- 基本情報
- ベスト プラクティス
- テナント
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
ホストの認証設定
Orchestrator では、ユーザーのサインイン方法を管理するために外部 ID プロバイダーを設定できます。以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
この表に従い、使用する外部プロバイダーに該当する手順を実行してください。
以下の表の手順は、新規インストールの場合、またはいずれかの外部プロバイダーを初めて設定する場合に使用します。
Orchestrator のアップグレード前に、以下に示した外部プロバイダーの 1 つ以上を既に使用していた場合は、設定が移行されますが、いくつかの再設定作業が必要になることがあります。その場合は、代わりに「アップグレード後に認証を再設定する」の手順を実行してください。
連携する外部プロバイダー |
認証 |
ディレクトリ検索 |
ユーザーのプロビジョニング |
---|---|---|---|
ユーザーは、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。 |
管理者は、Active Directory からユーザーを検索できます。 |
ユーザーには、Orchestrator テナントでロールを割り当てる必要があります。Active Directory のユーザーとグループにはディレクトリ検索によりロールを割り当てることができます。 | |
ユーザーは OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Azure AD アカウントと同一のメール アドレスを使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。 | |
ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Google アカウントと同一のメール アドレスを使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。 | |
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 |
サポート対象外 |
ユーザーは、SAML アカウントと同一のユーザー名を使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。 |
基本認証とは、<> のユーザー名とパスワードを使用するサインインのことです。
基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリ アカウントでのみログインできます。制限されていない場合、ユーザーはローカル アカウント (ある場合) とディレクトリ アカウントの両方でログインできます。
設定レベルと継承
このオプションは、以下のように設定できます。
-
以下に説明するように、ホスト レベルで設定できます。
ホスト レベルで設定した場合、組織レベルまたはアカウント レベルの基本認証設定が明示的に異なって設定されていない場合を除き、この設定はすべての組織とそのすべてのアカウントに適用されます。
-
以下で説明するように、システム管理者アカウントに設定できます。
すべての組織が基本認証の使用を制限されている場合でも、システム管理者のみがこの制限を回避することができます。
-
組織レベル
組織レベルで設定した場合、その組織についてのみ、組織レベルの設定がホスト レベルの設定よりも優先されます。組織の設定は、その組織に属するすべてのアカウントに適用されます。ただし、基本認証がアカウント レベルで異なるように設定されているアカウントは除きます。
-
アカウント レベル
アカウント レベルで設定した場合、そのアカウントについてのみ、アカウント レベルの設定がホスト レベルと組織レベルの基本認証設定よりも優先されます。
ホスト レベルで基本認証を設定する
ホスト レベルで設定した場合、その設定がすべての組織とそのすべてのアカウントに適用されます。会社全体の設定または推奨事項に従って設定してください。
例外として、基本認証を組織レベルまたはアカウント レベルで設定し、この設定を異なる方法で適用することもできます。
すべての組織およびすべてのアカウントに対して基本認証を許可または制限するには、以下の手順を実行します。
ロックアウトからの回復
基本認証が無効化されている場合、ディレクトリ アカウントへのアクセス権を失うと、ロックアウトされる可能性があります。
https://<FQDN>/host/orchestrator_/account/hostlogin
に移動し、基本認証資格情報を使用してログインします。
ここで指定する設定は、既定でインストール内のすべての組織で継承されますが、組織管理者は必要に応じて個々の組織レベルでこれらの設定を上書きできます。
Orchestrator のインストール時にセキュリティ オプションを設定するには、[アカウントとグループ] > [認証設定] に移動し、必要に応じて [セキュリティ] セクションで以下のオプションを編集します。
フィールド |
説明 |
---|---|
特殊文字 |
パスワードに 1 つ以上の特殊文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
小文字 |
パスワードに 1 つ以上の小文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
大文字 |
パスワードに 1 つ以上の大文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
数字 |
パスワードに 1 つ以上の数字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
最低限必要なパスワードの長さ |
パスワードの最小文字数を指定します。 既定では 8 文字です。1 ~ 256 文字で設定する必要があります。 |
パスワードの有効期限までの日数 |
パスワードが有効な期間を日数で指定します。この期間を過ぎると、パスワードが期限切れになり、変更が必要となります。 最小許容値は 0 (パスワードが無期限)、最大許容値は 1000 日です。 |
パスワードが再利用できる回数 |
最小許容値は 0 回 (パスワードの再利用を一切許可しない)、最大許容値は 10 回です。 |
最初のログイン時にパスワードを変更 |
[必須] に設定した場合、初めてログインするユーザーはパスワードを変更してからでないと Orchestrator にアクセスできません。 [必須にしない] に設定すると、ユーザーはそのままログインでき、管理者が定義したパスワードを期限が切れるまで使用し続けることができます。 |
フィールド |
説明 |
---|---|
[有効化] または [無効化] のトグル |
有効化した場合は、ログイン試行に一定の回数失敗したアカウントを、指定された秒数の間ロックします。これは、パスワード変更機能にも適用されます。 |
アカウント ロックアウトの期間 |
[ロックアウトされるまでの連続ログイン試行回数] を超過した後、ユーザーが再度ログインできるようになるまでに待機する必要のある秒数です。 既定値は 5 分です。最小許容値は 0 (ロックアウト期間なし)、最大許容値は 2592000 (1 か月) です。 |
ロックアウトされるまでの連続ログイン試行回数 |
アカウントがロックされるまでに許容されるログイン試行の失敗回数です。 既定値は 10 回です。2 ~ 10 の値を設定できます。 |