- Erste Schritte
- Best Practices
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Beispiele für die Einrichtung
- Speicherung von Roboterzugangsdaten in CyberArk
- Einrichten von Attended-Robotern
- Einrichten von Unattended-Robotern
- Speichern von Unattended-Roboterkennwörtern in Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- Audit
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Hostverwaltung
- Identity Server
- Authentication
- Organisationsadministration
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Fehlersuche und ‑behebung
Host-Authentifizierungseinstellungen
Der Installationsschlüssel ist ein Token, das verwendet wird, um SSO-Verbindungen zum Orchestrator für integrierte Anwendungen zuzulassen.
Mit dem Orchestrator können Sie einen externen Identitätsanbieter konfigurieren, um zu steuern, wie sich Ihre Benutzer anmelden. Die folgende Tabelle bietet eine Übersicht über die verschiedenen verfügbaren externen Anbieter auf Hostebene.
Folgen Sie den Anweisungen für den externen Anbieter, den Sie verwenden möchten, wie unten angegeben:
Neuinstallation versus Upgrade
Die Anweisungen in der folgenden Tabelle gelten für eine Neuinstallation oder wenn Sie einen der externen Anbieter zum ersten Mal konfigurieren.
Wenn Sie den Orchestrator aktualisiert haben und bereits einen oder mehrere der unten aufgeführten externen Anbieter verwenden, wird die Konfiguration migriert, aber Sie müssen möglicherweise einige Aufgaben zur Neukonfiguration durchführen. Befolgen Sie in diesem Fall stattdessen die Anweisungen unter Neukonfigurieren der Authentifizierung nach dem Upgrade .
Integration externer Anbieter |
Authentication |
Verzeichnissuche |
Benutzerbereitstellung |
---|---|---|---|
Benutzer können SSO mit der Windows-Authentifizierung mithilfe des Kerberos-Protokolls verwenden. |
Administratoren können im Active Directory nach Benutzern suchen. |
Benutzern muss eine Rolle im Orchestrator-Mandanten zugewiesen werden. Active Directory-Benutzern und -Gruppen kann über die Verzeichnissuche eine Rolle zugewiesen werden. | |
Benutzer können SSO mit Azure AD mithilfe des OpenID Connect-Protokolls verwenden. |
Nicht unterstützt |
Benutzer müssen manuell im Orchestrator-Mandanten mit einer E-Mail-Adresse bereitgestellt werden, die ihrem Azure AD-Konto entspricht. | |
Benutzer können SSO mit Google mithilfe des OpenID Connect-Protokolls verwenden. |
Nicht unterstützt |
Benutzer müssen manuell im Orchestrator-Mandanten mit einer E-Mail-Adresse bereitgestellt werden, die ihrem Google-Konto entspricht. | |
Benutzer können SSO mit jedem Identitätsanbieter verwenden, der SAML unterstützt |
Nicht unterstützt |
Benutzer müssen manuell im Orchestrator-Mandanten mit einem Benutzernamen bereitgestellt werden, der ihrem SAML-Konto entspricht. |
Die Standardauthentifizierung bezieht sich auf die Anmeldung mit dem Benutzernamen und dem Kennwort eines lokalen Kontos.
Wenn die Standardauthentifizierung eingeschränkt ist, können sich Ihre Benutzer nur mit ihrem Verzeichniskonto anmelden, wie im externen Identitätsanbieter definiert. Andernfalls können sich Benutzer sowohl mit ihren lokalen Konten (sofern vorhanden) als auch mit ihren Verzeichniskonten anmelden.
Konfigurationsebenen und Vererbung
Diese Option kann konfiguriert werden:
-
auf Hostebene, wie unten beschrieben.
Wenn die Einstellung auf Hostebene festgelegt ist, gilt die Einstellung für alle Organisationen und alle ihre Konten, es sei denn, die grundlegende Authentifizierungseinstellung auf Organisations- oder Kontoebene wurde nicht explizit anders festgelegt.
-
für Systemadministratorkonten, wie unten beschrieben.
Auch wenn die Verwendung der Standardauthentifizierung für alle Organisationen eingeschränkt ist, können Sie nur Systemadministratoren erlauben, diese Einschränkung zu umgehen.
-
auf Organisationsebene.
Wenn auf Organisationsebene festgelegt, überschreibt die Einstellung auf Organisationsebene die Einstellung auf Hostebene nur für diese Organisation. Die Einstellung für eine Organisation gilt für alle Konten, die zu dieser Organisation gehören, mit Ausnahme von Konten, für die die Standardauthentifizierung auf Kontoebene anders festgelegt ist.
-
auf Kontoebene
Wenn auf Kontoebene festgelegt, überschreibt die Einstellung auf Kontoebene die Standardauthentifizierungseinstellung auf Host- und Organisationsebene nur für dieses Konto.
Festlegen der Standardauthentifizierung auf Hostebene
Auf Hostebene gilt die Einstellung für alle Organisationen und alle ihre Konten. Legen Sie sie entsprechend der Präferenz oder Empfehlung in Ihrem Unternehmen fest.
Für Ausnahmen kann die einfache Authentifizierung auch auf Organisations- oder Kontoebene festgelegt werden, bei der diese Einstellung anders angewendet werden soll.
So lassen Sie die Standardauthentifizierung für alle Organisationen und alle Konten zu oder schränken sie ein:
Wiederherstellen des Zugriffs nach Selbstaussperren
Wenn die Standardauthentifizierung deaktiviert ist, können Sie gesperrt werden, wenn Sie den Zugriff auf Ihr Verzeichniskonto verlieren.
https://<FQDN>/host/orchestrator_/account/hostlogin
und melden Sie sich mit Ihren Standardauthentifizierungsanmeldeinformationen an.
Um Sicherheitsoptionen für Ihre Orchestrator-Installation zu konfigurieren, wechseln Sie zu Administrator > Benutzer > Authentifizierungseinstellungen und bearbeiten Sie die folgenden Optionen nach Bedarf.
Passwortkomplexität
Feld |
Beschreibung |
---|---|
Sonderzeichen |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens ein Sonderzeichen in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
Kleinbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Kleinbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
Großbuchstaben |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens einen Großbuchstaben in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen deaktiviert. |
Ziffern |
Wählen Sie diese Option aus, um es für Benutzer obligatorisch zu machen, mindestens eine Ziffer in ihr Kennwort aufzunehmen. Standardmäßig ist dieses Kontrollkästchen aktiviert. |
Mindestlänge des Kennworts |
Geben Sie die Mindestanzahl von Zeichen an, die ein Kennwort enthalten soll. Standardmäßig ist es 8. Sie können diesen Wert zwischen 1 und 256 Zeichen festlegen. |
Tage vor Ablauf des Kennworts |
Geben Sie die Anzahl der Tage an, für die das Kennwort verfügbar ist. Nach diesem Zeitraum läuft das Kennwort ab und muss geändert werden. Der akzeptierte Mindestwert ist 0 (das Kennwort läuft nie ab), das Maximum beträgt 1000 Tage. |
Wie oft ein Kennwort wiederverwendet werden kann |
Der akzeptierte Mindestwert ist 0 (keine Wiederverwendung eines Kennworts zulassen), während der Höchstwert 10 ist. |
Kennwort bei der ersten Anmeldung ändern |
Wenn Erforderlich festgelegt ist, müssen Benutzer, die sich zum ersten Mal anmelden, ihr Kennwort ändern, bevor sie zugreifen können. Wenn Nicht erforderlichfestgelegt ist, können sich Benutzer anmelden und das vom Administrator definierte Kennwort weiterhin verwenden, bis es abläuft. |
Kontosperre
Feld |
Beschreibung |
---|---|
Umschalter „Aktiviert“ oder „ Deaktiviert “ |
Wenn diese Option aktiviert ist, wird das Konto nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche für eine bestimmte Anzahl von Sekunden gesperrt. Dies gilt auch für die Funktion zur Kennwortänderung. |
Dauer der Kontosperrung |
Die Anzahl der Sekunden, die ein Benutzer warten muss, bevor er sich erneut anmelden darf, nachdem er die Anzahl der aufeinanderfolgenden Anmeldeversuche vor der Sperrungüberschritten hat. Der Standardwert ist 5 Minuten. Der akzeptierte Mindestwert ist 0 (keine Sperrdauer) und der Höchstwert 2592000 (1 Monat). |
Aufeinanderfolgende Anmeldeversuche vor der Sperrung |
Die Anzahl der fehlgeschlagenen Anmeldeversuche, die erlaubt sind, bevor das Konto gesperrt wird. Der Standardwert beträgt 10 Versuche. Sie können einen Wert zwischen 2 und 10 festlegen. |