本記事の内容では、以下の条件で検証いたしました。
Windows:2022
Spotfire:14.0
パスワードに対する禁則文字
Spotfire固有機能のDB認証では、Spotfireのアカウントのパスワードに使用できない禁則文字があります。
禁則文字 | 例 | 備考 |
ホワイトスペース(スペースやタブ)のみ |
||
文字列の接頭あるいは接尾にあるホワイトスペース(スペースやタブ) |
Q2pG!3a| p2VMY%Ur |
v14.4では、仕様変更により、 接頭接尾にスペースを追加することが可能になりました。 |
: |
wpius:aa |
|
パスワードとして設定可能な文字列の長さ
文字列の長さの指定は、v12.2より追加された機能である「password-policies」を利用することで実現することが可能です。
※ただし、Spotfire Analystからユーザーに対するパスワードの設定する場合には、50文字以下という制限があります。一方で、Web画面から設定する場合には50文字以上のパスワードを割り当てることも可能です。
具体的な文字数の長さの変更方法をいかに示します。
1.Spotfire Server端末内でOS管理者権限でコマンドプロンプトを起動してSpotfire Serverのインストール先フォルダ(下記例)へ移動してください
cd C:\spotfire\spotfireserver\14.0.2\tomcat\spotfire-bin
2.以下のコマンドを実行して現行設定をエクスポートしてください。
※コマンド実行時にConfiguration Toolのパスワードが必要です。
config.bat export-config -f
3.以下のコマンドを実行し、文字数の指定を有効化します。
config set-config-prop --name="security.password-policies.password-length-policy.enabled" --value="true"
※この状態における最小文字数、最大文字数はそれぞれ以下の通りです。
最小文字数:8
最大文字数:64
4.以下のコマンドを実行し、最小文字数を指定します。
config set-config-prop --name="security.password-policies.password-length-policy.minimum-password-length" --value="12"
※本コマンドでは、最小文字数として12を指定
5.以下のコマンドを実行し、最大文字数を指定します。
config set-config-prop --name="security.password-policies.password-length-policy.maximum-password-length" --value="50"
※本コマンドでは、最大文字数として50を指定
上記が完了した場合、以下の画像のように「Successfully ~」という文章が出力されます。
6.以下のコマンドを実行して変更後の設定ファイル「configuration.xml」をインポートします。
config.bat import-config -c "eable password length policy"
上記が完了した場合、以下の画像のように、「Successfully ~ 」という文章が出力されます。
7.以下の順でサービスを再起動し、設定変更を反映させてください。
・Spotfire Node Managerの停止
・Spotfire Serverの停止
・Spotfire Serverの起動
・Spotfire Node Managerの起動
8.設定が反映されているかどうか確認します。
Webブラウザから管理コンソールを開き、ユーザーを作成する過程で、パスワードを12未満で指定してください。設定が反映されている場合、以下の画面のようにエラーが出力されます。
参考資料:Authentication towards the Spotfire database
認証のカスタマイズ・アカウントポリシーの作成について
Spotfire固有機能のDB認証では、パスワードポリシーを設定する機能が搭載されておりません。そのため、「特定回数以上ログイン認証に失敗した場合はアカウントロックし、一定時間ログイン不可にする」などの対応はできません。
より高度な、お客様の要望に合わせたパスワードポリシーを適用したい場合には外部認証システム(LDAPなど)と連携していただき、外部認証システム側にて実現してください。
※例えばLDAP認証を利用する場合、Spotfireへログインする際にはLDAPサーバーにて認証を行いますのでLDAP側のパスワードポリシーに従います。
また、外部認証システムとの連携は上記のLDAPのほかに、Microsoft Azure ADなどのOpenID Connectも利用可能です。
OpenID Connect認証につきまして以下の製品マニュアルをご参照ください。
Web authentication
また、追加の認証要素を要求するなどの対応については、Spotfireでは二要素認証を有効にすることで対応できます。
二要素認証とは、元の認証方式(DB認証、LDAP認証など)に「クライアント証明書による認証」を加える形となります。
ユーザーがブラウザまたはAnalyst からSpofire Serverへアクセスする際に、まずはクライアント証明書の選択画面が表示され、選択されたクライアント証明書と情報が一致するSpotfireアカウントでしかログインできません。
※クライアント証明書は予めアクセス元の端末にインストールする必要があります。
二要素認証要素認証につきまして以下の製品マニュアルをご参照ください。
Two-factor authentication