基本設定マニュアル¶
1. 概要¶
1.1 目的¶
本書は、IDApex が提供するアイデンティティ管理(IAM)基盤IDApex IAMの基本設定について記載したマニュアルです 。
IDApexにおけるIDApex IAMは、セキュアな認証・認可、および利便性の高いシングルサインオン(SSO)環境を実現するための核となるコンポーネントです。
レルム管理者の皆様が、サービスの導入初期に必要な日本語化やメール通知、セキュリティログの保存設定などを正しく行い、安全かつ円滑にシステムを運用いただくことを目的としています 。
ご使用前やご利用中に、本書をお読みいただき、正しくお使いください。
1.2 前提条件¶
本書での作業を開始するための前提条件です。
表 1-1
| 前提条件 | 備考 |
|---|---|
| IDApex IAMの管理コンソール画面が開ける管理者権限があること | - |
| 上記の管理者権限を持つユーザーにEメールが登録されていること | - |
| インターネット接続環境 | IDApex IAMはインターネットを通じて操作を行います。 |
1.3 全体の流れ¶
本書では、IDApex を利用開始する際、初めに行っていただきたいIDApex IAM の基本設定について説明します。
2. 基本設定¶
ここではIDApex IAM の基本的な設定について説明します。
なお、当操作は対象レルムの管理者権限をもつアカウントのみが行えます。
2.1 日本語表示設定¶
デフォルトでは英語表示のIDApex IAM を日本語表示に変更する手順について説明します。
Note
※本章以降は日本語表示であることを前提に説明文を記載しています。
- 管理者ユーザーでIDApex IAMの管理コンソールへアクセスします。
- 左のメニューから「Realm settings」を選択します。
-
「Localization」タブを選択します。
-
「Supported locales」から「English」を削除し、「Japanese」を選択します。
-
「Default locale」に「Japanese」を設定します。
-
「Save」ボタンを押下します。 以上で日本語表示設定は完了です。
F5キーなどで画面をリロードすると英語表示から日本語表示に切り替わります。
2.2 イベントログ保存設定¶
リスクベース認証で使用するイベントログ(ユーザーの操作ログ)を保存するための手順について説明します。
- 管理者ユーザーでIDApex IAMの管理コンソールへアクセスします。
- 左のメニューから「レルムの設定」を選択します。
- 「イベント」タブを選択します。
-
「User events setting」タブを選択します。
-
「イベントの保存」を「オン」にします。
-
任意の有効期限を設定します。
-
「保存」ボタンを押下します。 以上でイベントログの保存設定は完了です。
有効期限を超過したイベントログは**自動的に削除されます**。
リスクベース認証の判定精度向上や、事後のセキュリティ監査のため、一定期間以上の保存を推奨します。
具体的な保存期間は、お客様のセキュリティポリシーやコンプライアンス要件に基づいて決定してください。
2.3 メール設定¶
IDApex IAMからユーザーへメール送信するための手順について説明します。
IDApex IGA からIDApex IAM へユーザーが登録される際にメールにて初期パスワードをお知らせするため必ず設定してください。
送信元となるメールアカウントはお客様ご自身でご用意いただく必要があります。
今回の手順ではGmailのアカウントを設定した場合の設定例を紹介します。
- 管理者ユーザーでIDApex IAMの管理コンソールへアクセスします。
- 左のメニューから「レルムの設定」を選択します。
-
「Eメール」タブを選択します。
-
それぞれの項目に、以下の設定をします。
| 大項目 | 項目 | 設定値 | 備考 |
|---|---|---|---|
| Template | 差出人 | 送信元メールアドレス@gmail.com | |
| Template | 差出人の表示名 | IDApex | |
| Connection & Authentication | ホスト | smtp.gmail.com | |
| Connection & Authentication | ポート | 587 | |
| Connection & Authentication | Encryption | ☒STARTTLSの有効 | |
| Connection & Authentication | 認証 | 有効 | |
| Connection & Authentication | ユーザー名 | 送信元メールアドレス@gmail.com | |
| Connection & Authentication | パスワード | 送信元メールアドレスに紐づくパスワード |
-
「接続テスト」ボタンを押下し、テストメールを送信します。 ログインユーザーのメールアドレス宛に以下のようなメールが届くことを確認します。
-
「保存」ボタンを押下します。
Note
※「接続テスト」ボタンの押下のみでは設定が保存されません。
必ず「保存」ボタンを押下してください。
2.4 クライアント設定¶
IDApex IAMにおける「クライアント」とは、認証や認可の機能をIDApex IAMに委託し、シングルサインオン(SSO)などを実現するために登録されたアプリケーションやサービスを指します。
本章では、IDApex IAMにデフォルトで登録されている以下のクライアントに対して、必要な設定を行う手順について説明します。
account ユーザー自身のプロフィール管理やパスワード変更など、アカウント操作全般を担当する基盤クライアントです。
account-console ユーザーがブラウザ上で自分の登録情報を確認・編集するための「マイアカウント画面」を提供します。
security-admin-console レルムの設定、ユーザーの登録、ロールの割り当てなどを行うための「管理者専用コンソール」です。
以下の文言はお客様の環境に合わせて読み替えてください。
{ realm-name } : 「管理コンソール」-「レルムの設定」-「一般」-「Realm name」参照
account、account-consoleクライアント¶
- 管理者ユーザーでIDApex IAMの管理コンソールへアクセスします。
- 左のメニューから「クライアント」を選択します。
- 「account」クライアントを選択します。
- 「設定」タブを選択し、以下の設定を行います。 表 2-1
| 設定項目 | 値 | 備考 |
|---|---|---|
| ルートURL | https://auth.id-apex.com/auth | |
| 認証サーバーがクライアントへのリダイレクトまたは戻るリンクを必要とする際に使用するデフォルトURLを設定します。 | https://auth.id-apex.com/auth/realms/{ realm-name }/account/ | |
| 有効なリダイレクトURI | https://auth.id-apex.com/auth/realms/{ realm-name }/account/* | |
| Valid post logout redirect URIs | + | |
| Webオリジン | https://auth.id-apex.com | |
| 管理URL | 空欄 |
- 「保存」ボタンを押下します。
- 手順3~5を「account-console」クライアントでも実施します。
security-admin-consoleクライアント¶
※****設定を間違えると管理コンソールにアクセスできなくなるため注意してください。
- 管理者ユーザーでIDApex IAMの管理コンソールへアクセスします。
- 左のメニューから「クライアント」を選択します。
- 「security-admin-console」クライアントを選択します。
- 「設定」タブを選択し、以下の設定を行います。 表 2-2
| 設定項目 | 値 | 備考 |
|---|---|---|
| ルートURL | https://auth.id-apex.com/auth/admin/ | |
| 認証サーバーがクライアントへのリダイレクトまたは戻るリンクを必要とする際に使用するデフォルトURLを設定します。 | https://auth.id-apex.com/auth/realms/{ realm-name }/account/ | |
| 有効なリダイレクトURI | https://auth.id-apex.com/auth/admin/{ realm-name }/console/* | |
| Valid post logout redirect URIs | + | 半角 |
| Webオリジン | https://auth.id-apex.com | |
| 管理URL | https://auth.id-apex.com/auth/admin/{ realm-name }/console/ |
- 「保存」ボタンを押下します。
2.5 新規ユーザー登録不可設定¶
ユーザー自身がログイン画面から新規アカウントを作成することを禁止し、管理者による登録や IDApex IGA 経由でのユーザー管理のみを許可するための手順について説明します 。
- 管理者ユーザーで IDApex IAM の管理コンソールへアクセスします 。
- 左のメニューから「レルムの設定」を選択します 。
- 上部のタブ一覧から「login」を選択します。
【補足】
タブの一番右側に配置されています。見当たらない場合はタブの右端にある「>」マークなどでスクロールしてください。
1. 「User registration」のスイッチを「オフ」にします。
- 「保存」ボタンをクリックします。 以上で新規ユーザー登録不可設定の完了です。
本設定を「オフ」にすることで、ログイン画面に表示されていた「登録(Register)」リンクが非表示になります。これにより、IDApex IGA によって正しくプロビジョニングされたユーザーのみがシステムを利用できる安全な状態を維持できます 。
2.6 ユーザーのプロファイル更新不可設定¶
ユーザーが自分自身の判断で「ユーザー名」や「メールアドレス」を変更できないように制限する手順について説明します。
【設定の目的】
IDApexでは、管理者や管理システム(IGA)がユーザー情報を正しく管理しています。ユーザーが勝手にメールアドレスなどを変更してしまうと、システムからの重要な通知が届かなくなったり、SSO(シングルサインオン)ができなくなったりするトラブルを防ぐためにこの設定を行います 。
- 管理者ユーザーで IDApex IAM の管理コンソールへアクセスします。
- 左のメニューから「レルムの設定」を選択します。
-
上部のタブ一覧から「User profile」(ユーザープロファイル)を選択します。
-
項目一覧(Attribute)の中から、変更を禁止したい項目(例:email や username)を押下します。
- 画面を下へスクロールし、「Permissions」(権限)という項目を探します。
-
「User can edit」(ユーザーが編集可能)のスイッチを「オフ」に切り替えます。
-
「保存」ボタンを押下します。 以上でユーザープロファイル更新不可設定の完了です。
username、email、firstName、lastNameすべてで上記手順を繰り返してください。
この設定を完了すると、ユーザーが自分専用の管理画面(マイアカウント画面)を開いても、メールアドレスなどの項目を入力・変更することができなくなります。
エラーが出た場合の対処法¶
「保存」ボタンを押下した際、画面上部に赤いエラーメッセージ(Please add translations...)が表示されることがあります。
これは、システムが日本語表示になっている一方で、個々の項目名(ユーザー名やメールアドレスなど)に「日本語で何と表示するか」が決まっていないために発生するエラーです 。
以下の手順で表示名を登録してください。
-
編集している項目(email や username など)の設定画面で、上部にある「Display name」(表示名)欄の右側にある地球儀のようなアイコンをクリックします。
-
入力画面が表示されますので「日本語」欄の「Translation value」に日本語の名称を入力します。 入力する文言は、後述の「表 2-3」を参考にしてください。
-
「Ok」ボタンを押下し、最後に画面下の「保存」ボタンを再度 押下します。 ここまでの操作で、それぞれの項目を日本語で表示するための準備が整いました。
よく使われる項目については、以下の表の内容を参考に設定することをおすすめします。
Note
※表の内容はあくまで「おすすめ」であり、必ずしもこの通りに入力する必要はありません。
お客様のルールに合わせて、管理しやすい自由な名称に変更していただいて問題ありません。
表 2-3
| 項目 | Translation value |
|---|---|
| username | ユーザー名 |
| メールアドレス | |
| firstName | 名 |
| lastName | 姓 |
2.7 パスワード・ポリシー設定¶
ユーザーが設定するパスワードに対して、「8文字以上にする」「数字を混ぜる」といったルール(ポリシー)を適用する手順について説明します。
安全なシステム運用のために、組織のセキュリティ規定に合わせたルールを設定してください。
- 管理者ユーザーで IDApex IAM の管理コンソールへアクセスします 。
- 左のメニューから「認証」を選択します。
- 上部のタブ一覧から「ポリシー」を選択します。
-
そのすぐ下に表示される「パスワード・ポリシー」タブを選択します。
-
「Add policy」(ポリシーの追加)というプルダウンメニューをクリックし、追加したいルールを選択します。
-
選択したルールが画面に追加されるので、右側の入力欄に数値などを入力します(例:Minimum Lengthなら「8」と入力)。
- 設定したいすべてのルールを追加し終えたら、画面下の「保存」ボタンを押下します。
- 誤って追加してしまったルールは該当欄の右側にある「―」ボタンを押下し、再度「保存」ボタンを押下します。
以上でパスワード・ポリシー設定の完了です。
プルダウン「Add policy」から選択できる主な項目については以下の表をご参照ください。
【パスワードの形式を制限する項目】
表 2-4
| 項目名 | 内容(どのような制限か) |
|---|---|
| Minimum Length | 最小文字数です。指定した文字数より短いパスワードを設定できなくします。 |
| Digits | 数字を最低何文字含める必要があるかを指定します。 |
| Uppercase Characters | 大文字(A〜Z)を最低何文字含める必要があるかを指定します。 |
| Lowercase Characters | 小文字(a〜z)を最低何文字含める必要があるかを指定します。 |
| Special Characters | 記号(! @ # $ など)を最低何文字含める必要があるかを指定します。 |
| Regular Expression | より高度な形式チェックです(例:特定の文字から始まる必要がある等)。 ※専門知識が必要です。 |
| Maximum Length | 最大文字数です。長すぎるパスワードを制限する場合に使用します。 |
【推測されにくいパスワードにする項目】
表 2-5
| 項目名 | 内容(どのような制限か) |
|---|---|
| Not Username | ユーザーIDと同じパスワードを設定することを禁止します。 |
| Not Contains Username | パスワードの中にユーザーIDが含まれている場合に設定を禁止します。 |
| Not Email | メールアドレスと同じパスワードを設定することを禁止します。 |
| Password Blacklist | 「password」や「123456」など、よく使われる危険なパスワードのリストを作成し、使用を禁止します。 |
【運用のルールを制限する項目】
表 2-6
| 項目名 | 内容(どのような制限か) |
|---|---|
| Expire Password | パスワードの有効期限(日数)を設定します。期限が切れると変更を促します。 |
| Not Recently Used | 過去に使ったパスワードの再利用を禁止します(例:過去3回分は使えない等)。 |
| Not Recently Used (In Days) | 指定した日数が経過するまで、以前のパスワードを再利用できないようにします。 |
【システムの詳細設定(通常は変更不要)】
表 2-7
| 項目名 | 内容(どのような制限か) |
|---|---|
| Hashing Iterations | パスワードを暗号化する際の計算回数です。数値を増やすと安全性が高まりますが、動作が重くなります。 |
| Hashing Algorithm | 暗号化の方式(アルゴリズム)を選択します。通常はデフォルトのままで問題ありません。 |
おすすめ設定例¶
すべてを設定するとユーザーの負担が大きくなるため、一般的な推奨設定の例をご紹介します。
表 2-8
| 項目名 | 値 | 備考 |
|---|---|---|
| Minimum Length | 8 | 8文字以上 |
| Digits | 1 | 数字を1つ以上 |
| Uppercase Characters | 1 | 大文字を1つ以上 |
| Not Username | 有効 | ユーザー名と同じは不可 |
3. お問い合わせ¶
1. お問い合わせ先
当サービスへのお問い合わせは、メールでの問い合わせのみとなります。
お問い合わせに対し、一時回答は遅くとも翌営業日までには返信いたします。
以下のメールアドレスにお客様の企業名または団体名を添えて、お問い合わせ内容を記載ください。
[メールアドレス]