、ワークフローの名前を_Action-PasswordResetという名前にしておきます。
アクションワークフローを選択して、次へをクリックします。
アクティビティタブで、パスワードリセットアクティビティを選択します。
パスワードリセットアクティビティでは、新しく設定するパスワードの最低文字数を設定できます。
設定できたら保存します。すると、下図のような設定になります。
設定できたら完了ボタンをクリックして終了します。
■パスワードリセット用管理ポリシーの作成
ILMポータルサイトの管理ポリシーから新規作成をクリックします。
管理ポリシーの名前は、_MPR-PasswordResetという名前にしておきます。
要求元と操作タブでは、要求元としてAnonymous Usersを選択します。
パスワードリセットを行うときは、まだログオンしていないときですから、
要求元はAnonymous Usersになるということですね。
また、操作はパスワードを変更しますので、「リソース属性の変更」になります。
ターゲットリソースタブでは、要求前と要求後の状態を指定します。どちらもAll Peopleとしておきます。
変更可能な属性として「パスワードのリセット」を選択しておきます。
こうすることで、秘密の質問後に変更できる操作はパスワードのリセットのみとなります。
ポリシーワークフロータブでは、前の手順で作成した、認証ワークフローとアクションワークフローを
それぞれ指定し、完了してください。
Step2 秘密の質問を登録する設定
秘密の質問の登録は管理ポリシーの中で定義します。
このとき、要求前・後の状態として、ゲート登録オブジェクトが作成されていることが前提となります。
ゲート登録オブジェクトとは、秘密の質問を暗号化したデータを格納するオブジェクトで、
ゲート登録オブジェクトを作成しようとした時に、秘密の質問の登録が始まるように管理ポリシーを
作成しなさい、ということです。
そのため、前提としてゲート登録オブジェクトを含むセットを作成するところから始めます。
■ゲート登録オブジェクトセットの作成
ILMポータルサイトのすべてのセットから新規作成をクリックします。
基本情報タブでは、セットの表示名として_GROという名前をつけておきます。
動的メンバーシップタブで、
「Select ゲート登録 that match すべて of the following conditions」
となるように設定します。
設定できたら、次へを連打して、完了します。
■秘密の質問の登録用管理ポリシーの作成
ILMポータルサイトの管理ポリシーから新規作成をクリックします。
全般的な情報タブで、表示名に_MPR-PasswordRegisterという名前をつけておきます。
要求元と操作タブでは、要求元リソースとして、ユーザーIDを指定します。
さらに、操作は「リソースの作成」と「リソース属性の変更」を選択します。
ターゲットリソースタブでは、要求前・後にそれぞれゲート登録オブジェクトが入ったセットである、_GROを
選択します。
ポリシーワークフロータブでは、ワークフローを選択しないので、ここまま次へを連打し、完了します。
以上で完了です。
秘密の質問が登録されていないユーザーが初回のWindowsログオンを行えば、自動的に秘密の質問登録画面が表示されますし、
今すぐ登録したいという場合は、mspwdregistration.exe -allコマンドを実行すれば、登録を始めることができます。
追伸
画面図にタスクバーが入ってしまい、見にくくなっていますね。すみません..