Alibaba Cloud IDaaS (Identity as a Service) を使用すると、管理者はパスワード関連のポリシーを一元管理して、アカウントのセキュリティを強化できます。このドキュメントでは、パスワードの複雑さ、初期パスワード、定期的なパスワード変更、パスワード履歴、パスワード忘れ、高リスクパスワード検出ポリシーなど、IDaaS のパスワードポリシー管理機能について説明します。
パスワードポリシーの概要
IDaaS を使用すると、管理者は次のようなパスワード関連のポリシーを一元管理できます。
パスワードの複雑さ
パスワードは、ネットワークセキュリティにおける最も脆弱なリンクの 1 つです。パスワードが複雑であるほど、セキュリティは高くなります。
IDaaS は、シナリオの選択を容易にするために、[ログオン] メニューの [パスワードポリシー] タブに、以下に示す 5 つのプリセットされた複雑さのテンプレートを用意しています。
複雑さのテンプレート | テンプレートの内容 |
制限なし | 最小 4 文字。 |
低い複雑さ | 最小 6 文字で、小文字と数字を含める必要があります。 |
標準 | 最小 8 文字で、大文字、小文字、数字を含める必要があります。 |
推奨 | 最小 10 文字で、大文字、小文字、数字、特殊文字を含める必要があります。パスワードにアカウント名を含めることはできません。 |
高い複雑さ | 最小 16 文字で、大文字、小文字、数字、特殊文字を含める必要があります。パスワードにアカウント名、表示名とそのピンイン、電話番号、またはメールプレフィックスを含めることはできません。 |
これらのテンプレートのいずれかを選択し、それに基づいて構成を調整するか、構成を直接カスタマイズできます。変更は保存後に有効になります。
複雑さの要件が変更されても、既存のパスワードは影響を受けません。新しいパスワードは、複雑さの制限に準拠する必要があります。
China Telecom Group の最新の要件によると、2025 年 5 月 20 日から、次の内容を含む China Telecom の携帯電話番号に送信されるショートメッセージはブロックされる可能性が高く、メッセージの配信が失敗します。
リンクまたは IP アドレスを含むショートメッセージ。
携帯電話番号、固定電話番号、またはその他のカスタマーサービス番号などの連絡先情報を含むショートメッセージ。
このコントロールポリシーのため、ユーザー名とパスワードを含むショートメッセージが正常に配信されるように、パスワードフィールドにリンク (ショートリンク、http 文字列を含む) や連絡先情報を含めることは禁止されています。
初期パスワード
IdP (ID プロバイダー) からアカウントをインポートする場合、通常、IdP からユーザーパスワードを取得することはできません。IDaaS は、新しくインポートされたアカウントのパスワード初期化をサポートし、ユーザーに新しいユーザーログインプロセスを完了するように通知します。
パスワード初期化機能: デフォルトでは無効になっています。管理者はこれを有効にできます。
パスワード生成メソッド: アカウントがパスワードなしで IdP から IDaaS に同期される場合、「ランダムに生成してユーザーに通知する」を選択できます。複雑さの要件を満たすランダムに生成されたパスワードは、選択されたショートメッセージまたはメール通知チャンネルを通じてユーザーに送信されます。
初回ログイン時にパスワードを変更: [初回ログイン時にパスワードを変更] を選択して、ランダムに生成されたパスワードでログインする際にユーザーにパスワードの変更を要求できます。ユーザーはシステムにアクセスする前にパスワードを変更する必要があり、セルフサービスのパスワード更新が完了します。
定期的なパスワード変更
管理者は、パスワードの有効期限と処理ポリシーを設定できます。
有効期限のリマインダー
管理者は有効期限のリマインダーを有効にして、ユーザーがログインしたときに有効期限が切れる N 日前にパスワードを変更するように促すことができます。ユーザーはすぐにパスワードを変更するか、そのセッションではスキップすることができます。
パスワード有効期限切れの効果
IDaaS は、ログインの禁止、パスワードの強制変更、パスワード変更のリマインドの 3 つの有効期限切れ処理メソッドを提供します。
ログインの禁止: 最も厳格な処理メソッドです。パスワードの有効期限が切れると、そのパスワードは使用できなくなり、パスワード変更プロセスをトリガーできません。ユーザーは、他のメソッドでログインしてパスワードを変更するか、パスワード回復プロセスを経るしかありません。有効期限が切れるとユーザーがロックアウトされる可能性があるため、IT スタッフのワークロードを軽減するために、このオプションを有効期限のリマインダーと併用するか、有効期限が切れる N 日前からパスワードの強制変更に設定することをお勧めします。
パスワードの強制変更: 中程度の処理メソッドです。有効期限切れのパスワードを使用してログインできますが、ユーザーはポータルまたはアプリケーションにアクセスする前にパスワードを変更する必要があります。
パスワード変更のリマインド: 最も緩やかな処理メソッドです。有効期限切れのパスワードを使用してログインするたびに、パスワード変更のリマインダーが表示されますが、ユーザーは毎回スキップできます。
パスワードの有効期限切れはユーザーのログインにのみ影響し、アカウント自体のステータスには影響しません。
パスワード履歴
IDaaS を使用すると、管理者はパスワード履歴のチェックを有効にできます。ユーザーがパスワードを変更する際、パスワードの再利用に関連するセキュリティリスクを軽減するために、直近で使用した N 個のパスワードのいずれかを再利用することができなくなります。
パスワード忘れ
ユーザーがログイン時にパスワードを忘れた場合、IDaaS のセルフサービスを通じて新しいパスワードを設定できます。
デフォルトの機能ステータス: 有効になっていません。
有効化メソッド: 管理者側で、 タブのチェックボックスをオンにすることで、パスワード忘れ機能を有効にできます。有効にすると、パスワードログインページの下部に [パスワードを忘れましたか] オプションが表示されます。
回復プロセス: [パスワードを忘れましたか] をクリックして、[ショートメッセージ]、[メール検証]、[OTP 動的パスワード検証]、または [WebAuthn 検証] を通じて ID を認証し、ルールに準拠した新しいパスワードを設定します。
説明アカウントに電話番号やメールアドレスが設定されておらず、OTP 動的パスワードや WebAuthn をバインドしていない場合、セルフサービスでパスワードを回復することはできません。管理者に連絡してパスワードをリセットしてください。
高リスクパスワード検出
IDaaS は、公に漏洩したパスワードのデータベースを保持しています。ユーザーがパスワードを変更すると、新しいパスワードに対してセキュリティチェックがトリガーされ、ページにプロンプトが表示されます。この機能はデフォルトで有効になっており、無効にすることはできないため、管理インターフェイスには表示されません。パスワード検出のプロンプトは次のように表示されます。
新しいパスワードに漏洩記録があることを示すプロンプトが表示された場合、そのパスワードが悪意のある攻撃に使用される可能性があることを意味します。別の新しいパスワードを設定することを強くお勧めします。