主机身份验证设置

安装密钥

安装密钥是一个令牌，用于允许 SSO 连接到 Orchestrator 以用于集成应用程序。

Orchestrator 允许您配置外部身份提供程序，以控制用户的登录方式。下表概述了可用的不同主机级别外部提供程序。

请按照适用于您要使用的外部提供程序的说明进行操作，如下所示：

备注：

全新安装与升级

下表中的说明适用于全新安装，或者您是首次配置某个外部提供程序。

如果您升级了 Orchestrator 并且已经在使用下面列出的一个或多个外部提供程序，则配置将迁移，但您可能需要执行一些重新配置任务。如果如此，请按照升级后重新配置身份验证中的说明进行操作。

外部提供程序集成	身份验证	目录搜索	用户配置
Active Directory 和 Windows 身份验证	用户可以通过 Kerberos 协议将 SSO 与 Windows 身份验证一起使用	管理员可以从 Active Directory 搜索用户	必须为用户分配 Orchestrator 租户中的角色。可以通过目录搜索为 Active Directory 用户和组分配角色。
Azure Active Directory	用户可以通过 OpenID Connect 协议将 SSO 与 Azure AD 一起使用	不支持	必须使用与其 Azure AD 帐户匹配的电子邮件地址手动将用户配置到 Orchestrator 租户中。
Google	用户可以使用 OpenID Connect 协议将 SSO 与 Google 一起使用	不支持	必须使用与其 Google 帐户匹配的电子邮件地址手动将用户配置到 Orchestrator 租户中。
SAML 2.0	用户可以将 SSO 与任何支持 SAML 的身份提供程序一起使用	不支持	必须使用与其 SAML 帐户匹配的用户名手动将用户配置到 Orchestrator 租户中。

备注： 在主机级别和组织级别集成 Azure AD 之间的差异：主机级别的 Azure AD 外部身份提供程序仅启用 SSO 功能。组织级别的 Azure AD 集成可实现 SSO、目录搜索和自动用户配置。

基本身份验证 是指使用本地帐户的用户名和密码登录。

如果基本身份验证受到限制，则您的用户只能使用外部身份提供程序中定义的目录帐户登录。否则，用户可以使用其本地帐户（如果有）和目录帐户登录。

可以配置此选项：

在 主机级别，如下所述。

在主机级别设置时，该设置将应用于所有组织及其所有帐户，除非组织或帐户级别的基本身份验证设置未以不同方式显式设置。
对于系统管理员帐户，如下所述。

即使限制所有组织使用基本身份验证，您也可以仅允许系统管理员绕过此限制。
在 组织级别。

如果在组织级别设置，则组织级别设置仅覆盖该组织的主机级别设置。组织的设置适用于属于该组织的所有帐户，但在帐户级别以不同方式设置基本身份验证的帐户除外。
在 帐户级别

如果在帐户级别设置，则帐户级别设置仅覆盖该帐户的主机级别和组织级别基本身份验证设置。

注意：仅当在主机级别启用外部提供程序集成时，此设置才可用。

在主机级别设置时，该设置将应用于所有组织及其所有帐户。根据整个公司的偏好或建议进行设置。

对于例外情况，您也可以在组织级别或帐户级别设置基本身份验证，以便以不同方式应用此设置。

要允许或限制所有组织和所有帐户的基本身份验证，请执行以下操作：

以系统管理员身份登录主机门户。
转到“ 用户 ”，然后选择“ 身份验证设置” 选项卡。
在“ 外部提供程序” 下，单击“ 禁用组织的基本身份验证” 开关，以限制或允许使用基本身份验证进行登录：
- 如果关闭（左侧切换位置，灰色切换），则允许基本身份验证。
- 如果打开（向右切换位置，蓝色切换），则限制基本身份验证。在受限状态下，“ 允许对主机管理员进行基本身份验证” 开关可用。
如果您限制了基本身份验证，请使用“ 允许主机管理员进行基本身份验证” 开关来选择是否要允许系统管理员进行基本身份验证，但以下情况除外：
- 如果关闭（左侧切换位置，灰色切换），则系统管理员也不允许进行基本身份验证。
- 如果打开（右侧切换位置，蓝色切换），即使不允许基本身份验证，也有例外情况，仅允许系统管理员帐户使用。
在“ 外部提供程序 ” 部分的右下角，单击“ 保存 ” 以应用更改。

从锁定中恢复

禁用基本身份验证后，如果您无法访问目录帐户，则可能会被锁定。

要从这种情况中恢复，请转到 https://<FQDN>/host/orchestrator_/account/hostlogin ，然后使用您的基本身份验证凭据登录。

注意：默认情况下，您在此处指定的设置将由安装中的所有组织继承，但组织管理员可以根据需要在单个组织级别覆盖这些设置。

要为 Orchestrator 安装配置安全选项，请转到“ 管理员 ” >“ 用户 ” > “身份验证设置” ，然后根据需要编辑以下选项。

注意：编辑 密码复杂性 设置不会影响现有密码。

字段	描述
特殊字符	选择以强制用户在其密码中至少加入一个特殊字符。默认情况下，该复选框处于未选中状态。
小写字符	选择以强制用户在其密码中至少加入一个小写字符。默认情况下，该复选框处于选中状态。
大写字符	选择以强制用户在其密码中至少加入一个大写字符。默认情况下，该复选框处于未选中状态。
数字	选择以强制用户在其密码中至少加入一位数字。默认情况下，该复选框处于选中状态。
最小密码长度	指定密码应包含的最少字符数。默认情况下为 8。您可以将此值设置为 1 到 256 个字符。
密码到期前的天数	指定密码的有效天数。密码将在此段时间后过期，需要更改。可接受的最小值为 0（密码永不过期），最大值为 1000 天。
密码可重复使用的次数	接受的最小值为 0（不允许重复使用密码），最大值为 10。
首次登录时更改密码	如果设置为“必填”，则首次登录的用户必须先更改其密码，然后才能访问。如果设置为 “不需要”，则用户可以登录并继续使用管理员定义的密码，直到密码过期。

字段	描述
启用或禁用切换	如果启用，则在特定数量的登录尝试失败后将帐户锁定特定秒数。这也适用于密码更改功能。
帐户锁定持续时间	超过锁定前的连续登录尝试次数后，用户在被允许再次登录之前需要等待的秒数。默认值为 5 分钟。接受的最小值为 0（无锁定持续时间），最大值为 2592000（1 个月）。
锁定前连续尝试登录	锁定帐户前允许的失败登录尝试次数。默认值为 10 次。您可以设置一个介于 2 到 10 之间的值。