AD 認証情報ストアへの接続を設定する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • ユーザーがパスワードの変更またはリセットを実行している間の Active Directory サーバーへのアクセスを設定するには、パスワードリセット の認証情報ストアレコードを作成します。ホスト接続情報のほか、ユーザーに表示するパスワード ヒント、パスワードの再利用に関する制限、リセット試行の許容失敗回数などの設定を指定することができます。

    始める前に

    必要なロール:なし

    このタスクについて

    Microsoft AD Spoke for パスワードリセット アドオンによって、AD 認証情報ストアタイプがインストールされます。パスワードリセット Windows アプリケーションMicrosoft AD 認証情報ストアのみをサポートしています。

    手順

    1. 移動先 すべて > パスワード > 資格情報ストア をクリックし、テンプレートとして使用する サンプルの Microsoft AD 認証情報ストア を選択します。
    2. 一意で意味のある [名前][説明] を入力し、フォームに記入します。
      タイプ [Microsoft AD 認証情報ストアタイプ] を選択します。ServiceNow の認証情報ストア タイプは、特定のタイプの認証情報ストアに必要な一連の機能を提供するテンプレートです。認証情報ストアは、認証情報ストア タイプの機能を継承します。
      パスワードの自動生成 リセット プロセス中に使用する一時パスワードを生成するスクリプトインクルードを指定します。
      注:
      [履歴ポリシーを強制] チェックボックスをオンにしている場合は、パスワードのポリシーに準拠した [パスワードの自動生成] の値を指定する必要があります。選択できるオプションがいくつかあります。
      • 選択したポリシーに準拠した自動生成パスワード。
      • 暗号化されて安全な自動生成パスワード。
      • デフォルトの自動生成パスワード。
      履歴ポリシーを強制 認証情報ストアのタイプとして [Microsoft AD 認証情報ストアタイプ] または [ローカル ServiceNow インスタンス] を選択した場合にのみ表示されます。

      Microsoft AD 認証情報ストアタイプは履歴チェックをサポートしています。[履歴ポリシーを強制] オプションは、[Microsoft AD 認証情報ストアタイプ][履歴チェックをサポート] オプションが選択されている場合にのみ表示されます。

      AD 以外の認証情報ストア タイプの設定方法については、「パスワードリセット プロセスの認証情報ストアへの接続を設定する」を参照してください。

      [履歴ポリシーを強制] チェックボックスをオンにして、履歴ポリシー (パスワードの再利用) を強制します。

      履歴ポリシー (パスワードの再利用):ユーザーがパスワードを再利用しないようにする履歴ポリシーを含めるように、Active Directory ドメインを設定できます。たとえば、履歴ポリシーを設定して、パスワードのリセット時にユーザーが以前の 10 個のパスワードを再利用できなくすることが可能です。この履歴ポリシー制限は、password_history_limit 検証パラメーターによって管理されます。
      ホスト名 認証情報ストアの URL または IP アドレスを指定します。
      ユーザーアカウントのルックアップ ユーザーの ServiceNow プラットフォーム ID をユーザーの認証情報ストア ID にマップするスクリプトインクルードを指定します。

      デフォルトのスクリプト PwdDefaultUserAccountLookup は、ユーザーの ServiceNow プラットフォームのユーザー名を返します。
      パスワードのルールのヒント ユーザーがすべての要件を満たすパスワードを作成することを支援するために、パスワードリセットページに表示されるテキストを指定します。[パスワードのルール] スクリプトが要件を適用します。
      注:
      パスワードリセット Windows アプリケーションはヒント内の改行文字をサポートしています。その他の書式設定はサポートされていません (太字、下線、ハイパーリンクなど)。
      パスワードのルール ユーザーが入力する新しいパスワードを検証するクライアント スクリプトを指定します。このスクリプトは、ユーザーが新しいパスワードを入力して [パスワード] をクリックすると呼び出されます。このスクリプトを使用して、パスワードの安全性/複雑さの要件を適用することができます。
      パスワードの安全性の有効化 次のことを行うには、このチェックボックスをオンにします。
      • スクリプトを更新できるように、[安全性ルール] スクリプト用のテキスト ボックスを表示する。
      • ユーザーがパスワードを変更またはリセットしている間に、ユーザーにグラフィカルな [パスワードの安全性] バーを表示する。
      注:
      パスワードリセット Windows アプリケーション はパスワードの安全性をサポートしていません。
      安全性ルール このテキスト ボックスは、[パスワードの安全性の有効化] を選択した場合にのみ表示されます。

      ユーザーが入力するパスワードの安全性/複雑さを計算するクライアント スクリプトを指定します。このスクリプトは、リセットプロセス中にユーザーが新しいパスワードを入力し始めると呼び出されます。

      デフォルト設定:
      • ローカル ServiceNow 認証情報ストアでは選択されています。
      • 他の認証情報ストアでは選択されていません。
      注:

      • リセットプロセス中にユーザーをガイドするために、[新しいパスワード] フィールドの下に [パスワードの安全性] とラベルされたグラフィカルバーが表示されます。

        パスワードの安全性のインジケーター
      • パスワードリセット Windows アプリケーション はパスワードの安全性をサポートしていません。
    3. [送信] をクリックします。
    4. ドメインコントローラーで、パスワード エイジング (MIN_PASSWORD_AGE) をゼロに設定します。
    5. AD 認証情報ストア用に設定した履歴ポリシーを強制するには、次の手順を実行します。
      1. 認証情報ストアに関連付けられている パスワードリセット プロセスを開きます。 パスワードリセット > プロセス.
      2. パスワードリセット プロセスフォームの [パスワードリセットの詳細] タブで、[パスワードの自動生成] チェックボックスをオフにした後、プロセス定義を保存します。
    6. パスワードリセットの最大試行回数を適用するには、[パスワードリセットの認証情報ストアパラメーター] 関連リストで、max_reset_attempts パラメーターの値を許容される試行失敗回数に設定します。

      デフォルト値の 0 (ゼロ) では、無制限のリセット試行が可能です。

      注:
      max_reset_attempts 設定は、AD 認証情報ストアを使用するパスワードリセットプロセスにのみ適用されます。
    7. [送信] をクリックします。
    8. Microsoft AD v2 Spoke を設定
    9. Test the connection to the credential store (認証情報ストアへの接続をテストする)」の手順を実行します。