ログインセキュリティの強化
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
|
適用対象 |
コンテンツ管理、またはクライアントが利用可能なコアロール。 |
|
Sitecoreインストールフレームワーク |
ログイン・セキュリティ・タスクは、デフォルトでは実行 されません 。 |
|
Azure ツールキット |
ログインセキュリティタスクはデフォルトで実行されます。 |
SitecoreログインWebページのセキュリティは、次の方法で改善できます。
-
ログインページをSSLリクエストのみに使用可能にします。
-
ユーザー名のオートコンプリートをオフにする
-
ログインページのRemember meチェックボックスを無効にします。
ログインページをSSLリクエストのみに利用可能にする
Sitecoreログイン ページでSSLリクエストのみを使用するようにSitecore Experience Platformを設定するには:
-
http://hostname/sitecore/loginからhttps://hostname/sitecore/loginにリダイレクトするカスタムリダイレクトプロセッサを作成し、他のすべてのページをhttpsからhttpにリダイレクトします。
例として、次のコードを使用します。
public class SslLogin
{
public void Process(PipelineArgs args)
{
string absUrl = HttpContext.Current.Request.Url.AbsoluteUri;
string localUrl = HttpContext.Current.Request.Url.LocalPath;
if (localUrl.StartsWith("/sitecore/login") && absUrl.StartsWith("http://") && !Context.IsLoggedIn)
{
HttpContext.Current.Response.Redirect(absUrl.Replace("http://", "https://"));
return;
}
if (!localUrl.StartsWith("/sitecore/login") && absUrl.StartsWith("https://") && Context.IsLoggedIn)
{
HttpContext.Current.Response.Redirect(absUrl.Replace("https://", "http://"));
}
}
}
ユーザー名のオートコンプリートをオフにする
Sitecoreがユーザーのログイン時にユーザーのユーザー名を自動的に補完しないように指定できます。これは、たとえば、コンテンツ作成者が共有コンピューターまたは公共のコンピューターでSitecoreにログインするときにユーザー名を開示したくない場合に便利です。さらに、Remember meチェック ボックスを無効にすることもできます。
ユーザー名のオートコンプリートを無効にするには:
-
sitecore.configファイルを開き、Login.DisableAutoComplete設定をtrueに設定します。これにより、/sitecore/login/default.aspxページと /sitecore/admin/login.aspxページのSitecoreログイン フォームのオートコンプリートが無効になります。
ログインページのRemember meチェックボックスを無効にするには:
-
Sitecore Identity Serverロールで、sitecore/Sitecore.Plugin.IdentityServer/Config/identityServer.xmlファイルを開き、AllowRememberLogin設定をfalseに設定します。これにより、既存のRemember me Cookieも無視され、すべてのユーザーは再度ログインする必要があります。
「最後にログインしたユーザー名を記憶する」設定を無効にする
追加の多層防御戦略として、最後にログインしたユーザーのユーザー名を記憶するブラウザーの機能を無効にすることをお勧めします。 Remember Last Logged In User Name設定を無効にするには:
-
sitecore.configファイルを開き、Login.RememberLastLoggedInUserName設定をfalseに設定します。