Password policies

A password policy determines, which rules must be met by new passwords either changed by users or generated by CzechIdM itself.

A new password policy can be created in the tab Settings → Password policies. There, in the table on the right, there is a list of created policies. A new policy is created by clicking on the green button Add.

The following basic attributes of a password policy can be filled in:

• Type – CzechIdM allows defining of 2 policy types for passwords used by users in CzechIdM and connected systems.
  • Validation – This policy is used when a password (in CzechIdM or a password to an administered system supporting setting of password) is set or changed e.g. when a user perform a password change in the GUI of CzechIdM.
  • Generation – This policy is applied when the user sets or changes the password using the password generator in CzechIdM, i.e. the user lets CzechIdM to generate the password according to this policy.
• Name – the desired name of the policy. This name is displayed in the settings of the systems where the policy is to be applied.
• Inactive – An inactive policy is not offered in the system configuration.
• Standard policy – The standard policy is used for password validation against the CzechIdM system and it also validates all passwords on systems where no other policy is defined.
• Description – optional description of the policy. It is convenient to summarize the basic policy rules in it.
• Minimum length – determines the minimum number of characters in a password
• Maximum length – determines the maximum number of characters in a password
• Minimum number of uppercase letters – determines the number of upper-case characters which the password must contain. The set of characters is defined in the tab Characters.
• Minimum number of lowercase letters – determines the number of lower-case characters which the password must contain. The set of characters is defined in the tab Characters.
• Minimum number of digits - determines the number of numerals which the password must contain. The set of characters is defined in the tab Characters.
• Minimum of special characters - The set of characters is defined in the tab Characters.
• Maximum time for password change – The number of days of password validity. This attribute is important mainly in the Standard policy, which is applied for CzechIdM
• Minimum number of days for password validity. The number of days when the password cannot be changed. Sparely used option.

Kliknutím na Uložit a pokračovat můžeme politiku uložit, případně můžeme nastavit pokročilé možnosti v menu formuláře Rozšířená kontrola, kde můžeme nastavit následující volby:

• Rozšířená kontrola – zapíná celý formulář pro rozšířenou kontrolu
• Povinné – obsahuje sadu 5 checkboxů. Každý zaškrtnutý checkbox musí být vždy splněn. Není-li některá volba zaškrtnuta, pak je tato položka započítána do následujícího bodu
• Minimum pravidel pro splnění politiky – Pokud je definováno nějaké číslo, pak musí být splněno alespoň tolik pravidel, které nebyly v minulém bodě označeny jako povinné. Například odškrtneme-li všech 5 checkboxů povinné a do tohoto pole vyplníme hodnotu 4, pak heslo musí splňovat alespoň 4 pravidla z 5.
• Atributy identity pro kontrolu – V tomto poli lze vybrat atributy uživatele, které budou kontrolovány na podobnost s heslem. Nastavíme-li například atribut uživatelské jméno,pak heslo uživatele nesmí obsahovat jeho login.

Na záložce Znaky jsou sady znaků pro jednotlivé skupiny – malé znaky, velké znaky, číslice, speciální znaky.

Navíc zde lze nastavit, jaké znaky budou v politice zakázané. Toto má význam především pro politiky generování hesel. Automaticky generovaná hesla bývají často také posílána pomocí sms a jejich zobrazení může uživatele mást pro určité skupiny znaků. Například podobná jsou ‚I‘a ‚l‘ nebo ‚,‘ a ‚.‘. Dále je někdy vhodné pro generování zakázat znaky ‚y‘ a ‚z‘kvůli různému rozložení klávesnice uživatelů.

Na poslední záložce Navázané systémy je vidět seznam systémů, kde je tato politika aktuálně nastavena. Pozor, má-li politika nastaveno, že je Standardní politika,pak je uplatněna všude tam, kde systém nemá žádnou jinou politiku. Tzn. tento seznam může být prázdný a přesto je politika u některých systémů uplatňována.

V minulé kapitole jsme si představili, jak připravil politiku hesel. Pokud jsme politiku označili jako Standardní politika, pak je tato politika již nyní aktivní jak pro CzechIdM, tak pro každý ze spravovaných systémů, kde zatím politika vybrána není.

V opačném případě je třeba politiku k systému nastavit. To provádíme v detailu toho kterého systému. Do detailu se dostaneme přes menu Napojené systémy → detail systémy (lupa) → Základní informace, zde můžeme zvolit politiky hesel.