パスワードの管理【AD連携】
<「Active Directory連携」をご利用のお客様向け>
AD連携でご利用の場合、パスワードはAD上で保持・管理されるものとなり、CloudGate UNOサインオン画面で入力するパスワードは、ADのパスワードです。
CloudGate UNOにはADと連携する各ユーザーのパスワードデータは保持しておらず(AD接続用ユーザーは除きます)、CloudGate UNOのパスワード変更画面からパスワードを変更した場合でも、ADのパスワードが変更されます。
パスワードの管理運用
- パスワード変更要求、パスワード有効期限設定などはすべて ADから行ってください。CloudGate UNOのパスワードポリシーではパスワード有効期限やロックアウトの設定はすべてオフにするか、もしくはADよりも長い値を設定し、ADのパスワードポリシーと重複しないようにします。
- 基本的にパスワード変更は、Windowsのパスワード変更画面より直接ADのパスワードを変更する運用となります。
連携サービス「G Suite」をご利用で且つ「パスワード同期:する」設定の場合の注意点
ADのパスワードをG Suiteに同期「しない」「する」 か設定可能です。「パスワード同期:する」設定でのパスワード管理については上記の限りではございませんので、下記ご確認ください。
- パスワード変更要求、パスワード有効期限設定などはすべて CloudGate UNOから行います。
ADのパスワードポリシーではパスワード有効期限やロックアウトの設定はすべてオフにするか、CloudGate UNOのパスワードポリシーよりも長い値を設定し、CloudGate UNOのパスワードポリシーと重複しないようにします。 - 基本的にパスワード変更は、CloudGate UNOのパスワード変更画面よりADパスワードを変更する運用となります。
CloudGate UNOのパスワード変更画面からパスワードを変更すると、ADとG Suite両方のパスワードが同時に変更されますので、ADとG Suiteのパスワードを同じ値に保つことができます。
直前のプロビジョニングが完了してから次のプロビジョニングが開始されるまで最大で10分程度かかる場合があるため、G Suiteへのパスワード同期が完了したかはプロビジョニング履歴を確認します。 - 「パスワード同期:する」設定とは、あくまでCloudGate UNOのパスワード変更画面よりパスワード変更を行った場合の処理の違いとなります。「パスワード同期:する」設定のお客様でも、CloudGate UNOのパスワード変更画面からの変更を行わず、ADのパスワードを直接変更した場合は、その変更された値はCloudGate UNOで読み取ることができませんので、G Suiteに同期されません。
ADのパスワードポリシーとの兼ね合い
ADのパスワードポリシー機能では様々なポリシーを規定することが可能です。
CloudGate UNOのパスワード変更画面からユーザーがパスワードを変更する場合、「パスワードの最小の長さを適用する(パスワード必須文字数)」「パスワードは要求する複雑さを満たす(パスワード必須文字種別)」は、ADのパスワードポリシーの規定値が優先されます。
ADのポリシーに合わないパスワードは、たとえCloudGate UNOのパスワードポリシーの規定値をクリアしていたとしても、パスワード更新に失敗します。
ただし、その他のADのパスワードポリシーの規定(「パスワードの履歴を記憶する(過去〇世代のパスワード不許可)」など)は、CloudGate UNOから変更するときは、その規定値が反映されませんのでご注意ください。
ADに対して、CloudGate UNOがAdmin権限でパスワード更新をするためこのような仕様となります。
パスワードの有効期限
サインオンに使用するのはADのパスワードですが、パスワードの有効期限の管理としては、ADとCloudGate UNO両方に存在します。そのため、CloudGate UNO管理者サイト上でパスワード有効期限が切れている表示は、ADのパスワード有効期限が切れていることを表すものではないことにご注意ください。
また、CloudGate UNOのパスワード有効期限が切れていない状態であっても、CloudGate UNOからサインオンする際にADのパスワード有効期限が切れている場合は、CloudGate UNOのパスワード変更画面に移動します。そのままCloudGate UNOのパスワード変更画面から、もしくはWindowsのパスワード変更画面からパスワードを変更して、ADのパスワードの有効期限が更新されなければ、サインオンできない仕組みとなっています。
パスワード変更
管理者によるパスワード変更
ADの管理画面より対象ユーザーの仮パスワードを設定し、パスワードをリセットします。
「パスワード同期:する」設定でご利用の場合は、「ユーザーは次回ログオン時にパスワード変更が必要」チェックを外した上でパスワードをリセットして、CloudGate UNOから パスワード変更要求 を設定してください。
ユーザーによるパスワード変更(Windows)
Windowsのパスワード変更画面より、任意のパスワードに変更します。
この画面で変更したパスワードがCloudGate UNOのサインオン画面で入力するパスワードにもなります。
ユーザーによるパスワード変更(CloudGate UNO)