アカウント復旧 (ACR)

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • アドミニストレーターは、アカウント復旧 (ACR) を設定して、SSO の設定ミスや期限切れの証明書への対処などの復旧アクティビティを実行できます。

    注:
    ACR を有効にすると、インスタンスに対して SSO が有効になっている場合に、ローカルのインタラクティブログイン (ユーザー名またはパスワードベース) が無効になります。

    ACR は次の機能を提供します。

    • シングルサインオン (SSO) ログインをバイパスして、アドミニストレーターとして SSO 構成の問題に対処します。
    • SSO を使用してログインし、アカウント復旧として設定されたアドミニストレーターアカウントでタスクを実行します。
    • ACR フローにより、アドミニストレーターは、SSO の構成ミスや期限切れの証明書など復旧を必要とする場合に、セルフサービス機能を使用して、アカウントの復旧に対処できるようになります。
    • インスタンスへの不正アクセスを減らし、SSO ユースケース外で ACR を使用するための強力な基盤を提供します。

    新しいインスタンス

    新しいインスタンスで ACR を使用するには、次の操作を行う必要があります。

    • Mutli-SSO プラグイン (com.snc.integration.sso.multi.installer) をアクティブにします。
    • ACR を有効にします (glide.sso.acr.enabled)。新しいインスタンスの場合、これはデフォルトで有効になっています。
    • SSO プロパティ (glide.authenticate.multisso.enabled) を有効にする前に、アドミニストレーターは ACR ユーザーとして登録する必要があります。
      注:
      インスタンスでアカウント復旧 (ACR) が有効になっている場合、このプロパティを false に設定しても、マルチプロバイダー SSO は無効になりません。ユーザー名とパスワードでログインするには、 glide.sso.acr.enabled プロパティを使用して ACR も無効にする必要があります。このプロパティの詳細については、「アカウント復旧プロパティ」を参照してください。
    • アドミニストレーターは、ACR ユーザーとして登録する前に、ローカルログインのパスワードを設定し、MFA を登録する必要があります。

    アップグレードされたインスタンス

    アップグレードされたインスタンスで ACR を使用するには、次の操作を行う必要があります。

    • Mutli-SSO プラグイン (com.snc.integration.sso.multi.installer) をアクティブにします。
    • ACR を有効にします (glide.sso.acr.enabled)。
      注:
      アップグレードされたインスタンスの場合、アドミニストレーターは ACR を有効にする必要があります。
    • SSO プロパティ (glide.authenticate.multisso.enabled) を有効にする前に、アドミニストレーターは ACR ユーザーとして登録する必要があります。
    • アドミニストレーターは、ACR ユーザーとして登録する前に、ローカルログインのパスワードを設定し、MFA を登録する必要があります。

    アカウント復旧ユーザーの設定

    アカウント復旧を使用するには、少なくとも 1 つのアドミンアカウントをアカウント復旧ユーザーとして登録する必要があります。少なくとも 1 つのアカウントが設定されるまで、インスタンスでシングルサインオンを有効にすることはできません。このプロセスの詳細については、「[アカウント復旧プロパティ] ページからのアカウント復旧ユーザーの設定」を参照してください。
    注:
    すでにシングルサインオンを使用しているインスタンスを Rome 以降のリリースにアップグレードする場合、シングルサインオンは復旧ユーザーが設定されていなくても引き続き機能します。

    アカウント復旧の構成

    このアカウント復旧機能は、Integration - Multiple Provider Single Sign-On Installer (com.snc.integration.sso.msoi.installer) プラグインに含まれています。この機能はデフォルトで有効になっています。このアカウントおよび他のアカウントの復旧設定は、システムプロパティを使用して変更できます。これらのプロパティの詳細については、「アカウント復旧プロパティ」を参照してください。

    アカウント復旧ポリシーのコンテキスト

    アカウント復旧ユーザーを登録し、シングルサインオン (SSO) を有効にすると、インスタンスはすべてのローカルログインを制限します。この制限は、SSO - ACR コンテキスト認証ポリシーコンテキストで定義されています。コンテキストの詳細については、「アカウント復旧のコンテキスト」を参照してください。

    認証ポリシーとポリシーコンテキストの詳細、およびインスタンスでの動作の詳細については、「適応認証」を参照してください。