SSO ユーザのパスワードポリシーについて

SSO ユーザのパスワードライフタイムは、デフォルトで 90日です。 (バージョンによって異なる可能性があります)

この例では、SSO ユーザのパスワードライフタイムを無期限に設定します。

また、ロックアウトポリシーを変更し、パスワード入力に失敗したときの 最大のログイン試行回数失敗した試行の時間間隔ロック解除時間 を設定します。

以下の順に作業を実施します。

  • パスワードポリシー変更
  • ロックアウトポリシー変更
  • トークンポリシー確認

Step 1. パスワードポリシー変更

まずは、パスワードポリシーを変更するために、vSphere Web Client へログインし、以下を実施します。

ホーム > 管理 > シングルサインオン > 構成 > ポリシー > パスワード ポリシー > 編集
SSO パスワードポリシー編集

編集 ボタンを押すと以下のように パスワード ポリシーの編集 画面が表示されます。

以下の値は、私が使っている環境の設定値です。 参考にして環境に合わせて設定してください。

項目 設定前・後の値
最長有効期限 90 → 0
再利用期限 5 → 1
最大長 20 → 20
最小長 8 → 6
○文字以上の特殊文字 2 → 0
○文字以上のアルファベット文字 1 → 0
○文字以上の大文字 1 → 0
○文字以上の小文字 1 → 0
○文字以上の数字 1 → 0
隣接した同一文字 3 → 3

パスワード有効期限を無効にするには、最大有効期限を 0 に設定 する必要があります。

設定が終わったら OK をクリックします。

SSO パスワードポリシー設定

確認事項

再利用を制限 を 0にすることはできません。 パスワードの有効期限を無効にするので、再利用制限は、0じゃなくても別に構わない気がします。

隣接した同一文字 を 0にすることはできません。

・ 一気に全ての値を設定できない場合には、項目一つずつ設定してください。

・ ここで設定したポリシーの内容は、新規ユーザ作成時にパスワード設定欄のヘルプとして表示されます (i アイコン)

設定が終わったら内容を確認します。 これでパスワードポリシー設定は完了です。

SSO パスワードポリシー設定確認

Step 2. ロックアウトポリシー変更

次に、ロックアウトポリシーを変更します。

失敗した最大のログリン試行回数失敗した試行の時間間隔ロック解除時間 のデフォルト値は、各々 5/180/300 が設定されています。

私が使っている環境は、社内プライベート網で社内の人間しか使わない。 外からは入れない。 手が震えてパスワード間違えることはちょっちゅあることだし、そんなに間隔を伸ばさなてくも良かったので、5/5/60 くらいに設定しておきました。

項目 設定前・後の値
失敗した最大のログリン試行回数 5 → 5
失敗した試行の時間間隔 180 → 5
ロック解除時間 300 → 60

ホーム > 管理 > シングルサインオン > 構成 > ポリシー > ロックアウト ポリシー > 編集 をクリックし、以下のように設定します。

SSO ロックアウトポリシー設定確認

Step 3. トークンポリシー確認

最後に、トークンポリシー設定ですが、この設定は、特に触らなくても良いと思ったので、デフォルトのままにしてあります。

ホーム > 管理 > シングルサインオン > 構成 > ポリシー > トークン ポリシー をクリックし、どんな項目があるか確認だけしておきましょう。

SSO トークンポリシー設定確認

以上、Single Sign-On パスワードポリシー変更 でした。