インターフェイス

• 組織の新しいユーザーに対して HTTP、FTP、SSH、およびモバイルインターフェイスのデフォルトポリシーを設定するには:

  管理者としてサインオンします。[SETTINGS (設定)] > [Security Policies (セキュリティポリシー)] > [Interface (インターフェイス)] を選択し、インターフェイスの種類を選択します。

  これらの設定では、組織の新しいユーザーに対してデフォルト値を指定します。それ以降に変更を行う場合は、変更を組織のすべてのユーザー (新規および既存) に適用することも、新しいユーザーのみに適用することもできます。

  個々のユーザーのポリシーは、[ユーザー] > [ユーザー名] > [ユーザー認証] で変更できます。For more information, see 「ユーザープロファイル - ユーザー認証」。

  注: これらすべてのインターフェイスについて、異なるグループのユーザーに異なるインターフェイスポリシーを使用する場合は、MOVEit Transfer で使用可能な [create users as a clone of... (...の複製としてユーザーを作成する)] オプションを参照してください。たとえば、外部認証 (EA) を使用しているユーザーを除くすべてのユーザーに認証プロセスで証明書を提示させるには、クライアント証明書を要求するように組織のデフォルトインターフェイス値を設定し、新しい EA ユーザーの作成時にクライアント証明書での認証が必要ないテンプレートユーザーを複製するように EA ソースを設定します。

HTTP

このページでは、管理者は組織のすべての新規ユーザーに対してデフォルトの HTTP インターフェイスポリシーを設定することができます。このページでポリシーを変更すると、組織のすべての既存ユーザーにも適用するためのオプションが提供されます。使用できるポリシーオプションは次のとおりです。

• [Allow HTTPS Access via Web Interface by Default (デフォルトで Web インターフェイスからの HTTPS アクセスを許可する)]: ユーザーが Web ブラウザからシステムにアクセスできるどうかを指定します。
• [Allow HTTPS Access via HTTP Clients by Default (デフォルトで HTTP クライアントからの HTTPS アクセスを許可する)]: ユーザーが他の HTTP クライアント (MOVEit Automation、MOVEit Transfer API、MOVEit ウィザードなど) からシステムにアクセスできるかどうかを指定します。
• [SSL Client Cert Required by Default (デフォルトで SSL クライアント証明書が必要)]: HTTPS インターフェイスにサインオンするユーザーに、システム認証を行うために有効な SSL クライアント証明書の提示を求めるかどうかを指定します。

  注: SAML シングルサインオンユーザーの場合は、[SSL Client Required (SSL クライアントが必要)] オプションを [No (いいえ)] に設定してください。

• [Password Also Required with SSL Client Cert by Default (デフォルトで SSL クライアント証明書にパスワードも必要)]: 有効な SSL クライアント証明書を使用して HTTPS インターフェイスにサインオンするユーザーに、システム認証を行うために有効なパスワードの送信も求めるかどうかを指定します。
• [Match Cert CN to Username/Full Name (証明書 CN とユーザー名/フルネームを照合する)]: 有効にすると、入力されたユーザーのユーザー名またはフルネームに一致し、システムで信頼されている証明機関によって署名された CN 値を持つ SSL クライアント証明書が有効であると見なされ、認証に使用できるようになります。
• [Allow Username from Client Certificate (クライアント証明書からのユーザー名を許可する)]: 有効にすると、MOVEit Transfer でクライアント証明書からユーザー名を自動的に判断し、サインオンを試行するためのオプションがサインオンページに表示されます。MOVEit Transfer はまず、一致する証明書を内部証明書ストアで検索します。その後、可能であれば、適切に設定された LDAP 外部認証ソースを検索します。一致する証明書が見つかった場合は、関連するユーザー名が推測され、サインオンが試行されます。一致する証明書が見つからなかった場合や、クライアント証明書に加えてパスワードも必要な場合は、サインオンページに戻り、さらに認証情報が必要であることを示すメッセージが表示されます。
• 一致するクライアント証明書が見つかり、関連するユーザー名を使用してユーザーがサインオンに成功した場合、長期間のクッキーが設定され、その後は MOVEit Transfer によってユーザー名自動検出ルーチンに自動的に転送できるようになります。したがって、クライアント証明書が提供され、それが有効である限り、ユーザーが Web サイトを表示すると必ず、システムに直接ログオンすることになります。

FTP

このページでは、管理者は組織のすべての新規ユーザーに対してデフォルトの FTP インターフェイスポリシーを設定することができます。このページでポリシーを変更すると、組織のすべての既存ユーザーにも適用するためのオプションが提供されます。使用できるポリシーオプションは次のとおりです。

• [Allow FTP/SSL Access by Default (デフォルトで FTP/SSL アクセスを許可する)]: ユーザーが安全な FTP over SSL を通じてシステムにアクセスできるどうかを指定します。
• [Allow Insecure FTP Access by Default (デフォルトで安全でない FTP アクセスを許可する)]: ユーザーが安全でないプレーンテキストの FTP を通じてシステムにアクセスできるどうかを指定します。各ユーザーの IP アドレスに対して、安全でない FTP を有効にして許可する必要があります。詳細については、「FTP の設定」ドキュメントページを参照してください。
• [SSL Client Cert Required by Default (デフォルトで SSL クライアント証明書が必要)]: FTP over SSL インターフェイスにサインオンするユーザーに、システム認証を行うために有効な SSL クライアント証明書の提示を求めるかどうかを指定します。
• [Password Also Required with SSL Client Cert by Default (デフォルトで SSL クライアント証明書にパスワードも必要)]: 有効な SSL クライアント証明書を使用して FTP over SSL インターフェイスにサインオンするユーザーに、システム認証を行うために有効なパスワードの送信も求めるかどうかを指定します。
• [Match Cert CN to Username/Full Name (証明書 CN とユーザー名/フルネームを照合する)]: 有効にすると、入力されたユーザーのユーザー名またはフルネームに一致し、システムで信頼されている証明機関によって署名された CN 値を持つ SSL クライアント証明書が有効であると見なされ、認証に使用できるようになります。
• [Holding Tank retention (保留タンクへの保管)]: 証明書/キー保留タンクに入力された SSL クライアント証明書と SSH クライアントキーをここに保持できる期間を指定します。この日数を超えた証明書またはキーは、保留タンクから削除されます。

  信頼された認証局 (CA) とユーザーの保留タンク証明書の管理もここで行われます。信頼された CA の詳細については、「システム設定 - SSL および SSH - SSL - クライアント証明書 - 信頼された CA」ドキュメントページを参照してください。SSL クライアント証明書の保留タンクの詳細については、「システム設定 - SSL および SSH - SSL - クライアント証明書 - 保留タンク」ドキュメントページを参照してください。

  クライアント証明書

  すべてのクライアント証明書は、「自己署名」または「CA 署名」のいずれかです。「CA」は、「認証局」がクライアント証明書に署名し、保持者の ID を保証することを示します。さらに CA は、クライアント証明書の発行サービスと署名サービスを一般に販売する「商用 CA」(Thawte や GeoTrust など) と、独自のユーザーに対して同じクライアント証明書機能を実行する「企業 CA」に分かれます。

  MOVEit では、自己署名証明書、商用 CA 署名証明書、および企業 CA 署名証明書をサポートしています。クライアント証明書は、パスワード付きの "*.pfx" ファイルとして配布できます。または、ユーザーが CA からの証明書を要求することが必要になる場合があります。

  クライアント証明書のインストール方法はブラウザによって異なります。Internet Explorer (IE) では Windows 証明書ストアを使用しており、IE の [Certificate (証明書)] ダイアログでクライアント証明書をインストールおよび管理できます。Windows では、"*.pfx" クライアント証明書ファイルをダブルクリックするだけで、ほとんどのクライアント証明書を IE に自動的にインストールするクライアント証明書インポートウィザードが起動します。

  Mozilla/Firefox ラインのブラウザでは、独自のクライアント証明書ストアを使用します。これらのブラウザにクライアント証明書をインストールするには、「証明書マネージャ」を使用する必要があります。

  認証用のクライアント証明書を選択する方法もブラウザによって異なります。使用するクライアント証明書を尋ねるダイアログボックスをブラウザに表示する方法が最も一般的です。MOVEit サーバーに接続する場合、ユーザーがユーザー名とパスワードを入力した後、またはサインオン画面が表示される前に、クライアント証明書の選択を求めるプロンプトがブラウザに表示されます。

  ただし、ほとんどのブラウザには、クライアント証明書が 1 つしかインストールされていない場合は自動的に証明書を提示するオプションや、クライアント証明書が提示されなかった場合は証明書の選択を要求しないオプションもあります。このような場合、クライアント証明書での認証が自動的に使用されるか (「証明書が 1 つであるため質問しない」ケース)、まったく行われない (「証明書がインストールされていないため質問しない」ケース) 可能性があります。

  最後に、ユーザーのクライアント証明書の秘密キーは、パスワードで保護されている場合があります。この場合、ユーザーはこのクライアント証明書またはキーストアを保護する際にも、作成したパスワードの入力が必要になる可能性があります (通常、このようなプロンプトはセッションごとに 1 回表示されます)。

SSH

このページでは、管理者は組織のすべての新規ユーザーに対してデフォルトの SSH インターフェイスポリシーを設定することができます。このページでポリシーを変更すると、組織のすべての既存ユーザーにも適用するためのオプションが提供されます。使用できるポリシーオプションは次のとおりです。

• [Allow SSH Access by Default (デフォルトで SSH アクセスを許可する)]: ユーザーが SSH を通じてシステムにアクセスできるどうかを指定します。
• [SSH Key Required by Default (デフォルトで SSH キーが必要)]: SSH インターフェイスにサインオンするユーザーに、システム認証を行うために有効な SSH クライアントキーの提示を求めるかどうかを指定します。
• [Password also required with valid SSH Key by Default (デフォルトで有効な SSH キーにパスワードも必要)]: 有効な SSH クライアントキーを使用して SSH インターフェイスにサインオンするユーザーに、システム認証を行うために有効なパスワードの送信も求めるかどうかを指定します。
• [Holding Tank retention (保留タンクへの保管)]: 証明書/キー保留タンクに入力された SSL クライアント証明書と SSH クライアントキーをここに保持できる期間を指定します。この日数を超えた証明書またはキーは、保留タンクから削除されます。

  ユーザーの保留タンクキーの管理もここで行われます。SSH クライアントキーの保留タンクの詳細については、「SSH キーの保留タンク」ドキュメントページを参照してください。

[Mobile (モバイル)]

このページでは、管理者は組織のすべての新規ユーザーに対してデフォルトのモバイルインターフェイスポリシーを設定することができます。このページでポリシーを変更すると、組織のすべての既存ユーザーにも適用するためのオプションが提供されます。ここで設定したポリシーは、User Profile (User Authentication section).sys でユーザーごとに変更できます。

使用できるポリシーオプションは次のとおりです。

• [Allow access to the Mobile interface by default (デフォルトでモバイルインターフェイスへのアクセスを許可する)]: ユーザーが Mobile アプリケーションまたは Web を使用して MOVEit にサインオンできるかどうかを指定します。

  注: Ipswitch では、セキュリティ上の理由により、夜間の FTPS/SFTP 転送などのバルクデータ転送に使用される管理者、ファイル管理者、またはユーザーへのモバイルアクセスを許可しないことをお勧めします。

• [Allow caching of credentials on mobile devices (モバイルデバイスでの認証情報のキャッシュを許可する)]: Mobile アプリケーションユーザーが PIN を使用して迅速にサインオンするために、認証情報をデバイスにキャッシュできるようにするかどうかを指定します。
• [Required PIN length (必要な PIN の長さ)]: PIN に必要な最小桁数を指定します。4 桁、5 桁、または 6 桁を選択します。

  注: アプリケーションでは常に、PIN の作成時にユーザーが同じ数字や連続した数字を使用しないようにする必要があります。たとえば、アプリーションでは 1111 や 12345 のような数字は PIN として許可されません。