ホストの認証設定

インストールキー

インストールキーは、連携するアプリケーションに対して Orchestrator への SSO 接続を許可するトークンです。

管理ポータルにシステム管理者としてログインします。
[セキュリティ設定] ページには現在のインストールキーが表示され、コピー アイコンをクリックするとキーをクリップボードにコピーできます。
(任意) 新しいインストールキーを生成する場合は [新しく生成] をクリックします。

右上に、新しいキーが正常に生成されたことを示すメッセージが表示されます。

外部プロバイダー

Orchestrator では、ユーザーのサインイン方法を管理するために外部 ID プロバイダーを設定できます。以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。

この表に従い、使用する外部プロバイダーに該当する手順を実行してください。

注:

以下の表の手順は、新規インストールの場合、またはいずれかの外部プロバイダーを初めて設定する場合に使用します。

Orchestrator のアップグレード前に、以下に示した外部プロバイダーの 1 つ以上を既に使用していた場合は、設定が移行されますが、いくつかの再設定作業が必要になることがあります。その場合は、代わりに「アップグレード後に認証を再設定する」の手順を実行してください。

連携する外部プロバイダー	認証	ディレクトリ検索	ユーザーのプロビジョニング
Active Directory と Windows 認証	ユーザーは、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。	管理者は、Active Directory からユーザーを検索できます。	ユーザーには、Orchestrator テナントでロールを割り当てる必要があります。Active Directory のユーザーとグループにはディレクトリ検索によりロールを割り当てることができます。
Azure Active Directory	ユーザーは OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。	サポート対象外	ユーザーは、Azure AD アカウントと同一のメールアドレスを使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。
Google	ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。	サポート対象外	ユーザーは、Google アカウントと同一のメールアドレスを使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。
SAML 2.0	ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。	サポート対象外	ユーザーは、SAML アカウントと同一のユーザー名を使用して、Orchestrator テナント内に手動でプロビジョニングする必要があります。

注: Azure AD のホストレベル連携と組織レベル連携の違い: ホストレベルの Azure AD 外部 ID プロバイダーでは、SSO 機能のみ使用できます。組織レベルの Azure AD 連携の場合は、SSO、ディレクトリ検索、ユーザーの自動プロビジョニングを使用できます。

セキュリティ

Orchestrator のインストールのセキュリティオプションを設定するには、Orchestrator のホストポータルで [セキュリティ設定] に移動し、[基本サインイン] の [パスワードポリシーを編集] をクリックします。

ここ、つまりホストレベルで指定する設定は、既定でインストール内のすべての組織で継承されますが、組織管理者は必要に応じて個々の組織レベルでこれらの設定を上書きできます。

パスワードの複雑さ

注: [パスワードの複雑さ] の設定を編集しても既存のパスワードには影響しません。

フィールド	説明
特殊文字	パスワードに 1 つ以上の特殊文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオフになっています。
小文字	パスワードに 1 つ以上の小文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオンになっています。
大文字	パスワードに 1 つ以上の大文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオフになっています。
数字	パスワードに 1 つ以上の数字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオンになっています。
最低限必要なパスワードの長さ	パスワードの最小文字数を指定します。既定では 8 文字です。1 ～ 256 文字で設定する必要があります。
パスワードの有効期限までの日数	パスワードが有効な期間を日数で指定します。この期間を過ぎると、パスワードが期限切れになり、変更が必要となります。最小許容値は 0 (パスワードが無期限)、最大許容値は 1000 日です。
パスワードが再利用できる回数	最小許容値は 0 回 (パスワードの再利用を一切許可しない)、最大許容値は 10 回です。
最初のログイン時にパスワードを変更	[必須] に設定した場合、初めてログインするユーザーはパスワードを変更してからでないと Orchestrator にアクセスできません。 [必須にしない] に設定すると、ユーザーはそのままログインでき、管理者が定義したパスワードを期限が切れるまで使用し続けることができます。

アカウントロック

フィールド	説明
[有効化] または [無効化] のトグル	有効化した場合は、ログイン試行に一定の回数失敗したアカウントを、指定された秒数の間ロックします。これは、パスワード変更機能にも適用されます。
アカウントロックアウトの期間	[ロックアウトされるまでの連続ログイン試行回数] を超過した後、ユーザーが再度ログインできるようになるまでに待機する必要のある秒数です。既定値は 5 分です。最小許容値は 0 (ロックアウト期間なし)、最大許容値は 2592000 (1 か月) です。
ロックアウトされるまでの連続ログイン試行回数	アカウントがロックされるまでに許容されるログイン試行の失敗回数です。既定値は 10 回です。2 ～ 10 の値を設定できます。