PROdb セキュリティ制御

PROdb エンタープライズサブスクリプションで、自社ドメインご利用であれば、「All Users」一覧から、Security Controlsボタンから設定を行って、セキュリティポリシーを変更できます。例えば御社PROdbが db.ourdomain.com でホスティングしているなら、次のようなURLになります:

https://db.ourdomain.com/secure/accusers.aspx
https://db.ourdomain.com/secure/accsecurity.aspx

変更できるポリシーは次のとおりです。

  1. パスワード複雑さ:
    • 最小の文字数
    • 許可される文字
  2. パスワードの有効期限
  3. パスワードの再利用防止
  4. サインインが失敗したら
    • ブロックしない もしくは
    • 〜回失敗したらブロック
  5. セッションタイムアウト期間

それぞれが次のように異なる特定のユーザーへの影響を持っています。

パスワードの複雑さ Password Complexity

長さと許可される文字の両方の変更は、次のアカウントパスワードの有効期限で有効になります。

オプション: 最小の文字数はUIに出ている文字数より、長く指定することが出来ます。例えば、12文字や14文字に設定することが可能ですので何なりと仰ってください。

パスワードの有効期限 Password Expiration

パスワードの有効期限はタイムアウト後即座に使用できなくなります。PROdbは、最後にパスワードが変更された日付を追跡します。パスワードの有効期限は、最後に変更された日付に日数を追加して、現在の数字と比較することにより計算されます。

今日の日付は、計算された日付より後だったら、PROdbがパスワード変更を要求します。

注意: All Users一覧から、ユーザーを検索して "Must Change Password" フラグにチェックを入れて保存したら、次のサインイン時にPROdbはパスワード変更を要求します。

パスワードの再利用防止 Password History

設定の "Enforce password history" にチェック入れて保存すると、パスワードの再利用が出来なくなります。

サインイン失敗 Failed Sign-ins

サインイン失敗カウンター ポリシーの変更は、次にサインイン失敗した時に有効になります。 連続して失敗したサインインの数がカウントされ、その数が最大に達すると、アカウントがロックされます。 サインインまたはパスワードのリセットが成功すると、カウンターがクリアされます。

注意: 管理者は、All Users一覧からロックされたユーザーアカウントのロックを解除できます。

セッションタイムアウト Session Timeout

セッションタイムアウトは少し複雑です。PROdbユーザがサインインする時、サインインを認証する「チケット」が作成されます。サインインを認証する「チケット」のストレージロジックのほとんどは、PROdbが利用するMicrosoft .NETフレームワークによって処理されるので、PROdbはユーザーのサインインが有効かを確認して、必要に応じてサインインページに自動的にリダイレクトします。

サインイン「チケット」には、セキュリティ関連操作に必要なすべての情報 (発行日、タイムアウト、有効期限) が保持されているため、ポリシー設定の変更は、有効期限が切れて再作成されるか、ユーザーがログアウトして再作成されない限り、チケットに反映されません。

「セッションタイムアウト」ポリシーの値を「Never / しない」以外に指定すると、「セッション cookie」が作成され、(そして、「Keep Me Logged In / サインインしたままにする」オプションのチェックボックスは非表示) この「セッションcookie」は次のように期限切れになります:

  • ポリシーで指定されている場合 (例:最大値の8時間)
  • ユーザーがPROdbを開いた状態で最後のブラウザウィンドウまたはタブを閉じたとき
  • ユーザーがコンピューターを再起動したとき

PROdbの「セッションタイムアウト」は「スライディング」で、ユーザーがアプリでナビゲーションしない限り、タイムアウトになってしまいます。逆にサインインされたユーザーがナビゲーションすると、タイムアウトタイマーがリセットされます。人間の睡眠を考慮し、最大8時間に設定すると、ユーザーは大まか1日に1回再サインインする必要になると言えます。

課題は、「セッションタイムアウト」が「しない」に設定されていて、ユーザーが「サインインしたままにする」を選択した場合です。 この場合、Cookieは1年間発行され、1年の有効期限が切れる前にCookieを削除する唯一の方法は、サインアウトすることです。

したがって、ポリシーを「しない」から「8時間」などの設定に変更する場合は、セッションCookieが正しく再作成されるように、ベストプラクティスとして、ユーザーにサインアウトさせる必要があります。

重要: システム側では強制的にセッションCookieを再作成させることができません。変更後、ユーザーにサインアウトさせる必要がある。PROdb クッキーについて詳しくはこちらのページをご覧ください.

図: PROdb Security Controls 画面