サインインのセキュリティ保護
サインイン ウィジェットは、ユーザーを認証するさまざまなメカニズム (ポータル データベース、LDAP サーバー、SAML ID プロバイダー、またはユーザーが認証できる任意の方法) を呼び出します。 その動作は、いくつかの方法で設定およびカスタマイズできます。
ゲストアカウント作成の無効化
-
コントロールパネル → 構成 → インスタンス設定 → プラットフォーム → ユーザー認証に移動します。
-
チェックを外す 他人にアカウント作成を許可しますか?。
-
[保存]をクリックします。
パスワードリセットの防止
ユーザーが自分のパスワードをリセットできないようにする必要がある場合は、同じ画面から設定できます。
-
コントロールパネル → 構成 → インスタンス設定 → プラットフォーム → ユーザー認証に移動します。
-
チェックを外す ユーザーがパスワードリセットリンクを要求できるようにしますか?。
-
[保存]をクリックします。
アカウント作成時にパスワードセクションを無効にする
Liferay DXP 2023.Q4+/ポータル GA92+
アカウント作成時にカスタム パスワードを許可する フィールドのチェックがオフになっている場合、サインイン ウィジェットからアカウントを作成するときにパスワード フィールドは使用できません。 これは、アカウント作成のために電子メールで招待されたユーザーにも適用されます。
CAPTCHAまたはreCAPTCHAの構成
CAPTCHAまたはreCAPTCHAを有効にして、ボットによるアカウントの作成およびログインを防止します。
-
Liferay DXP 2025.Q2+ コントロールパネル → 構成 → インスタンス設定 → セキュリティツール → CAPTCHAに移動します。
2025.Q2より前のバージョン の場合、CAPTCHA の設定はシステム設定にあります。
注デフォルトでは、 アカウント作成 CAPTCHA と パスワード送信 CAPTCHA が有効になっています。 必要に応じて、[Message Boards CAPTCHA]を有効にします。
-
[CAPTCHAエンジン]を選択します。 デフォルトでは、[Simple CAPTCHA]が有効になっています。 GoogleのreCAPTCHAを選択することもできます。そのためには、外部サービスを個別に設定する必要があります。 reCAPTCHAを選択した場合は、Googleからの公開鍵と秘密鍵を提供します。
- シンプル CAPTCHA の場合、キャプチャの高さと幅を設定できます。 また、 背景プロデューサー、 Gimpy レンダラー、 ノイズ プロデューサー、 テキスト プロデューサー、および ワード レンダラーも構成できます。
-
完了したら、 「保存」 をクリックします。
DictionaryWordTextProducer は、完全にランダム化された文字シーケンスよりも不快な単語を生成する可能性が高いため、Simple CAPTCHA Text Producers 構成から削除されました。
Liferay DXP 2024.Q1.8/Portal GA120以降、Gogo シェルとサーバー管理ページ (サイト管理者用) では、 最大チャレンジ フィールドが負の数に設定されている場合でも、CAPTCHA が強制されます。 キャプチャ エンジンを選択しないと、これらのページは利用できません。
これらのページの CAPTCHA を無効にするには、 captcha.enforce.disabled=true を portal-ext.properties ファイルに追加します。 これは継続的インテグレーション (CI) によるテストの場合にのみ実行する必要があります。