Orchestrator 安全方案
发布日期: 2016年3月
适用于: System Center 2012 SP1 - Orchestrator,System Center 2012 - Orchestrator,System Center 2012 R2 Orchestrator
以下信息提供关于安全使用 Orchestrator 的最佳做法。 此信息以方案格式提供。 以下方案可用:
方案:安全地从开发环境过渡到测试环境再过渡到生产环境
方案:有效地管理 Orchestrator 用户组成员资格
方案:安全地从开发环境过渡到测试环境再过渡到生产环境
可以在 Orchestrator 的不同实例之间安全共享 Runbook 中包含的 Orchestrator 密码数据。 例如,某人可能希望导出在开发环境中构建的 Runbook,并将其导入到测试环境中,或者将测试的 Runbook 导出到生产环境中。 此导出和导入过程需要在导出的每个阶段以某种方式保护加密的数据,导出的数据可以这种方式导入到不同的 Orchestrator 环境中。
这是使用 Runbook Designer 中可用的导入/导出功能完成的。 可以从 Runbook Designer 菜单栏上“操作”项中使用导出和导入功能,也可以通过右键单击 Runbook 文件夹来使用导出和导入功能。 也可以通过右键单击 Runbook 选项卡来使用导出功能,这种功能通常称为“单一 Runbook 导出”。
无论如何导出 Runbook,Runbook 中包含的加密数据将安全地存储在所生成的 XML 导出文件中。 这是通过在导出时提供密码实现的。 当 Orchestrator 导出 Runbook 及其相关配置时,Runbook 中包含的任何加密数据会被解密,然后在导出时通过提供的密码重新加密。
.jpeg "System_CAPS_ICON_note.jpg"){kind=icon} 说明 |
|---|
|
重新导入某个导出文件时,导入要求提供密码。 如果密码匹配,则导出中包含的加密数据将被导入,并且会通过加密密钥重新加密以便存储在 Orchestrator 数据库中。
| 说明 |
|---|
|
方案:有效地管理 Orchestrator 用户组成员资格
Orchestrator 有两个核心用户角色:Runbook 作者和操作员。 这些用户角色在 Orchestrator 中拥有不同的权限。 Runbook 作者是对 Orchestrator 及其数据库和配置具有丰富的管理访问权限的个人。 Runbook 作者会向 Runbook 操作员授予访问权限。 Runbook 操作员可以根据 Runbook 作者授予他们的权限来访问 Orchestration 控制台和 Web 服务。
| 用户角色 | 标识依据 | 权限 |
|---|---|---|
| Runbook 作者 | Orchestrator 用户组中的成员资格(见下文) | - Orchestrator 的管理员 - 读取、写入、更新 Orchestrator 配置 - Orchestrator 数据库的完全控制 - 完全加密/解密权限 - 对可以通过集成包与外部系统交互的 Runbook 活动的访问权限 |
| Runbook 操作员 | Runbook 作者在 Runbook Designer 中授予的 Runbook 文件夹权限 | - 对 Orchestrator 的非管理权限 - 对 Orchestration 控制台和 Web 服务的访问权限 - 基于 Runbook 作者授予的权限查看和调用 Runbook - 无 Orchestrator 数据库访问权限 - 无加密/解密权限 |
| 说明 |
|---|
如果将用户帐户放在 Orchestrator 用户组中,则会将此用户帐户标识为 Orchestrator 的管理员。 所有 Orchestrator 用户实质上都是权限相同的管理员,都可以完全访问 Orchestrator 以及数据库中包含的数据。 这包括用于对 Orchestrator 数据库中包含的数据进行加密和解密的访问权限。 |
Orchestrator 通过安装时创建的两个安全组中的成员资格来管理安全性。 这两个组是 Orchestrator 用户组和 Orchestrator 系统组。 这两个组中或其中任何一个组中的成员资格标识了被认为是 Orchestrator 管理员(受信任的角色)的帐户。 管理权限包括能够更新 Runbook 及其相关的配置数据、更新 Runbook 服务器的配置、通过集成包与外部系统交互、安装和部署集成包、以编程方式与 Orchestrator 数据库交互、更新数据库配置,以及对 Orchestrator 数据库中存储的加密数据进行加密/解密。
| 说明 |
|---|
这两个组中或其中任何一个组中的成员资格授予对 Orchestrator 的完全管理访问权限,包括对 Orchestrator 数据库中包含的所有数据的访问权限以及完全加密/解密权限。 |
| 安全组 | 关联的角色 | 安全组目的 |
|---|---|---|
| Orchestrator 用户组 | Runbook 作者和部署集成包的任何人 | 此安全组定义将能够启动 Runbook Designer、Deployment Manager 和数据存储配置实用工具的用户帐户。 此组中的成员资格授予对 Orchestrator 数据库的特许访问权限。 这包括能够读取和更新数据库配置以及对加密的数据进行访问和解密。 |
| Orchestrator 系统组 | 无(用于服务帐户) | 此安全组定义需要对 Orchestrator 数据库的特许访问权限的服务帐户。 这包括能够读取和更新数据库配置以及对加密的数据进行访问和解密。 |
下列用户角色被认为是 Orchestrator 中受信任/不受信任的角色。
| 安全域 | 上下文 | 加密权限 | 标识依据 | 受信任的角色 |
|---|---|---|---|---|
| 运行时间 | Orchestrator 服务 “调用 Runbook”替换凭据 |
完全加密和解密 | Active Directory 中的 Orchestrator 系统组/“调用 Runbook”Runbook 活动的凭据 | 是 |
| 设计时 | Runbook 设计器 Deployment Manager 数据存储配置 |
完全加密和解密 | Active Directory 中的 Orchestrator 用户组 | 是 |
| 运算符 | Orchestration 控制台 Web 服务 |
没有对加密或解密数据的显式访问权限。 | Runbook 作者角色在 Runbook Designer 中定义的用户权限 | 否 |
| 数据库管理员 | MS SQL Server 20008 R2 | 完全加密和解密 | 对 SQL Server 的权限(作为具有对 Orchestrator 数据库的权限的 DBA) | 是 |
| Windows 管理员 | Windows Server 2008 R2 | 没有授予显式权限,不过 Windows 管理员被视为受信任的角色。 | 对 Windows 的权限 | 是 |