- Démarrage
- Meilleures pratiques
- Locataire
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Autres configurations
- Intégrations
- Robots classiques
- Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des notifications par e-mail du système
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
- Administration de l'organisation
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Paramètres d’authentification de l'hôte
La clé d'installation est un jeton utilisé pour autoriser les connexions SSO à Orchestrator pour les applications intégrées.
Orchestrator vous permet de configurer un fournisseur d'identité externe pour contrôler la façon dont vos utilisateurs se connectent. Le tableau suivant donne un aperçu des différents fournisseurs externes au niveau de l'hôte disponibles.
Suivez les instructions applicables au fournisseur externe que vous souhaitez utiliser, comme indiqué ci-dessous :
Les instructions indiquées dans le tableau ci-dessous s'appliquent à une nouvelle installation ou si vous configurez l'un des fournisseurs externes pour la première fois.
Si vous avez mis à niveau Orchestrator et que vous utilisiez déjà un ou plusieurs des fournisseurs externes répertoriés ci-dessous, la configuration est migrée, mais vous devrez peut-être effectuer certaines tâches de reconfiguration. Dans ce cas, suivez plutôt les instructions de reconfiguration de l'authentification après la mise à niveau.
Intégration du fournisseur externe |
Authentification |
Recherche dans l'annuaire |
Approvisionnement utilisateur |
---|---|---|---|
Les utilisateurs peuvent utiliser l'authentification unique avec l'authentification Windows à l'aide du protocole Kerberos |
Les administrateurs peuvent rechercher des utilisateurs à partir d'Active Directory |
Les utilisateurs doivent se voir attribuer un rôle dans le locataire Orchestrator. Les utilisateurs et les groupes Active Directory peuvent se voir attribuer un rôle via la recherche dans l'annuaire. | |
Les utilisateurs peuvent utiliser l'authentification unique avec Azure AD à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans le locataire Orchestrator avec une adresse e-mail correspondant à leur compte Azure AD. | |
Les utilisateurs peuvent utiliser l'authentification unique avec Google à l'aide du protocole OpenID Connect |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans le locataire Orchestrator avec une adresse e-mail correspondant à leur compte Google. | |
Les utilisateurs peuvent utiliser l'authentification unique avec n'importe quel fournisseur d'identité qui prend en charge SAML |
Non pris en charge |
Les utilisateurs doivent être enregistrés manuellement dans le locataire Orchestrator avec un nom d'utilisateur correspondant à leur compte SAML. |
L'authentification de base fait référence à la connexion avec le nom d'utilisateur et le mot de passe d'un compte local.
Si l'authentification de base est restreinte, vos utilisateurs ne peuvent se connecter qu'avec leur compte d'annuaire, tel que défini dans le fournisseur d'identité externe. Sinon, les utilisateurs peuvent se connecter à la fois avec leurs comptes locaux, le cas échéant, et leurs comptes de répertoire.
Niveaux de configuration et héritage
Cette option peut être configurée :
-
au niveau de l'hôte, comme décrit ci-dessous.
Lorsqu'il est défini au niveau de l'hôte, le paramètre s'applique à toutes les organisations et à tous leurs comptes, sauf si le paramètre d'authentification de base au niveau de l'organisation ou du compte n'a pas été explicitement défini différemment.
-
pour les comptes d'administrateur système, comme décrit ci-dessous.
Même lorsque toutes les organisations ne peuvent pas utiliser l'authentification de base, vous pouvez autoriser uniquement les administrateurs système à contourner cette restriction.
-
au niveau de l'organisation.
S'il est défini au niveau de l'organisation, le paramètre au niveau de l'organisation remplace le paramètre au niveau de l'hôte pour cette organisation uniquement. Le paramètre d'une organisation s'applique à tous les comptes qui appartiennent à cette organisation, à l'exception des comptes pour lesquels l'authentification de base est définie différemment au niveau du compte.
-
au niveau du compte.
S'il est défini au niveau du compte, le paramètre au niveau du compte remplace le paramètre d'authentification de base au niveau de l'hôte et de l'organisation pour ce compte uniquement.
Configuration de l'authentification de base au niveau de l'hôte
Lorsqu'il est défini au niveau de l'hôte, le paramètre s'applique à toutes les organisations et à tous leurs comptes. Définissez-le en fonction de la préférence ou de la recommandation de votre entreprise.
Pour les exceptions, l'authentification de base peut également être définie au niveau du compte auquel vous souhaitez que ce paramètre s'applique différemment.
Pour autoriser ou restreindre l'authentification de base pour toutes les organisations et tous les comptes :
Récupération du verrouillage
Lorsque l'authentification de base est désactivée, il est possible d'être verrouillé si vous perdez l'accès à votre compte d'annuaire.
https://<FQDN>/host/orchestrator_/account/hostlogin
et connectez-vous à l'aide de vos informations d'authentification de base.
Les paramètres que vous spécifiez ici sont hérités par toutes les organisations de votre installation par défaut, mais les administrateurs d'organisation peuvent remplacer ces paramètres selon les besoins au niveau de l'organisation individuelle.
Pour configurer les options de sécurité de votre installation d'Orchestrator, accédez à Comptes et groupes ( Accounts & Groups ) > Paramètres d'authentification ( Authentication Settings ) et, dans la section Sécurité (Security), modifiez les options suivantes selon vos besoins.
Champ |
Description |
---|---|
Caractères spéciaux |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère spécial dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Caractères minuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en minuscule dans leur mot de passe. Cette case est cochée par défaut. |
Caractères majuscules |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un caractère en majuscule dans leur mot de passe. Par défaut, cette case n’est pas cochée. |
Chiffres |
Sélectionnez cette option pour obliger les utilisateurs à inclure au moins un chiffre dans leur mot de passe. Cette case est cochée par défaut. |
Longueur minimale du mot de passe |
Spécifiez le nombre minimum de caractères qu'un mot de passe doit contenir. Par défaut, il est de 8. La longueur doit être comprise entre 1 et 256 caractères. |
Jours avant l'expiration du mot de passe |
Spécifiez le nombre de jours pendant lesquels le mot de passe est disponible. Après cette période, le mot de passe expire et doit être modifié. La valeur minimale acceptée est de 0 (le mot de passe n’expire jamais), et la valeur maximale est de 1 000 jours. |
Nombre de réutilisations d'un mot de passe |
La valeur minimale acceptée est de 0 (ne jamais autoriser la réutilisation d'un mot de passe), tandis que la valeur maximale est de 10. |
Modifier le mot de passe lors de la première connexion |
Si défini sur Requis (Required), les utilisateurs qui se connectent pour la première fois doivent modifier leur mot de passe avant d'être autorisés à accéder à Orchestrator. S'il est défini sur Non requis, les utilisateurs peuvent se connecter et continuer à utiliser le mot de passe défini par l'administrateur jusqu'à son expiration. |
Champ |
Description |
---|---|
BasculeActivé ou Désactivé |
Si cette option est activée, elle verrouille le compte pendant un nombre spécifique de secondes après un nombre spécifique de tentatives de connexion infructueuses. Cela s'applique également à la fonctionnalité de modification du mot de passe. |
Durée du verrouillage du compte |
Le nombre de secondes qu'un utilisateur doit attendre avant d'être autorisé à se connecter à nouveau après avoir dépassé le nombre de Tentatives de connexion consécutives avant verrouillage. La valeur par défaut est de 5 minutes. La valeur minimale acceptée est de 0 (aucune durée de verrouillage) et la valeur maximale est de 2592 000 (1 mois). |
Tentatives de connexion consécutives avant verrouillage |
Le nombre de tentatives de connexion avortées autorisé avant que le compte ne soit verrouillé. La valeur par défaut est de 10 tentatives. Vous pouvez définir une valeur entre 2 et 10. |