セキュリティ強化

ログインセキュリティの強化

Version:

日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

SitecoreログインWebページのセキュリティは、次の方法で改善できます。

ログインページをSSLリクエストのみに利用可能にする

SitecoreログインページでSSLリクエストのみを使用するようにSitecore Experience Platformを設定するには:

http://hostname/sitecore/loginからhttps://hostname/sitecore/loginにリダイレクトするカスタムリダイレクトプロセッサを作成し、他のすべてのページをhttpsからhttpにリダイレクトします。

例として、次のコードを使用します。

public class SslLogin
    {
        public void Process(PipelineArgs args)
        {
            string absUrl = HttpContext.Current.Request.Url.AbsoluteUri;
            string localUrl = HttpContext.Current.Request.Url.LocalPath;
            if (localUrl.StartsWith("/sitecore/login") && absUrl.StartsWith("http://") && !Context.IsLoggedIn)
            {
                HttpContext.Current.Response.Redirect(absUrl.Replace("http://", "https://"));
                return;
            }
            if (!localUrl.StartsWith("/sitecore/login") && absUrl.StartsWith("https://") && Context.IsLoggedIn)
            {
                HttpContext.Current.Response.Redirect(absUrl.Replace("https://", "http://"));
            }
        }
    }

ユーザー名のオートコンプリートをオフにする

Sitecoreがユーザーのログイン時にユーザーのユーザー名を自動的に補完しないように指定できます。これは、たとえば、コンテンツ作成者が共有コンピューターまたは公共のコンピューターでSitecoreにログインするときにユーザー名を開示したくない場合に便利です。さらに、Remember meチェックボックスを無効にすることもできます。

ユーザー名のオートコンプリートを無効にするには:

sitecore.configファイルを開き、Login.DisableAutoComplete設定をtrueに設定します。これにより、/sitecore/login/default.aspxページと /sitecore/admin/login.aspxページのSitecoreログインフォームのオートコンプリートが無効になります。

ログインページのRemember meチェックボックスを無効にするには:

sitecore.configファイルを開き、Login.DisableRememberMe設定をtrueに設定します。これにより、既存のRemember MeCookieも無視され、すべてのユーザーは再度ログインする必要があります。

「最後にログインしたユーザー名を記憶する」設定を無効にする

追加の多層防御戦略として、Sitecoreでは、最後にログインしたユーザーのユーザー名を記憶するブラウザーの機能を無効にすることをお勧めします。

「最後にログインしたユーザー名を記憶する」設定を無効にするには:

sitecore.configファイルを開き、Login.RememberLastLoggedInUserName設定をfalseに設定します。

この記事を改善するための提案がある場合は、お知らせください!