Отключение тенанта по умолчанию и блокировка встроенных учетных записей
С версии Оркестратора 1.23.11 имеется возможность отключить тенант по умолчанию. Функция помогает удовлетворить возможные требования к информационной безопасности, предъявляемые в организации. Если тенант по умолчанию отключен, авторизация в нем будет невозможна*.
Чтобы отключить тенант по умолчанию, внесите изменения в конфигурационный файл WebApi. В секции Tenants найдите параметр DisabledDefaultTenant и задайте ему значение true.
Пример:
Блокировка учетных записей studio, admin и superadmin
Также с версии 1.23.11 доступна блокировка встроенных нетехнических учетных записей: studio, admin и superadmin.
Для блокировки нужно в БД ltoolsidentity выполнить запрос:
После отключении тенанта по умолчанию остается возможность зайти в него только под специально настроенным AD-пользователем со встроенной ролью Administrator. Этот пользователь имеет право выполнять системные настройки Оркестратора: управлять дистрибутивами робота, лицензиями и т.д.
Чтобы настроить специального AD-пользователя для выполнения системных настроек:
Шаг 1. Разрешите использование тенанта по умолчанию:
После чего перезагрузите службу WebApi.
Шаг 2. Разблокируйте, если она заблокирована, встроенную учетную запись admin ('a18be9c0-aa65-4af8-bd17-00bd9344e575'). См. SQL-запрос выше.
Шаг 3. Авторизуйтесь под admin.
Шаг 4. В AD создайте группу для специального пользователя, например, primo-serving.
Шаг 5. Свяжите группу primo-serving с ролью Administrator. Далее любой AD-пользователь, который входит в группу primo-serving, будет являться специальным.
Шаг 6. Выйдите из системы.
Шаг 7. Заблокируйте встроенную учетную запись admin.
Шаг 8. Запретите использование тенанта по умолчанию: DisabledDefaultTenant: true. После чего перезагрузите службу WebApi.
*Исключение касается специально настроенноего AD-пользователя со встроенной ролью Administrator.
Last updated