セキュリティポリシーの設定方法

セキュリティポリシーの設定により、パスワードルール・セッションの有効期限・パスワードの有効期限・未使用アカウントの停止設定を行うことができます。
※ご利用にはPROプランのご契約が必要です。

 

設定方法

  1. トラスト・ログインにログインし、「管理ページ > 設定 > セキュリティポリシー」メニューを開き、「編集」ボタンを開きます。

    __________01.png

  2. 有効にしたい項目をON(緑の状態)にし、各々の数値を設定の上、「保存」ボタンで保存します。
    ※「保存」ボタンをクリックしたタイミングで有効にした各設定が動作いたします。
     設定内容によっては、強制ログアウトされる場合がございます。
     事前に各機能の設定方法を以下よりご確認の上、ご設定ください。


    _______.png


  • パスワードルール
    お客様(企業ID)毎にトラスト・ログインのパスワード認証に用いる「文字数」(8~99文字の間)、
    「文字種」(英大文字・英小文字・数字・記号)の変更が可能です。

    パスワードルールのトグルをオンにすることで適用となります。
    オフの場合は従来の「英字大小・数字・記号を含む8桁以上」の標準ルールが適用となります。

    ※当機能をオンにした後、新規メンバーの初回パスワード設定時、ならびにパスワードリセット
     時以降に適用となります。パスワード設定済のユーザーへ再設定を強制する要求は行いません。
    ※パスワード設定済のユーザーに適用したい場合は、次項の「パスワードの有効期限」を短くし、
     現在のパスワードの有効期限が切れるよう調整するなどして対応してください。
     本対応後は、パスワードの有効期限を本来の期間に戻してください。

    ※オフの場合は既定の「英大文字・英小文字・数字・記号を含む8桁以上」が適用されます。
  • セッションの有効期限
    ブラウザ(PCとモバイル)・モバイルアプリそれぞれでセッションの有効期限を時間または分単位で設定します。
    1時間~720時間または1分~720分の間で設定可能です。
    既定値は、ブラウザが最終アクセスから8時間、モバイルアプリがログインから24時間となります。

  • パスワードの有効期限
    ※本設定を有効にした時点から、最終ログイン日・最終パスワード変更日を元に有効期限判定が
     動作し、既に有効期限を過ぎているユーザーは強制的にパスワード変更画面に遷移しますので
     ご注意
    ください。
    ※本設定を有効にしてからX日後にポリシーが適用されるという挙動ではございません。
    指定した間隔でトラスト・ログインのログインパスワード変更が必要になります。
    (1〜365日の間で日単位で設定)
    変更期限までの通知日数も設定できます。(1〜30日の間で日単位で設定)
    変更期限が来ると、ユーザーはログイン時に新しいパスワードの入力が必要となります。
    ユーザーが期限内に自身でパスワードの変更を行なった場合、その時点から有効期限カウントされます。
    「パスワード履歴管理(回)」では、指定した過去回数分で利用したパスワードと同一のパスワードを設定することができなくなります(1〜24回の間で設定)。

    本設定がオフの場合、パスワードの有効期限は設定されず無期限となり、履歴管理もされません。

  • 未使用アカウントの停止
    SSO・ログインの操作を未実施の状態で指定した期間を経過するとユーザーのアカウントステータスを自動的に停止にします(31〜365日の間で日単位で設定)。既定では自動停止はしません。
    アカウント作成(管理者による招待)から本登録がない場合には、期間経過後に停止となります。
    例)未使用アカウントの停止を90日と設定した場合、その時点で過去90日間ログインしていなかったユーザーは即停止となります。
    ※Active Directory連携・外部IDP連携(SCIM)オプションは対象外となります。
    ※オンにする場合、トラスト・ログイン管理者を複数人にしての運用をお勧めします。1名の場合、唯一の管理者が未使用で停止になり、ログインができなくなるケースが想定されます。
    ※G suite連携を行っている場合、メンバーが長期休暇などの理由で自動停止されるとそのメンバー宛のメールは受信できなくなります。メンバーの長期休暇が予想される場合には設定しないことをお勧めします。

    自動停止されたユーザーのステータスを再度有効にする場合は、「管理ページ > 設定 > メンバー」から対象のユーザーを検索し、ユーザー情報の編集より可能です。

    security_policy_03.png



  • ログインフローのカスタマイズ
    トラスト・ログインへのログイン時、アカウント選択の候補が1つのみの場合には
    アカウント選択画面をスキップすることができます。
    対象となるアカウントでデスクトップSSOをご利用の場合、
    拡張機能内の「ログイン画面を開く」ボタンをクリックするだけでログインが完了します。

    ※マイページ右上メニューの「別アカウントでログインする」からログインいただくことで、
     アカウント選択に別ユーザーを追加することが可能です。以降はスキップされなくなります。

    ※クライアント認証・デバイス制限と併用した場合、本設定が有効だと自動で証明書の選択画面
     まで遷移しますが、その後別アカウントに変更しても証明書の選択状況をブラウザが保持して
     しまうため、証明書を再選択することができません。クライアント認証・デバイス制限が有効な
     複数アカウントを切り替えて使用する想定の場合は、本設定は無効にしてご利用ください。

    ※本機能をオンにした状態でIPアドレス制限によってログインに失敗した場合、以下のように
     ログインフォームが空の(アカウントが選択されていないように見える)状態で
     エラーメッセージが表示されます。
     しかしながら、実際はアカウント選択をスキップしたユーザーを対象としたメッセージとなります。

  •  

    _______.PNG
    ※デスクトップSSOを優先して行う設定が有効になっている場合
     ユーザーがログアウト操作をしても、アカウント選択とデスクトップSSOによる認証が
     自動で実施されるため、再びログイン後のマイページに画面遷移いたします。

セキュリティポリシーの設定方法

セキュリティポリシーの設定により、パスワードルール・セッションの有効期限・パスワードの有効期限・未使用アカウントの停止設定を行うことができます。
※ご利用にはPROプランのご契約が必要です。

 

設定方法

  1. トラスト・ログインにログインし、「管理ページ > 設定 > セキュリティポリシー」メニューを開き、「編集」ボタンを開きます。

    __________01.png

  2. 有効にしたい項目をON(緑の状態)にし、各々の数値を設定の上、「保存」ボタンで保存します。
    ※「保存」ボタンをクリックしたタイミングで有効にした各設定が動作いたします。
     設定内容によっては、強制ログアウトされる場合がございます。
     事前に各機能の設定方法を以下よりご確認の上、ご設定ください。


    _______.png


  • パスワードルール
    お客様(企業ID)毎にトラスト・ログインのパスワード認証に用いる「文字数」(8~99文字の間)、
    「文字種」(英大文字・英小文字・数字・記号)の変更が可能です。

    パスワードルールのトグルをオンにすることで適用となります。
    オフの場合は従来の「英字大小・数字・記号を含む8桁以上」の標準ルールが適用となります。

    ※当機能をオンにした後、新規メンバーの初回パスワード設定時、ならびにパスワードリセット
     時以降に適用となります。パスワード設定済のユーザーへ再設定を強制する要求は行いません。
    ※パスワード設定済のユーザーに適用したい場合は、次項の「パスワードの有効期限」を短くし、
     現在のパスワードの有効期限が切れるよう調整するなどして対応してください。
     本対応後は、パスワードの有効期限を本来の期間に戻してください。

    ※オフの場合は既定の「英大文字・英小文字・数字・記号を含む8桁以上」が適用されます。
  • セッションの有効期限
    ブラウザ(PCとモバイル)・モバイルアプリそれぞれでセッションの有効期限を時間または分単位で設定します。
    1時間~720時間または1分~720分の間で設定可能です。
    既定値は、ブラウザが最終アクセスから8時間、モバイルアプリがログインから24時間となります。

  • パスワードの有効期限
    ※本設定を有効にした時点から、最終ログイン日・最終パスワード変更日を元に有効期限判定が
     動作し、既に有効期限を過ぎているユーザーは強制的にパスワード変更画面に遷移しますので
     ご注意
    ください。
    ※本設定を有効にしてからX日後にポリシーが適用されるという挙動ではございません。
    指定した間隔でトラスト・ログインのログインパスワード変更が必要になります。
    (1〜365日の間で日単位で設定)
    変更期限までの通知日数も設定できます。(1〜30日の間で日単位で設定)
    変更期限が来ると、ユーザーはログイン時に新しいパスワードの入力が必要となります。
    ユーザーが期限内に自身でパスワードの変更を行なった場合、その時点から有効期限カウントされます。
    「パスワード履歴管理(回)」では、指定した過去回数分で利用したパスワードと同一のパスワードを設定することができなくなります(1〜24回の間で設定)。

    本設定がオフの場合、パスワードの有効期限は設定されず無期限となり、履歴管理もされません。

  • 未使用アカウントの停止
    SSO・ログインの操作を未実施の状態で指定した期間を経過するとユーザーのアカウントステータスを自動的に停止にします(31〜365日の間で日単位で設定)。既定では自動停止はしません。
    アカウント作成(管理者による招待)から本登録がない場合には、期間経過後に停止となります。
    例)未使用アカウントの停止を90日と設定した場合、その時点で過去90日間ログインしていなかったユーザーは即停止となります。
    ※Active Directory連携・外部IDP連携(SCIM)オプションは対象外となります。
    ※オンにする場合、トラスト・ログイン管理者を複数人にしての運用をお勧めします。1名の場合、唯一の管理者が未使用で停止になり、ログインができなくなるケースが想定されます。
    ※G suite連携を行っている場合、メンバーが長期休暇などの理由で自動停止されるとそのメンバー宛のメールは受信できなくなります。メンバーの長期休暇が予想される場合には設定しないことをお勧めします。

    自動停止されたユーザーのステータスを再度有効にする場合は、「管理ページ > 設定 > メンバー」から対象のユーザーを検索し、ユーザー情報の編集より可能です。

    security_policy_03.png



  • ログインフローのカスタマイズ
    トラスト・ログインへのログイン時、アカウント選択の候補が1つのみの場合には
    アカウント選択画面をスキップすることができます。
    対象となるアカウントでデスクトップSSOをご利用の場合、
    拡張機能内の「ログイン画面を開く」ボタンをクリックするだけでログインが完了します。

    ※マイページ右上メニューの「別アカウントでログインする」からログインいただくことで、
     アカウント選択に別ユーザーを追加することが可能です。以降はスキップされなくなります。

    ※クライアント認証・デバイス制限と併用した場合、本設定が有効だと自動で証明書の選択画面
     まで遷移しますが、その後別アカウントに変更しても証明書の選択状況をブラウザが保持して
     しまうため、証明書を再選択することができません。クライアント認証・デバイス制限が有効な
     複数アカウントを切り替えて使用する想定の場合は、本設定は無効にしてご利用ください。

    ※本機能をオンにした状態でIPアドレス制限によってログインに失敗した場合、以下のように
     ログインフォームが空の(アカウントが選択されていないように見える)状態で
     エラーメッセージが表示されます。
     しかしながら、実際はアカウント選択をスキップしたユーザーを対象としたメッセージとなります。

  •  

    _______.PNG
    ※デスクトップSSOを優先して行う設定が有効になっている場合
     ユーザーがログアウト操作をしても、アカウント選択とデスクトップSSOによる認証が
     自動で実施されるため、再びログイン後のマイページに画面遷移いたします。