主机身份验证和安全设置

作为系统管理员，您可以为整个 Automation Suite 安装选择身份验证和相关的默认安全设置。默认情况下，所有组织都将继承这些设置。

关于外部提供程序

Automation Suite 允许您配置外部身份提供程序以控制用户的登录方式。下表概述了可用的不同主机级外部提供程序：

外部提供程序集成	身份验证	目录搜索	管理员配置
Active Directory 和 Windows 身份验证	管理员可以使用 Kerberos 协议将 SSO 与 Windows 身份验证结合使用	管理员可以从 Active Directory 搜索用户	为了使用户能够登录，用户或用户所属的组应该已经添加到 Automation Suite。通过目录搜索，您可以在 Automation Suite 中找到 Active Directory 用户和组。
Azure Active Directory	管理员可以使用 OpenID Connect 协议将 SSO 与 Azure AD 结合使用	不支持	必须手动将用户配置到 Automation Suite 中。其电子邮件地址与其 Azure AD 帐户匹配。
Google	用户可以使用 OpenID Connect 协议将 SSO 与 Google 一起使用	不支持	必须使用与其 Google 帐户匹配的电子邮件地址手动将用户配置到 Automation Suite 组织中。
SAML 2.0	用户可以将 SSO 与任何支持 SAML 的身份提供程序一起使用	不支持	必须使用与其 SAML 帐户匹配的用户名/电子邮件/外部提供程序密钥（如其外部身份提供程序配置中所配置）手动将用户配置到 Automation Suite 组织中。

备注：

在主机级别和组织级别集成 Azure AD 之间的区别

主机级 Azure AD 外部身份提供程序仅启用 SSO 功能。这意味着必须使用与其 Azure AD 帐户匹配的电子邮件地址手动将用户配置到 Automation Suite 组织中，以便他们登录到组织。

配置组织级别的 Azure AD 集成后，将在 Automation Suite 中自动配置通过 Azure AD (SSO) 登录到组织的用户。此外，已登录的目录用户可以在 Azure AD 中搜索其他用户。

基本身份验证 是指使用本地帐户的用户名和密码登录。

如果基本身份验证受到限制，则您的用户只能使用外部身份提供程序中定义的目录帐户登录。否则，用户可以使用其本地帐户（如果有）和目录帐户登录。

可以配置此选项：

在 主机级别，如下所述。

在主机级别设置时，该设置将应用于所有组织及其所有帐户，除非组织或帐户级别的基本身份验证设置未以不同方式显式设置。
对于系统管理员帐户，如下所述。

即使限制所有组织使用基本身份验证，您也可以仅允许系统管理员绕过此限制。
在 组织级别，如配置身份验证和安全性中所述。

如果在组织级别设置，则组织级别设置仅覆盖该组织的主机级别设置。组织的设置适用于属于该组织的所有帐户，但在帐户级别以不同方式设置基本身份验证的帐户除外。
在 帐户级别，如添加帐户中所述。

如果在帐户级别设置，则帐户级别设置仅覆盖该帐户的主机级别和组织级别基本身份验证设置。

注意：仅当在主机级别启用外部提供程序集成时，此设置才可用。

在主机级别设置时，该设置将应用于所有组织及其所有帐户。根据整个公司的偏好或建议进行设置。

对于例外情况，您也可以在组织级别或帐户级别设置基本身份验证，以便以不同方式应用此设置。

要允许或限制所有组织和所有帐户的基本身份验证，请执行以下操作：

以系统管理员身份登录主机门户。
转到“ 用户 ”，然后选择“ 身份验证设置” 选项卡。
在“ 外部提供程序” 下，单击“ 禁用组织的基本身份验证” 开关，以限制或允许使用基本身份验证进行登录：
- 如果关闭（左侧切换位置，灰色切换），则允许基本身份验证。
- 如果打开（向右切换位置，蓝色切换），则限制基本身份验证。在受限状态下，“ 允许对主机管理员进行基本身份验证” 开关可用。
如果您限制了基本身份验证，请使用“ 允许主机管理员进行基本身份验证” 开关来选择是否要允许系统管理员进行基本身份验证，但以下情况除外：
- 如果关闭（左侧切换位置，灰色切换），则系统管理员也不允许进行基本身份验证。
- 如果打开（右侧切换位置，蓝色切换），即使不允许基本身份验证，也有例外情况，仅允许系统管理员帐户使用。
在“ 外部提供程序 ” 部分的右下角，单击“ 保存 ” 以应用更改。

禁用基本身份验证后，如果您无法访问目录帐户，则可能会被锁定。

要从这种情况中恢复，请转到 https://<FQDN>/host/orchestrator_/account/hostlogin ，然后使用您的基本身份验证凭据登录。

注意：默认情况下，您在此处指定的设置将由安装中的所有组织继承，但组织管理员可以根据需要在单个组织级别覆盖这些设置。

要为 Automation Suite 安装配置安全选项，请转到“ 管理员 ” >“ 用户 ” > “身份验证设置” ，然后根据需要编辑以下选项。

注意：编辑 密码复杂性 设置不会影响现有密码。

字段	描述
特殊字符	选择以强制用户在其密码中至少加入一个特殊字符。默认情况下，该复选框处于未选中状态。
小写字符	选择以强制用户在其密码中至少加入一个小写字符。默认情况下，该复选框处于选中状态。
大写字符	选择以强制用户在其密码中至少加入一个大写字符。默认情况下，该复选框处于未选中状态。
数字	选择以强制用户在其密码中至少加入一位数字。默认情况下，该复选框处于选中状态。
最小密码长度	指定密码应包含的最少字符数。默认情况下为 8。长度不能少于 1 个字符，且不能多于 256 个字符。
密码到期前的天数	指定密码的有效天数。密码将在此段时间后过期，需要更改。可接受的最小值为 0（密码永不过期），最大值为 1000 天。
密码可重复使用的次数	接受的最小值为 0（不允许重复使用密码），最大值为 10。
首次登录时更改密码	如果设置为“必填”，则首次登录的用户必须先更改其密码，然后才能访问 Automation Suite。如果设置为 “不需要”，则用户可以登录并继续使用管理员定义的密码，直到密码过期。

字段	描述
启用或禁用切换	如果启用，则在特定数量的登录尝试失败后将帐户锁定特定秒数。这也适用于密码更改功能。
帐户锁定持续时间	超过锁定前的连续登录尝试次数后，用户在被允许再次登录之前需要等待的秒数。默认值为 5 分钟。接受的最小值为 0（无锁定持续时间），最大值为 2592000（1 个月）。
锁定前连续尝试登录	锁定帐户前允许的失败登录尝试次数。默认值为 10 次。您可以设置一个介于 2 到 10 之间的值。