このドキュメントでは、CIAM プラットフォームのリスクガバナンス機能について説明します。これらの機能は、IP アドレス、アカウント、およびパスワードのセキュリティ対策に分類され、身分認証を強化します。
概要
ユーザー数とアクセス頻度の増加に伴い、CIAM はユーザー認証のセキュリティを強化するための基本的なリスクガバナンス機能を提供します。
CIAM はリスクガバナンスを 3 つのカテゴリに分類します:
IP ベース
アカウントベース
パスワードベース
IP ベース
IP 失敗回数
特定の時間範囲内に同じ IP アドレスからの連続した認証失敗回数に制限を構成できます。制限を超えると、ユーザーは操作を続行するために Captcha を入力する必要があります。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[IP 失敗回数] カードで、設定を構成し、機能を有効または無効にします。
[構成] をクリックして、IP 失敗回数のパラメーターを設定します。
パラメーターの説明:
時間範囲:認証失敗のカウント時間範囲です。例:デフォルトは 5 分です。
認証失敗回数:許可される認証失敗の最大回数です。
有効化:IP 失敗回数機能をオンまたはオフにします。
IP ブラックリスト
すべてのアプリケーションに適用されるグローバル IP ブラックリストを構成できます。IP ブラックリスト内のアドレスからのすべてのリクエストは拒否されます。拒否範囲には、認証、ユーザー、管理、およびその他のタイプのインターフェイスが含まれます。注意して使用してください。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[IP ブラックリスト] カードで、機能を有効または無効にし、その設定を構成できます。
[構成] をクリックして、IP ブラックリストのパラメーターを設定します。
パラメーターの説明:
ブラックリスト IP リスト:IP ブラックリスト内のアドレスは、アプリケーションの Client_ID、Client_Secret、または対応する Access_Token を使用してインターフェイスを呼び出すことはできません。
有効化:IP ブラックリスト機能をオンまたはオフにします。
IP ホワイトリスト
アプリケーションインターフェイスに移動して IP ホワイトリストを構成できます。構成後、アプリケーションの IP ホワイトリスト内のアドレスからのリクエストのみが許可されます。他の IP アドレスからのすべてのリクエストは拒否されます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[IP ホワイトリスト] カードで、構成ページに移動します。
[アプリケーションページに移動して構成] をクリックして、IP ホワイトリストのパラメーターを設定します。
アプリケーションリストから、ターゲットアプリケーションを選択し、[IP ホワイトリスト構成] をクリックします。
パラメーターの説明:
IP ホワイトリスト:ホワイトリストが有効な場合、ホワイトリスト上の IP アドレスからの API リクエストのみが処理されます。ホワイトリストが空の場合、すべての IP アドレスからのリクエストが処理されます。
ホワイトリストを有効にする:IP ホワイトリスト機能をオンまたはオフにします。
異常なアクセス場所のチェック
同じユーザーによる 2 回の連続した認証試行の間の場所が異常な場合 (IP アドレスから派生した地理的な場所)、IDaaS はユーザーにショートメッセージアラートを送信します。この機能には、SMS テンプレートでの事前の構成が必要です。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[異常なアクセス場所のチェック] カードで、機能を有効または無効にします。
アカウント
Captcha によるブルートフォース攻撃からの保護
ユーザー名/電話番号/メールアドレス + パスワード認証形式を使用する場合、特定の時間範囲内の認証失敗に対して Captcha コントロールを構成できます。これにより、レインボーテーブル攻撃などのブルートフォース攻撃を防ぎます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[CAPTCHA によるブルートフォース攻撃からの保護] カードで、設定を構成し、機能を有効または無効にします。
パラメーターの説明:
時間範囲:認証失敗のカウント時間範囲です。例:デフォルトは 5 分です。
認証失敗回数:認証失敗の範囲です。0 に設定した場合、Captcha は必須です。
有効化:Captcha によるブルートフォース攻撃からの保護機能をオンまたはオフにします。
頻度制限によるブルートフォース攻撃からの保護
ユーザー名/電話番号/メールアドレス + パスワード認証形式を使用する場合、特定の時間範囲内の認証失敗に対して頻度制限を構成できます。これにより、マシンアクセスやレインボーテーブル攻撃などのブルートフォース攻撃を防ぎます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[頻度制限によるブルートフォース攻撃からの保護] カードで、設定を構成し、機能を有効または無効にできます。
パラメーターの説明:
時間範囲:認証頻度のカウント時間範囲です。例:5 分。
頻度カウント:認証頻度の範囲です。例:2 回。
ロック時間範囲:ロック時間範囲です。例:5 分。
有効化:頻度制限によるブルートフォース攻撃からの保護機能をオンまたはオフにします。
Captcha による SMS/メール保護
ショートメッセージを送信する際に、人間と機械の検証のために Captcha コントロールを構成して、自動化されたショートメッセージの送信を防ぎ、損失を回避できます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[Captcha による SMS/メール保護] カードで、設定を構成し、機能を有効または無効にできます。
パラメーターの説明:
時間範囲:認証頻度のカウント時間範囲です。例:5 分。
認証失敗回数:認証失敗の範囲です。例:設定された時間範囲内で 2 回連続して認証に失敗すると、Captcha が必須になります。
有効化:Captcha による SMS/メール保護機能をオンまたはオフにします。
頻度制限による SMS/メール保護
ショートメッセージを送信する際に、人間と機械の検証のために頻度制限を構成して、自動化されたショートメッセージの送信を防ぎ、損失を回避できます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[頻度制限による SMS/メール保護] カードで、設定を構成し、機能を有効または無効にできます。
パラメーターの説明:
時間範囲:認証頻度のカウント時間範囲です。例:5 分。
頻度カウント:認証頻度の範囲です。例:2 回。
ロック時間範囲:ロック時間範囲です。例:5 分。
有効化:頻度制限による SMS/メール保護機能をオンまたはオフにします。
SMS 制限によるログイン保護
同じログインフロー内での SMS/メール検証コードの検証回数に制限を構成して、検証コードの紛失による認証リスクを防ぐことができます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[SMS 制限によるログイン保護] カードで、設定を構成し、機能を有効または無効にできます。
パラメーターの説明:
検証回数:検証回数のカウント範囲です。例:3 回。3 回を超えると、現在の検証コードは無効になります。
有効化:SMS 制限によるログイン保護機能をオンまたはオフにします。
認証頻度制限
特定の時間範囲内に同じアカウントでの認証試行回数 (成功または失敗にかかわらず) に制限を構成して、ボットプロキシを防ぎ、アカウントのセキュリティを向上させることができます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[認証頻度制限] カードで、機能を有効または無効にし、その設定を構成できます。
パラメーターの説明:
時間範囲:認証頻度のカウント時間範囲です。例:5 分。
認証頻度カウント:認証頻度の範囲です。例:2 回。
ロック時間範囲:ロック時間範囲です。例:5 分。
有効化:認証頻度制限機能をオンまたはオフにします。
パスワード
パスワード履歴
各アカウントのパスワード履歴レコードを保持できます。ユーザーは、登録時またはパスワード変更時に、履歴パスワードと一致するパスワードを使用することはできません。チェックする履歴パスワードの数を構成できます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[パスワード履歴] カードで、機能を有効または無効にし、その設定を構成できます。
パラメーターの説明:
パスワード履歴:現在のパスワードは、履歴パスワードの何世代前までと一致させてはならないか。例:5。
有効化:パスワード履歴機能をオンまたはオフにします。
定期的なパスワード変更
定期的なパスワード変更を強制するかどうかを構成し、パスワードの有効期間を設定できます。期間は、構成で管理者によって設定されます。期間が終了すると、ユーザーはアプリケーションリソースにアクセスする前にパスワードを変更する必要があります。注意して有効にしてください。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[定期的なパスワード変更] カードで、設定を構成し、この機能を有効または無効にできます。
パラメーターの説明:
パスワード有効期間:現在のパスワードの有効な使用期間を選択します。オプションには、10 日、30 日、60 日、180 日、360 日が含まれます。
有効化:定期的なパスワード変更機能をオンまたはオフにします。
パスワード強度チェック
ユーザーに適したパスワード強度ポリシーを設定できます。有効にすると、ユーザーはパスワードの設定または変更時に、指定した強度要件を満たすパスワードを設定するように求められ、要求されます。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[パスワード強度チェック] カードで、機能を有効または無効にし、その設定を構成できます。
パラメーターの説明:
最小長:現在のパスワードの有効な使用期間を選択します。オプションには、10 日、30 日、60 日、180 日、360 日が含まれます。
パスワードの複雑さ:複雑さの構成オプションには、以下が含まれます:
パスワードには少なくとも 1 つの大文字を含める必要があります
パスワードには少なくとも 1 つの小文字を含める必要があります
パスワードには少なくとも 1 つの数字 0-9 を含める必要があります
パスワードには少なくとも 1 つの特殊文字 (!@ # $ % & * ~) を含める必要があります
パスワードにユーザー名を含めることはできません
パスワードにユーザー名のピンインを含めることはできません
パスワードに電話番号を含めることはできません
パスワードにメールのプレフィックスを含めることはできません
有効化:定期的なパスワード変更を有効または無効にします。
弱いパスワードのチェック
システムユーザーが使用する弱いパスワードを検出して、弱いパスワードを使用するアカウントからのセキュリティリスクを排除できます。弱いパスワード検出が有効になっている場合、ユーザーはシステムプロンプトを受け取り、登録またはパスワード変更時に、弱いパスワードライブラリで検出可能な弱いパスワードを設定できなくなります。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動し、[弱いパスワードのチェック] カードで、機能を有効または無効にします。
侵害されたパスワードのチェック
IDaaS は、インターネット上で侵害されたパスワードのレコードを継続的に更新します。このオプションが選択されている場合、ユーザーが登録またはパスワードを変更する際に、システムは侵害されたパスワードライブラリに記録されているパスワードを拒否します。
コンソールによる構成
手順
管理者アカウントで CIAM 管理プラットフォームにログインします。
に移動します。[侵害されたパスワードのチェック] カードで、機能を有効または無効にできます。