ADSelfService Plus 6.1 6110 リリースノート

2021年09月09日 リリース

不具合修正

• Rest API URLにおける認証回避の脆弱性（CVE-2021-40539）を修正
  詳細については【重要】既知の脆弱性 CVE-2021-40539 についてをご確認ください。
• SAML SSO経由のユーザーログイン前に、SAML署名の確認を強制することで、アカウント乗っ取りの脆弱性を修正

ADSelfService Plus 6.1 6109 リリースノート

2021年08月10日 リリース

機能追加

• 管理者UIの大幅変更：より洗練されたフラットなユーザーインターフェイスに変更しました 。
• パスワードレスログイン：ADSelfService PlusおよびSSOを設定しているアプリケーションのログインにご利用いただけます。
• MFAの登録を強制する機能を強化：エンドユーザーがクライアントPCへログイン時、ADSelfService PlusのMFAの認証登録を強制するように設定できます。
• クラウドアプリケーション専用のMFAセットアップ：SSO対応のアプリケーションへログイン時の認証要素をカスタマイズできます。
• 認証用のMFAバックアップコード：ユーザーが登録済みのMFAまたは認証用のモバイルデバイスにアクセスできない場合、バックアップコードにより本人確認できます。バックアップコードは、エンドユーザーおよび管理者が生成できます。バックアックコードは、クライアントPC/VPNへのログイン、セルフサービス、ADSelfServicePlusへのログイン時に使用できます。
• カスタムTOTP認証システム：管理者は、任意のTOTP（例：Symantec VIP Access、FortiToken、Free-OTPなど）を構成できます。追加したTOTP認証は、セルフサービス時、およびログイン時(ADSelfService Plus、クライアントPC、VPN)にご利用いただけます。
• 負荷分散：負荷分散機能を追加しました。複数のインスタンスを設定することで、リクエストの分散、パフォーマンスの向上、ダウンタイムを最小化できます。
• リバースプロキシ：AD360と連携してリバースプロキシを有効化することにより、より安全にADSelfService Plusへリモートアクセスすることができます。
• VPNの多要素認証（MFA）：VPNの多要素認証として、6つの認証を設定できます。
  • 二要素認証(指紋/顔認証)
  • プッシュ通知
  • Google認証システム
  • Yubico OTP
  • 指紋認証
  • TOTP(ワンタイムパスワード)
• 条件付きアクセス：ユーザーの場所、使用するデバイス、アクセス時間、IPアドレスに基づいて、ADSelfService Plusポータルへのアクセスを制限し、NTLMシングルサインオンを有効化できます。また、ユーザーごとに、様々なセキュリティリスク(IPアドレス、デバイスの種類、ビジネス時間、ジオロケーション)を設定できます。
  条件付きアクセスポリシーにより、エンドポイントMFAの適用、リスクの高いユーザーに対してセルフサービス機能へのアクセスを制限できます。
• ダッシュボードウィジェットの埋め込み：HTMLスニペットによりダッシュボードグラフを任意のWebページに埋め込むことができます。グラフごとにアクセスするURLも追加しました。
• 言語のカスタマイズ： 選択した言語のポータル上の表記を任意のテキストにカスタマイズできます 。
• UI上のSSL機能：UI上でSSL証明書の適用およびHTTPSの有効化を設定できます。
• Zoho OneAuthのOTP認証システムをMFAとして使用可能：パスワードリセット、アカウントロック解除、ADSelfService Plusログイン、クライアントPC/VPNログイン時の本人確認にMFAとして設定できます。

機能強化

• SAML認証：ADSelfService Plusへのログイン、エンドポイントMFA、アプリケーション用のMFAとして設定できます。
• 言語のサポート： 繁体字中国語をサポート しました。
• ADSelfService Plusで使用しているjQueryライブラリをバージョン1.11.3から3.5.1に更新しました。
• ADSelfService Plusで使用しているBootstrapフレームワークをバージョン3.3.6から3.4.1に更新しました。
• ADSelfService Plusで使用しているjQuery UIをバージョン1.9.2からv1.10.0に更新しました。
• Duo端末の管理：ADSelfServicePlusポータルから、Duoに登録されたデバイスを追加または削除できます。
• 管理者は、エンドユーザーに関するアクティビティ(パスワード リセット、アカウントのロック解除、パスワードの変更、登録など)を、上司などの特定のユーザーにも通知できます。
• 登録および本人確認時に生成されたメール確認コードを、管理者または特定のユーザー(上司など)にメールで送信できます。
• ユーザー登録時に提供される特定のメールドメインやモバイルフォーマットをブロックするオプションを追加しました。
• Linuxログインエージェントとして、Ubuntuバージョン20.xをサポートしました。
• OpenLDAPとのパスワード同期で、拡張パスワード変更操作（RFC-3062）をサポートしました。
• SAMLアサーション属性を導入：管理者は、ユーザーIDを証明する際に、ADSelfServicePlusによってサービスプロバイダーに送信されるSAML応答トークンに含める必要のある特定の属性を設定できます。
• Windowsログインエージェントを以下の3つの方法でインストールできます。
  • Remcom
  • PAExec
  • WMI
• ADSelfService PlusにバンドルされているTomcatサーバーのバージョンを8.5.57に更新しました。
• ADSelfServicePlusデータベースのバックアップ/アーカイブをパスワードで保護します。
• ADSelfServicePlusモバイルアプリ（iOS/Android）でMFAとしてSAML認証をサポートしました。
• スマートカードの多要素認証：スマートカード認証は、ADSelfService Plusログインの多要素認証として使用できます。
• クライアントPC/サーバー（Windows、macOS、Linux）、VPN、ADSelfService Plusログイン用の2要素認証を多要素認証に更新しました。
• 管理者は、選択した属性にもとづいてドメインユーザーアカウントをDuoアカウントにリンクし多要素認証を行うことができます。
• クライアントPC/サーバー、VPN、ADSelfService Plusのログイン時に行う多要素認証の制限時間を設定できます。
• ADSelfServiceポータルのカスタマイズオプションを3つ追加しました。
  • ログインページの背景画像の設定
  • ユーザーのログインページをカスタマイズするボタンを追加
  • パーソナライズにて、テーマカラーをカスタム可能
• エンドポイントマシンMFAの強化：ユーザーは、ログイン中に使用している端末（Windows、macOS、またはLinux）を信頼できる端末とし、次回以降のログインで多要素認証をスキップできます。
  また、管理者により端末を信頼する期間を設定できます。
• ADSelfService PlusのiOSアプリのMFAでFaceID認証をサポートしました。
• オペレーター：管理者は、グループに対してオペレーターの権限を付与できます。
• 新しいパスワードポリシーおよび拡張機能を追加しました。
  • ユーザー名/古いパスワードに含まれる文字列を、指定回数連続して使用することを禁止
  • 連続する文字を指定回数使用することを禁止
  • パスワードに含める必要がある文字の指定(大文字、小文字、特殊文字、数字)
  • パスワードの最後に数字を使用することを禁止
  • パスワードのリセット中に制限される古いパスワードの数を修正
  • カスタマイズしたパスワードポリシーのテキストを、デフォルトにリセットできる機能を追加
• ディレクトリセルフアップデート：以下のオプションを追加しました。
  • 管理者はセルフアップデートを読み取り専用に設定可能
  • [上司]、[直属部下]、および[写真のアップロードの許可]のオプションにより、左ペインから上司/直属部下を表示または非表示に設定可能
  • セルフアップデートの値(電話番号、メールアドレス、文字)の形式を設定可能
  • すべての通知メッセージをリッチテキストエディターで編集可能
• 従業員の検索：構成されたポリシーごとに、従業員検索を有効化に設定できます。
• ログオンスクリプトで強制登録：管理者は、登録ログオンスクリプトウィザードのタイトルおよびボタンのテキストをカスタマイズできます。
• 管理者用ログインにおいて、特定のIPまたはIPの範囲でアクセスを制限できます。

不具合修正

• VPNを介してキャッシュされた認証情報を更新するようにCiscoAnyConnectを設定する場合、[VPNグループ名]フィールドを必須ではない項目に変更しました。
• [プロファイル]タブで国/地域を更新するときに発生した不具合を修正しました。
• Duo構成でのドメインAPI検証の不具合を修正しました。
• 再起動またはシャットダウン操作後にmacOSログインエージェントがロードされない不具合を修正しました。
• [パーソナライズの非表示]設定を有効にしても、この設定を適用する前にユーザーのテーマ設定が設定されていた場合、ユーザーよりも管理者のテーマ設定が強制されなかった不具合を修正しました。
• 最新バージョンのブラウザーでSSOログインプロセスで問題が発生する不具合を修正しました。
• リバースプロキシが構成されている場合、ユーザープロファイル画像が組織図に表示されない不具合を修正しました。
• 情報取得の遅延を引き起こしていたOUのパフォーマンスの問題を修正 しました。
• ユーザーが多くのグループに参加している場合、ログインプロセスで遅延が発生する不具合を修正しました。
• 固定暗号化キーの使用によるセキュリティの不具合を修正しました。（Zoho Bug Bounty ID: ZVE-2018-1790）
• エンドユーザーアクションの不適切な承認を引き起こしたセキュリティの不具合を修正しました。（Zoho Bug Bounty ID：ZVE-2020-4164）
• 英語以外の言語が設定されている場合、VPNの使用中に多要素認証のプロンプトが表示されない不具合を修正しました。
• SAP NetWeaverパスワード同期の場合、アカウントのロック解除機能は、管理者によってロックまたは無効化されたアカウントに対して制限される不具合を修正しました。
• スケジュールレポートの[期間の選択]設定に関する不具合を修正しました。
• オペレーターによるレポート作成に関する不具合を修正しました。
• 登録時にユーザーがメールアドレスを入力し、後でユーザーのADメール属性値と同じメールアドレスが更新された場合、ユーザーはスケジュールされた通知を受信せず、メール認証コード認証中にメールアドレスが2回表示される不具合を修正しました。
• ユーザーが NTLM 認証を介してエンドユーザー ポータルへアクセスした場合、特定の Windows 環境でセルフサービスを実行できない不具合を修正しました。
• 秘密鍵に特定の特殊文字 (<, >, ', ", and &)が含まれている場合、RADIUS 認証の設定に失敗する不具合を修正しました。
• メール認証用に生成されるリンクに関連した不具合を修正しました。
• MFA中に送信されるSMS通知にHTMLコードが含まれる不具合を修正しました。
• リバースプロキシが構成されている場合のCAPTCHAの不具合を修正しました。
• SMSプロバイダーをGSMモデムからカスタムHTTPに変更できない不具合を修正しました。
• ディレクトリセルフアップデートのドロップダウンフィールドが正しく表示されない不具合を修正しました。
• [ユーザーのすべてのセカンダリメールへの通知を有効化]オプションが有効な場合でも、パスワードの有効期限通知がセカンダリメールアドレスに送信されない不具合を修正しました。
• 秘密の質問と回答ベースの認証中の回答フィールドのオートコンプリートがオフになる不具合を修正しました。
• すべてのMSSQLインスタンスをフェッチできないMSSQL移行の不具合を修正しました。
• パスワード設定オブジェクトが適用されているユーザーに、パスワード有効期限通知および有効期限が切れたパスワード通知を送信できない不具合を修正しました。
• ポリシー設定の[管理者に通知]画面で複数のメールアドレスを保存できない不具合を修正しました。
• セキュリティ強化のため、Duo Securityによるユーザー登録状況を確認する機能を追加しました。
• 認証されていないリモートコード実行攻撃を防ぐ修正しました。
• サービスプロバイダー（SP）起点のSAML SSO中に、ユーザーがモバイルブラウザーを使用したログインができない不具合を修正しました。
• PowerShell APIを使用したパスワード変更を保護するように修正しました。
• CSVファイルを使用して自動登録スケジューラーを設定した際、カスタム質問が正しく表示されない不具合を修正しました。
• メールのコンテンツに画像を適切に埋め込むことができない不具合を修正しました。
• パスワードの有効期限通知の再試行オプションが無効にもかかわらず、レポートに該当するユーザーがいない場合でも設定した特定の日に空の期限切れのパスワードユーザーレポートが送信される不具合を修正しました。
• 2つのActiveDirectoryドメイン間でパスワード同期が有効になっている場合、
  プライマリユーザーアカウントとセカンダリユーザーアカウントがライセンスを消費する不具合を修正しました。
• ADSelfService Plusのエンドユーザーポータルにて表示言語を「英語」以外に設定している場合、WindowsログインエージェントでのAltGrキーの使用に関する不具合を修正しました。
• 英語以外の言語を使用している場合、メールの添付中にエンコードに失敗する不具合を修正しました。
• ドメイン内のユーザー数が増加した際に、組織図の生成が遅くなり、CPU使用率が通常よりも高くなる不具合を修正しました。
• SMS/メール認証コードによる認証中、エンドユーザーポータルに、Active Directory上の値よりも本人登録時に追加されたメール/モバイルの値が優先される不具合を修正
• [パスワードの変更]タブの読み込みにかかる時間を短縮しました。
• [メール設定]-->[管理メールアドレス]フィールドに10以上のメールアドレスを含めることができない不具合を修正しました。
• SAMLシングルサインオンを介してADSelfService Plusにログインしている間、IDプロバイダー（Okta、OneLogin）が提供する任意の認証技術（パスワード認証以外）を使用できない不具合を修正しました。
• 不適切なエンコードタイプが原因で、SMTPプロバイダーを介したSMS通知に不要な文字が含まれる不具合を修正しました。
• ダッシュボードページに表示される登録ユーザーレポートの問題を修正しました。
• パスワードリセットしたパスワードに関する不具合を修正しました。
• ADSelfService Plusが認証されていないリモートコード実行（RCE）の脆弱性の影響を受けないよう修正しました。
• TFAが有効な場合、ADSelfService Plusにログインする際に使用するプッシュ通知認証の不具合を修正しました。
• 11の脆弱性を修正しました。
  • 認証されていないリモートコード実行の脆弱性（CVE-2021-28958）
  • ADSelfServicePlusログインページでCAPTCHAをバイパスできる脆弱性
  • 従業員の検索機能のメールアドレスフィールドに対する、クロスサイトスクリプティング攻撃の脆弱性（CVE-2021-27956）
  • reflected型クロスサイトスクリプティング攻撃を引き起こす可能性がある脆弱性
  • パスワード同期用に構成されたデータベースアプリケーションに関する情報を攻撃者が公開できる脆弱性を修正
  • パスワード同期用に構成されたデータベースアプリケーションに関する情報を攻撃者が公開できる脆弱性
  • 攻撃者がIPアドレスに基づくADSelfServicePlusの管理ポータルアクセス制限を回避できる脆弱性(エンドユーザーから管理者ポータルへアクセスができてしまう脆弱性)
  • PowerShellを利用したインジェクションによる、認証されていないリモート コードの実行および、認証されたリモート コードの実行につながる脆弱性
  • ADSelfService Plusログインエージェントの脆弱性
  • 特定のURLがクロスサイトスクリプティングの影響を受けた脆弱性を修正
  • 認証をバイパスする他のManageEngine製品との連携をユーザーが有効にできる脆弱性[CVE-2020-24786]