ID 儲存庫密碼重設安全性
儲存庫的好處就是能夠在使用者忘記 ID 上的密碼時,輕易地重設它們。有兩個模型可用於重設密碼:授權的個人可以使用「Domino® 管理員」重設使用者的密碼,或使用者或授權的個人可以使用自訂應用程式來重設密碼。您可以實作一或兩種模型。
每一種模型都有兩個安全性考量:信任重設密碼的人員或應用程式,以及信任密碼正在重設的使用者身分。透過特殊用途的交互憑證 (稱為「密碼重設憑證」) 建立人員或應用程式權限的信任,以重設密碼。請使用「」或「」工具,從儲存在儲存庫的使用者 ID 的上層發證者發出「密碼重設憑證」。即會在 Domino® 名錄的「」視圖中建立憑證。重設密碼的人員或應用程式必須建立密碼重設的使用者身分信任。
使用「Domino® 管理員」重設密碼的人員的密碼重設權限
以具有密碼重設權限的身分登入「Domino® 管理員」的人員,可以使用「重設密碼」工具來重設使用者密碼。若要將密碼重設權限給與這些人員,Domino® 管理員會對個人或組織單位建立「密碼重設憑證」。您無法對目錄群組建立「密碼重設憑證」,但是您可以選取一個群組,作為對每一個現行成員輕易建立個別「密碼重設憑證」的方法。
透過「Domino® 管理員」重設密碼的人員有兩個將新密碼傳送給使用者的選項。他們可以挑選新密碼或產生隨機密碼,然後自行將密碼通知使用者。他們必須具有一種確認使用者身分的方法。或者,他們可以產生隨機的新密碼,並透過加密的電子郵件傳送給其他人,例如,使用者的管理員。
您應該將密碼重設權限給與特別針對重設密碼所註冊及使用的 ID。
應用程式的密碼重設權限
開發人員可以使用 C、Java™、JavaScript™ 或 LotusScript® 中可用的 ResetUserPassword 方法,來開發自訂應用程式以重設密碼。這可以是容許使用者重設自己密碼的自助式應用程式,或是協助用務人員用來重設使用者密碼的應用程式。
如果在 LotusScript® 代理程式或 Java™ 代理程式中使用 ResetUserPassword 方法,您必須將具有「自助式密碼重設權限」旗標的密碼重設權限給予已簽署代理程式的使用者身分,最好是特別針對這個目的所註冊的使用者身分。部署代理程式的伺服器也須具有這個權限,而且必須給與代理程式簽章者「執行受限 LotusScript/Java 代理程式」存取權。
如果在非代理程式應用程式中使用 ResetUserPassword 方法,您可以將具有「自助式密碼重設權限」旗標的密碼重設權限給與已獲授權可以執行應用程式的使用者或伺服器身分。
應用程式負責驗證使用應用程式的使用者身分。這可以使用 Domino®網路伺服器 HTTP 使用者名稱及密碼來完成。或者。A應用程式本身可以處理驗證。A例如。A藉由使用 LDAP 目錄伺服器驗證或藉由將個人問題顯示給使用者。
Domino® 隨附範例自助式應用程式,這個應用程式在 LotusScript® 代理程式中用使用您可以針對環境自訂的 ResetUserPassword 方法。