ユーザーパスワード管理のオプション
パスワード管理機能によって、Windchill ユーザーは Windchill インタフェースを使用してパスワードを変更できます。Windchill Directory Serverを使用して Windchill のユーザーとグループを格納し、HTTP Server と Embedded Servlet Engine を Web サーバーおよびサーブレットエンジンとして使用している場合、Windchill でユーザーが各自のパスワードを変更できるように設定するのは簡単です。
|
|
Windchill ユーザーが自分のパスワードを変更できるようにするには、ユーザー情報が格納されているディレクトリサーバーへの書き込みを許可する必要があります。ユーザーが Windchill Directory Server に保存されている場合、各自のパスワードを変更できるようにデフォルトで設定されています。
|
Windchill Directory Server、HTTP Server (Apache で実行)、および Embedded Servlet Engine (Tomcat ベース) を使用する環境でユーザーパスワード管理を設定するには、次のタスクを実行する必要があります。
• Windchill ユーザーがパスワードを変更するためのユーザーインタフェースの有効化。セクション「パスワード変更のユーザーインタフェースの有効化」を参照してください。
• Windchill Directory Server でのパスワードポリシーの設定。セクション「パスワードポリシーの設定」を参照してください。
• ユーザーロックアウトプロパティの初期設定のデフォルトが、サイトのユーザーポリシーに合致するかどうか確認する。セクション「パスワード有効期限の通知プロセスの決定」を参照してください。
• パスワードの有効期限の通知方法の決定。セクション「パスワード有効期限の通知プロセスの決定」を参照してください。
• サイト固有の情報をユーザーに提供する Apache ログインヘルプのカスタマイズ。セクション「Apache ログインのヘルプトピックのカスタマイズ」を参照してください。
これらのタスクを完了するための方法については、以下のセクションを参照してください。
パスワード変更のユーザーインタフェースの有効化
Windchill Directory Server は、ユーザーが各自のパスワードを修正できるようにデフォルトで設定されています。ただし、Windchill のパスワード変更インタフェースは有効になっていません。
パスワード変更を有効にするには、xconfmanager ユーティリティを使用して、wt.org.services.userPasswordChangeEnabled プロパティの値を true に設定します。
wt.org.services.userPasswordChangeEnabled プロパティを有効にする例を以下に示します。以下の xconfmanager コマンドを 1 行で入力します。
xconfmanager -s "wt.org.services.userPasswordChangeEnabled=true"
-t "<Windchill>/codebase/wt.properties" -p
<Windchill> は、Windchill がインストールされている場所を表します。
|
|
wt.org.services.userPasswordChangeEnabled プロパティの値を変更したら、メソッドサーバーを再起動して、変更内容を有効にしてください。
|
wt.org.services.userPasswordChangeEnabled プロパティを true に設定している場合、ユーザーは、 > > を選択して自分のパスワードを変更できます。表示されるユーザー情報ページで、「操作」メニューから「パスワードを編集」を選択して、「パスワードを編集」ウィンドウを開きます。
「チーム」ページからユーザー情報ページを開くこともできます。
「メンバー」テーブルにユーザーを表示し、ユーザー情報ページを表示するユーザーの情報アイコン
をクリックします。
「パスワードを編集」ウィンドウでヘルプアイコン
をクリックすると、
「パスワードを編集」ウィンドウからパスワードを変更する方法についてのヘルプトピックが表示されます。このヘルプには、設定したパスワード要件に関するサイト情報も含まれている場合があります。このヘルプに要件を追加するには、関連するヘルプトピックをカスタマイズします。たとえば、"パスワードは 5 文字以上で構成され、少なくとも 1 文字は数字であること" という要件を追加できます。
パスワードポリシーの設定
サイトのパスワードポリシーは LDAP ディレクトリサーバーで定義され、このサーバーで実施されます。Windchill では、パスワードの最初または最後に空白を入れることはできません。
Windchill Directory Server には、すべてのユーザーのデフォルトパスワードポリシーが含まれています。初期状態のデフォルトパスワードポリシーでは、パスワード構文、長さ、有効期限などのパスワード要件は指定されていません。ただし、Windchill Directory Server に付属している dsconfig コマンドラインユーティリティを使用して、このパスワードポリシーを修正し、パスワード要件を指定することができます。このコマンドラインユーティリティの場所は、ご使用のオペレーティングシステムによって異なります。
• Windows では、<WindchillDS>\server\bat ディレクトリにあります。
• UNIX では、<WindchillDS>/server/bin ディレクトリにあります。
<Windchill> は Windchill Directory Server のインストールディレクトリです。
サポートされているパスワードポリシーと
Windchill Directory Server のデフォルトのパスワードポリシーを設定する方法の例については、
Setting Windchill Directory Server Password Policiesのセクション「Setting Windchill Directory Server Password Policies」を参照してください。
| Windchill Directory Server 以外の場所 (社内ディレクトリなど) にユーザーを保存している場合、Windchill Directory Server の代わりに使用するエンタープライズ LDAP ディレクトリでパスワードポリシーを設定します。 |
エンタープライズディレクトリでパスワードポリシーを設定する方法については、使用するディレクトリのドキュメントを参照してください。
ユーザーロックアウトポリシーの確認
サイトのユーザーロックアウトポリシーは、ユーザーが Windchill からロックアウトされる前に許されるログイン試行回数、およびユーザーがロックアウトされる時間の長さを決定します。Windchill は、ユーザーのログイン操作を管理しません。このポリシーは、LDAP ディレクトリサーバー内で定義され、そのディレクトリサーバーによって実施されます。たとえば、Windchill にシングルサインオン (SSO) を設定し、SSO フェデレーション内のアイデンティティプロバイダにユーザー認証をリダイレクトする場合、フェデレーション内のアイデンティティプロバイダでユーザーロックアウトポリシーを設定する必要があります。
デフォルトでは、Windchill Directory Server が、ロックアウト失敗カウントとロックアウト期間のデフォルトを設定するプロパティを定義します。デフォルトを使用する場合は、エンドユーザーに対する動作は次のようになります。
• ユーザーが 5 回連続してログインに失敗すると、使用されたユーザー名に関連したアカウントがロックされます。
• アカウントがロックされると、ロックは 15 分間にわたって効力を保ちます。15 分後、アカウントは自動的にアンロックされ、管理操作は必要ありません。
サイトが HTTP Server Web サーバーを使用している場合、ユーザーに対するロックアウトのシナリオは少し異なる可能性があります。これは、成功したログインの資格証明が HTTP Server によって一定期間キャッシュに入れられるからです。このログインキャッシュは、次のようなシナリオで影響をもたらします。
1. ユーザーが正常にログインした後、ブラウザを閉じたとします。
2. 正常なログインがキャッシュに入れられている間に、ユーザーがブラウザを再び開き、ログインを試みましたが、5 回連続して失敗しました。
3. 6 回目のログイン試行で、ユーザーが正しい資格証明を入力してログインすると、試行回数が 5 回を超えているにもかかわらず、ログインは正常に行われます。
6 回目の試行でユーザーのログインが正常に行われた理由は、入力したユーザー資格証明がキャッシュに入れられた資格証明と一致していたからです。このシナリオは、正常なログインの資格証明がキャッシュに入れられている間に正しい資格証明を入力した場合に限って成功します。HTTP Server キャッシュが消去された後でユーザーがブラウザを再び開いた場合は、ログイン試行に 5 回失敗した後でユーザーアカウントがロックされます。
Windchill Directory Server のデフォルトパスワードポリシーを修正することにより、ロックアウト失敗カウントとロックアウト期間に対して設定されるデフォルトを変更できます。ロックアウトおよびその他のパスワードポリシーの詳細を設定するために使用されるプロパティについては、
Setting Windchill Directory Server Password Policiesのセクション「Setting Windchill Directory Server Password Policies」を参照してください。
パスワード有効期限の通知プロセスの決定
| Windchill は、ユーザーのパスワードの有効期限が近いことを知らせる通知を送信しません。 |
パスワードの有効期限の通知は、Windchill 外のサイトポリシーによってユーザーが管理する必要があります。ただし、Windchill には、サイト特有の情報によってカスタマイズ可能な以下の Apache エラーページが用意されています。
• HTTP Server が 500 エラー (内部サーバーエラーが発生したことを示す) を返すと、apachelogin/apacheerror.html が表示されます。HTTP Serverでは、ユーザーが Windchill Directory Server にアクセスできなくなると、このエラーページを返します。このページは、予期しない状態によって HTTP Server が HTTP リクエストを完了できないと常に返されます。したがって、このページのテキストを保存する必要があります。
• HTTP Server が 401 エラー (ログイン認証に失敗したことを示す) を返すと、apachelogin/apachelogin.html が表示されます。
PTC では、これらのファイルについて英語バージョンと日本語バージョンを用意しています。
Apache ログインのヘルプトピックのカスタマイズ
Apache ログインのヘルプトピックの内容をカスタマイズして、ユーザーがサイト情報にアクセスできることを確認できます。Apache 500 エラーおよび 401 エラーのヘルプは <Windchill>/codebase/webserver/apache/error ディレクトリにあります (<Windchill> は Windchill がインストールされている場所)。
このディレクトリには 2 つのファイルがあり、HTTP Server によってアクセスされ、オンラインヘルプに関する Apache 表記規則に従っています。これらの 2 つのファイルの名前は、ファイルのコンテンツの言語を示す拡張子で終了しています。PTC では、これらのファイルについて、英語バージョンと日本語バージョンのみ用意しています。英語のファイルには、拡張子 .en が付けられ、日本語のファイルには拡張子 .ja が付けられています。
英語のファイルの一覧を以下に示します。
• apacheerror.html.en -- Apache エラー番号が 500 の場合に表示される内部サーバーエラー情報。
• apachelogin.html.en -- Apache エラー番号が 401 の場合に表示されるログイン認証情報。
標準 HTML またはテキストエディタを使用して、これらのファイルの内容を修正できます。
