- Première configuration
- Administration de l'hôte
- Administration de l'organisation
- Comptes et rôles
- Licences
- Notifications
Authentification de l'hôte et paramètres de sécurité
En tant qu'administrateur système, vous pouvez choisir l'authentification et les paramètres de sécurité par défaut associés pour l'ensemble de votre installation Automation Suite. Ces paramètres sont hérités par défaut par toutes les organisations.
Cet article vous guide à travers les étapes de configuration des paramètres globaux d'authentification et de sécurité. Si vous souhaitez configurer des paramètres au niveau de l'organisation, c'est-à-dire des paramètres qui s'appliquent à une organisation, consultez la documentation sur les paramètres d'authentification au niveau de l'organisation.
Automation Suite vous permet de configurer un fournisseur d'identité externe pour contrôler la façon dont vos utilisateurs se connectent. Le tableau suivant donne un aperçu des différents fournisseurs externes disponibles au niveau de l'hôte :
|
Intégration du fournisseur externe |
Authentification |
Recherche dans l'annuaire |
Enregistrement des administrateurs |
|---|---|---|---|
|
Les administrateurs peuvent utiliser l'authentification SSO avec l'authentification Windows à l'aide du protocole Kerberos |
Les administrateurs peuvent rechercher des utilisateurs à partir d'Active Directory |
Pour qu'un utilisateur puisse se connecter, l'utilisateur ou un groupe dont l'utilisateur est membre doit déjà être ajouté à Automation Suite. Les utilisateurs et les groupes Active Directory sont disponibles dans Automation Suite via la recherche dans l'annuaire. | |
|
Les administrateurs peuvent utiliser SSO avec Azure AD à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans Automation Suite avec une adresse e-mail correspondant à leur compte Azure AD. | |
|
Les utilisateurs peuvent utiliser l'authentification unique avec Google à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l'organisation Automation Suite avec une adresse e-mail correspondant à leur compte Google. | |
|
Les utilisateurs peuvent utiliser l'authentification unique avec n'importe quel fournisseur d'identité qui prend en charge SAML |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans l'organisation Automation Suite avec un nom d'utilisateur/e-mail/clé de fournisseur externe (tel que configuré dans la configuration de leur fournisseur d'identité externe) correspondant à leur compte SAML. |
L'authentification de base fait référence à la connexion avec le nom d'utilisateur et le mot de passe d'un compte local.
Si l'authentification de base est restreinte, vos utilisateurs ne peuvent se connecter qu'avec leur compte d'annuaire, tel que défini dans le fournisseur d'identité externe. Sinon, les utilisateurs peuvent se connecter à la fois avec leurs comptes locaux, le cas échéant, et leurs comptes de répertoire.
Niveaux de configuration et héritage
Cette option peut être configurée :
-
au niveau de l'hôte, comme décrit ci-dessous.
Lorsqu'il est défini au niveau de l'hôte, le paramètre s'applique à toutes les organisations et à tous leurs comptes, sauf si le paramètre d'authentification de base au niveau de l'organisation ou du compte n'a pas été explicitement défini différemment.
-
pour les comptes d'administrateur système, comme décrit ci-dessous.
Même lorsque toutes les organisations ne peuvent pas utiliser l'authentification de base, vous pouvez autoriser uniquement les administrateurs système à contourner cette restriction.
-
au niveau de l'organisation, comme décrit dans Configuration de l'authentification et de la sécurité.
S'il est défini au niveau de l'organisation, le paramètre au niveau de l'organisation remplace le paramètre au niveau de l'hôte pour cette organisation uniquement. Le paramètre d'une organisation s'applique à tous les comptes qui appartiennent à cette organisation, à l'exception des comptes pour lesquels l'authentification de base est définie différemment au niveau du compte.
-
au niveau du compte, comme décrit dans Ajout de comptes.
S'il est défini au niveau du compte, le paramètre au niveau du compte remplace le paramètre d'authentification de base au niveau de l'hôte et de l'organisation pour ce compte uniquement.
Définition de l'authentification de base au niveau de l'hôte
Lorsqu'il est défini au niveau de l'hôte, le paramètre s'applique à toutes les organisations et à tous leurs comptes. Définissez-le en fonction de la préférence ou de la recommandation de votre entreprise.
Pour les exceptions, l'authentification de base peut également être définie au niveau du compte auquel vous souhaitez que ce paramètre s'applique différemment.
Pour autoriser ou restreindre l'authentification de base pour toutes les organisations et tous les comptes, suivez les instructions qui s'appliquent aux paramètres de votre interface utilisateur.
Configuration de l'authentification de base pour les Administrators de l'hôte
Récupération du verrouillage
Lorsque la connexion de base (authentification de base) est désactivée, il est possible d'être verrouillé si vous perdez l'accès à votre compte d'annuaire.
https://<FQDN>/host/orchestrator_/account/hostlogin et connectez-vous à l'aide de vos informations d'authentification de base.
Pour configurer les options de sécurité de votre installation Automation Suite :
- Connectez-vous au portail hôte.
- Assurez-vous que Hôte (Host) est sélectionné en haut du volet gauche, puis cliquez sur Sécurité (Security).
- Sous Connexion de base (Basic sign-in), cliquez sur Modifier la stratégie de mot de passe (Edit password policy).
- Mettez à jour les paramètres si nécessaire. Consultez les sections suivantes pour plus de détails sur chaque option.
|
Champ |
Description |
|---|---|
|
Caractères spéciaux |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère spécial dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
|
Caractères minuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en minuscule dans leur mot de passe. Cette case est cochée par défaut. |
|
Caractères majuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en majuscule dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
|
Chiffres |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un chiffre dans leur mot de passe. Cette case est cochée par défaut. |
|
Longueur minimale du mot de passe |
Spécifiez le nombre minimum de caractères qu'un mot de passe doit contenir. Celui-ci est fixé à 8 par défaut. Il ne peut être inférieur à 1, ni supérieur à 256 caractères. |
|
Jours avant l'expiration du mot de passe |
Spécifiez le nombre de jours pendant lesquels le mot de passe est disponible. Après cette période, le mot de passe expire et doit être modifié. La valeur minimale acceptée est de 0 (le mot de passe n’expire jamais), et la valeur maximale est de 1 000 jours. |
|
Nombre de réutilisations d'un mot de passe |
La valeur minimale acceptée est de 0 (ne jamais autoriser la réutilisation d'un mot de passe), tandis que la valeur maximale est de 10. |
|
Modifier le mot de passe lors de la première connexion |
Si défini sur Requis (Required), les utilisateurs qui se connectent pour la première fois doivent modifier leur mot de passe avant d'être autorisés à accéder à Automation Suite. S'il est défini sur Non requis, les utilisateurs peuvent se connecter et continuer à utiliser le mot de passe défini par l'administrateur jusqu'à son expiration. |
|
Champ |
Description |
|---|---|
|
BasculeActivé ou Désactivé |
Si cette option est activée, elle verrouille le compte pendant un nombre spécifique de secondes après un nombre spécifique de tentatives de connexion infructueuses. Cela s'applique également à la fonctionnalité de modification du mot de passe. |
|
Durée du verrouillage du compte |
Le nombre de secondes qu'un utilisateur doit attendre avant d'être autorisé à se connecter à nouveau après avoir dépassé le nombre de Tentatives de connexion consécutives avant verrouillage. La valeur par défaut est de 5 minutes. La valeur minimale acceptée est de 0 (aucune durée de verrouillage) et la valeur maximale est de 2592 000 (1 mois). |
|
Tentatives de connexion consécutives avant verrouillage |
Le nombre de tentatives de connexion avortées autorisé avant que le compte ne soit verrouillé. La valeur par défaut est de 10 tentatives. Vous pouvez définir une valeur entre 2 et 10. |
