Skip to Content
Primo RPA OrchestratorСистемным администраторамТонкая настройкаОтключение тенанта по умолчанию

Отключение тенанта по умолчанию и блокировка встроенных нетехнических учетных записей

С версии Оркестратора 1.23.11 имеется возможность отключить тенант по умолчанию. Функция помогает удовлетворить возможные требования к информационной безопасности, предъявляемые в организации. Если тенант по умолчанию отключен, авторизация в нем будет невозможна.

Чтобы отключить тенант по умолчанию, внесите изменения в конфигурационный файл WebApi. В секции Tenants найдите параметр DisabledDefaultTenant и задайте ему значение true.

Пример:

"Tenants": {
    /* Настройки тенантов хранятся в конфигурационном файле */
    "FromAppsettings": true,

    /// Настройки дефолтного тенанта

    /* Отключение дефолтного тенанта. Авторизация в нем будет невозможна */
    "DisabledDefaultTenant": true,
    ...
    },

Блокировка учетных записей studio, admin и superadmin

Также с версии 1.23.11 доступна блокировка встроенных нетехнических учетных записей: studio, admin и superadmin.

Для блокировки нужно в БД ltoolsidentity выполнить запрос:

UPDATE "Users" 
SET "Disabled" = True 
WHERE "Id" IN ('a18be9c0-aa67-4af8-bd17-00bd9344e575',
'a18be9c0-aa65-4af8-bd17-00bd9344e575',
'00000000-0000-0000-0000-100000000000');

После отключении тенанта по умолчанию остается возможность зайти в него только под специально настроенным AD-пользователем со встроенной ролью Administrator. Этот пользователь имеет право выполнять системные настройки Оркестратора: управлять дистрибутивами робота, лицензиями и т.д.

Чтобы настроить специального AD-пользователя для выполнения системных настроек:

Шаг 1. Разрешите использование тенанта по умолчанию:

...
"DisabledDefaultTenant": false,
...

После чего перезагрузите службу WebApi.

Шаг 2. Разблокируйте, если она заблокирована, встроенную учетную запись admin (‘a18be9c0-aa65-4af8-bd17-00bd9344e575’). См. SQL-запрос выше.

Шаг 3. Авторизуйтесь под admin.

Шаг 4. В AD создайте группу для специального пользователя, например, primo-serving.

Шаг 5. Свяжите группу primo-serving с ролью Administrator. Далее любой AD-пользователь, который входит в группу primo-serving, будет являться специальным.

Шаг 6. Выйдите из системы.

Шаг 7. Заблокируйте встроенную учетную запись admin.

Шаг 8. Запретите использование тенанта по умолчанию: DisabledDefaultTenant: true. После чего перезагрузите службу WebApi.

Интеграция с CyberArkНастройка RDP-сессий