パスワードリセット要求の無効な理由について

TianhanJ · 3 週間前

パスワードリセット要求テーブル（pwd_reset_request）における「無効な理由」フィールドについて、以下の点を教えていただけますでしょうか。

「ブロック済み」と「ロック中」の違いについて
それぞれが発生する具体的な原因について

お手数をおかけしますが、ご教示いただけますと幸いです。
どうぞよろしくお願いいたします。

Vishal_Jaiswal · 3 週間前

1. ロック（アカウントステータス）
このステータスは、ユーザーの実際のアカウント（sys_user テーブルまたは対象の Active Directory 上）が現在「ロックアウト」状態であることを示します。

意味：アカウントが管理者によってロックされているか、ロックアウトポリシーがトリガーされた（通常はログイン画面で間違ったログインパスワードを何度も入力した）ため、ユーザーはシステムにログインできません。

具体的な原因：
ServiceNow ロックアウト：ユーザーのレコード（sys_user）の locked_out フィールドが true に設定されている。
管理アクション：管理者がユーザーのプロファイルで「ロックアウト」を手動でチェックした。
ポリシー違反：設定によっては、システムで既に「ロックアウト」とマークされているアカウントのパスワードをユーザーがリセットしようとすると、プロセスが停止し、理由が「ロック」として記録されることがあります。

2. ブロック（セキュリティメカニズム）
このステータスは、パスワードリセットアプリケーションのロジックに固有のものです。これは、セキュリティ質問やSMSコードなどの認証方法に対するブルートフォース攻撃を防ぐために設計されたセキュリティ機能です。

意味：ユーザーのアカウントはアクティブで有効ですが、本人確認手順に何度も失敗したため、一時的にパスワードリセットツールを使用できません。

具体的な原因：
最大試行回数の超過：ユーザーがパスワードのリセットを試み、セキュリティ質問（QA）に連続して何度も間違って回答しました。
SMS/メールコードによる認証失敗：ユーザーが認証コードを要求しましたが、間違ったコードを繰り返し入力しました。
設定しきい値：パスワードリセットプロセスの設定に「最大試行回数」があります。この設定が3に設定されている場合、ユーザーが3回認証に失敗すると、一定期間（例：24時間）パスワードのリセットが「ブロック」されます。

Regards,

Vishal

元の投稿で解決策を見る

Vishal_Jaiswal · 3 週間前

こんにちは @TianhanJ 、

1. フィールドに「不明」と「ロック済み」が表示される理由：
- この組み合わせは、ユーザーが ServiceNow でローカルにロックアウトされている場合によく見られます。
- 無効な理由：「ロック済み」：これは、リクエストが行われた時点の「スナップショット」です。ユーザーがパスワードリセットを試みたとき、システムは sys_user レコードを確認し、locked_out チェックボックスがチェックされている（True）ことを確認し、プロセスを直ちに停止しました。
- プロセスが直ちに停止したため、検証手順に進むことができませんでした。

- アカウントロックステータス：「不明」：このフィールドは、特定のワークフローアクティビティ（Active Directory のステータス確認など）によって入力されることがよくあります。「無効な理由」によりプロセスが即座に中止されたため、ワークフローは実際のアカウントステータスを照会する手順に到達しませんでした。そのため、システムはデフォルト値「不明」のままにします。

2. ロックアウト状態が「False」の場合と自動ロック解除プロパティについて：
- リクエストログにはロックアウトされていると表示されていますが、現在ユーザーはロックアウトされていません（locked_out が false です）。
- glide.user.unlock_timeout_in_mins によってロックが解除された可能性はありますか？：はい

よろしくお願いいたします。
Vishal

元の投稿で解決策を見る

Vishal_Jaiswal · 3 週間前

Hi @TianhanJ ,

1. ロック（アカウントステータス）
このステータスは、ユーザーの実際のアカウント（sys_user テーブルまたは対象の Active Directory 上）が現在「ロックアウト」状態であることを示します。

意味：アカウントが管理者によってロックされているか、ロックアウトポリシーがトリガーされた（通常はログイン画面で間違ったログインパスワードを何度も入力した）ため、ユーザーはシステムにログインできません。

具体的な原因：
ServiceNow ロックアウト：ユーザーのレコード（sys_user）の locked_out フィールドが true に設定されている。
管理アクション：管理者がユーザーのプロファイルで「ロックアウト」を手動でチェックした。
ポリシー違反：設定によっては、システムで既に「ロックアウト」とマークされているアカウントのパスワードをユーザーがリセットしようとすると、プロセスが停止し、理由が「ロック」として記録されることがあります。

2. ブロック（セキュリティメカニズム）
このステータスは、パスワードリセットアプリケーションのロジックに固有のものです。これは、セキュリティ質問やSMSコードなどの認証方法に対するブルートフォース攻撃を防ぐために設計されたセキュリティ機能です。

意味：ユーザーのアカウントはアクティブで有効ですが、本人確認手順に何度も失敗したため、一時的にパスワードリセットツールを使用できません。

具体的な原因：
最大試行回数の超過：ユーザーがパスワードのリセットを試み、セキュリティ質問（QA）に連続して何度も間違って回答しました。
SMS/メールコードによる認証失敗：ユーザーが認証コードを要求しましたが、間違ったコードを繰り返し入力しました。
設定しきい値：パスワードリセットプロセスの設定に「最大試行回数」があります。この設定が3に設定されている場合、ユーザーが3回認証に失敗すると、一定期間（例：24時間）パスワードのリセットが「ブロック」されます。

Regards,

Vishal

TianhanJ · 3 週間前

@Vishal_Jaiswal

ご回答ありがとうございました。

1. ロックについて、もう少しお伺いしたいです。

パスワードリセット要求テーブル（pwd_reset_request）のレコードを確認したところ、
「アカウントロックステータス」は「不明」、
「無効な理由」は「ロック中」と表示されています。

また、ユーザーの「ロックアウト」はFalseとなっています。

パスワードリセット時にユーザーがロックアウトされていたようですが、
OOTBのプロパティ glide.user.unlock_timeout_in_minsによって、ロックアウトが解除された可能性があるのでしょうか？

Vishal_Jaiswal · 3 週間前

こんにちは @TianhanJ 、

1. フィールドに「不明」と「ロック済み」が表示される理由：
- この組み合わせは、ユーザーが ServiceNow でローカルにロックアウトされている場合によく見られます。
- 無効な理由：「ロック済み」：これは、リクエストが行われた時点の「スナップショット」です。ユーザーがパスワードリセットを試みたとき、システムは sys_user レコードを確認し、locked_out チェックボックスがチェックされている（True）ことを確認し、プロセスを直ちに停止しました。
- プロセスが直ちに停止したため、検証手順に進むことができませんでした。

- アカウントロックステータス：「不明」：このフィールドは、特定のワークフローアクティビティ（Active Directory のステータス確認など）によって入力されることがよくあります。「無効な理由」によりプロセスが即座に中止されたため、ワークフローは実際のアカウントステータスを照会する手順に到達しませんでした。そのため、システムはデフォルト値「不明」のままにします。

2. ロックアウト状態が「False」の場合と自動ロック解除プロパティについて：
- リクエストログにはロックアウトされていると表示されていますが、現在ユーザーはロックアウトされていません（locked_out が false です）。
- glide.user.unlock_timeout_in_mins によってロックが解除された可能性はありますか？：はい

よろしくお願いいたします。
Vishal