通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

SAML 連携を設定する

Automation Suite 組織は、SAML 2.0 標準を使用する任意の ID プロバイダー (IdP) に接続できます。ここでは、SAML 連携の設定例をいくつか示して、全体的なプロセスについて説明します。

設定プロセスの概要


SAML 連携は、既存のユーザーの混乱を招くことなく、段階的に導入することができます。

プロセスの主なフェーズは、これからこのページで詳しく説明しますが、次のとおりです。

  1. 非アクティブなユーザー アカウントをクリーンアップする
  2. SAML 連携を設定する
  3. SAML SSO でサインインするように既存のユーザーを移行する
  4. 新しいユーザーに権限とロボットを設定する
  5. ローカル アカウントの使用を中止する (任意)

 

既知の制限事項


SAML 連携では、ID プロバイダーからすべてのユーザーとグループを検索することはできません。Automation Suite 内で検索できるのは、プロビジョニングされたディレクトリ ユーザーのみです。

 

前提条件


SAML 連携を設定するには、以下が必要です。

  • Enterprise または Enterprise 無料トライアル ライセンスを持つ Automation Suite の組織。
  • Automation Suite とサードパーティ ID プロバイダーの、両方の管理者権限。
    ID プロバイダーの管理者権限がない場合は、管理者とともに設定プロセスを完了できます。
  • UiPath Studio and UiPath Assistant version 2020.10.3 or later, so that you can set them up to use the recommended deployment.

📘

Azure Active Directory との連携からの切り替え

現在、認証に Azure Active Directory との連携を使用している場合は、より豊富な機能を使用できる AAD との連携をそのまま維持することをお勧めします。

AAD との連携から切り替える場合は、アクセス スキーマを完全に再作成しなくても済むように、ディレクトリ グループを使用して行われたロール割り当てを、ディレクトリ アカウントへのロールの直接割り当てに、手動で置き換える必要があります。

 

手順 1: 非アクティブなユーザー アカウントをクリーンアップする


組織でメール アドレスを再利用している場合は、SAML 連携を設定する前に、非アクティブなユーザー アカウントをすべて削除することが重要です。

連携を有効化すると、Automation Suite に存在するローカル アカウントを、同じメール アドレスを使用する外部 ID プロバイダーのディレクトリ アカウントにリンクできます。このアカウントのリンクは、そのメール アドレスのディレクトリ アカウント ユーザーが初めてサインインしたときに作成されます。移行がシームレスに行われるように、ID プロバイダーの ID は、ローカル アカウントのすべてのロールを継承します。
そのため、Automation Suite に非アクティブなローカル アカウントが存在する場合、ローカル アカウントとディレクトリ アカウントが一致せず、意図せずに権限が昇格される可能性があります。

非アクティブなユーザー アカウントを削除するには、以下の手順を実行します。

  1. Automation Suite に管理者としてログインします。
  2. [管理] > [アカウントおよびグループ] > [ユーザー] タブに移動します。
  3. [最終操作日] 列の列ヘッダーをクリックして、最終ログインの日付が最も古いユーザーが一番上に表示されるように、ユーザーを並べ替えます。
122122

[最終操作日] 列には、ユーザーが最後に Automation Suite にログインした日付が表示されます。上の例のように、この列に [保留中] と表示された場合、ユーザーがログインしたことがないことを示します。この情報を使用して、非アクティブなユーザーを識別することができます。

  1. 行の端にある削除アイコンをクリックして、そのユーザーのローカル アカウントを削除します。
11741174
  1. 確認ダイアログの [削除] をクリックして、Automation Suite からアカウントを削除します。
    ページからユーザー アカウントが削除されます。
  2. 操作を続行して、組織の非アクティブなユーザー アカウントをすべて削除します。

 

手順 2: SAML 連携を設定する


続いて、Automation Suite と ID プロバイダー (IdP) の両方を設定して連携する必要があります。

手順 2.1: SAML サービス プロバイダーの詳細情報を取得する

  1. Automation Suite に管理者としてログインします。
  2. [管理] > [セキュリティ設定] に移動します。
  3. [外部プロバイダー] セクションの [SAML 2.0][設定] をクリックします。
    次のページで、連携の概要が示されます。
  4. 右下の [次へ] をクリックして設定に進みます。
    [全般設定] 手順の [IdP で構成するデータ] で、ID プロバイダーを Automation Suite に接続するよう設定するために必要な情報が示されます。
844844
  1. [メタデータ URL][エンティティ ID][アサーション コンシューマー サービス URL] の値をコピーして保存します。これらは、次の手順で必要になります。

このブラウザー タブは、後で使用するために開いたままにします。

手順 2.2: ID プロバイダーを設定する

Automation Suite は、SAML 2.0 標準を使用する任意のサードパーティの ID プロバイダー (IdP) に接続できます。

設定は選択した IdP によって異なることがありますが、以下のプロバイダーについては設定を検証済みです。連携を設定する際の参考にしてください。
A. Okta
B. PingOne

他の ID プロバイダーについては、それぞれの連携に関するドキュメントに従ってください。

A. Okta の設定例

📘

このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、Okta のドキュメントをご覧ください。

  1. 別のブラウザー タブで、Okta の管理コンソールにログインします。
  2. [アプリケーション] > [アプリケーション] に移動します。[アプリ統合を作成] をクリックし、サインオン方法として [SAML 2.0] を選択します。
  3. [一般設定] ページで、連携しているアプリの名前として Automation Suite を指定します。
  4. [Configure SAML] ページの [General] セクションに、次のように入力します。
    a. シングル・サインオン URL: Automation Suite から取得したアサーション コンシューマー サービス URL の値を入力します。
    b. [受信者URLおよび宛先URLに使用] チェックボックスをオンにします。
    c. 対象 URI: Automation Suite から取得したエンティティ ID の値を入力します。
    d. 名前IDのフォーマット: [EmailAddress] を選択します。
    e. アプリケーションのユーザー名: [Email] を選択します。
  5. [属性ステートメント] に以下を追加します。
    a. Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    b. [名前のフォーマット][指定なし] のままにします。
    c. Set Value to user.email, or the user attribute that contains the user's unique email address
    d. 必要に応じて、他の属性マッピングを追加します。Automation Suite では、姓、名、役職、部門の各ユーザー属性もサポートしています。その後、この情報は Automation Suite に反映され、Automation Hub など他のサービスで利用できるようになります。
  6. [フィードバック] ページで、好みのオプションを選択します。
  7. [完了] をクリックします。
  8. [サインオン] タブの [設定] セクションの [セットアップ方法を表示] で、[Identity Provider metadata URL] の値をコピーし、後で使用するために保存します。
  9. Automation Suite 用の [アプリケーション] ページで、新たに作成したアプリケーションを選択します。
  10. [割り当て] タブで、[割り当て] > [ユーザーに割り当てる] を選択し、Automation Suite での SAML 認証の使用を許可するユーザーを選択します。
    新たに追加されたユーザーが [People] (ユーザー) タブに表示されます。

B. PingOne の設定例

📘

このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、PingOne のドキュメントをご覧ください。

  1. 別のブラウザー タブで、PingOne の管理コンソールにログインします。
  2. [Connections] > [Applications] に移動し、プラス記号のアイコン + をクリックします。
  3. [Web App] をクリックし、[SAML] に対して [Configure] をクリックします。
  4. [Create App Profile] ページで Automation Suite アプリの名前を指定します。
  5. [Configure SAML Connection] ページで [Manually Enter] を選択し、以下の詳細情報を入力します。
    • ACS URLs: Automation Suite から取得したアサーション コンシューマー サービス URL の値を入力します。
    • Entity ID: Automation Suite から取得したエンティティ ID の値を入力します。
    • SLO binding: HTTP Redirect
    • Assertion Validity Duration: 有効期間の秒数を入力します。
  6. [Save and Continue] をクリックします。
  7. [Map Attributes] ページで、メール アドレスを入力します。
    a. [+ Add Attribute] を選択します。
    b. For Application Attribute, enter http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress です。
    c. [Outgoing Value][Email Address] のアドレスに設定するか、ユーザーの一意のメール アドレスを含むユーザー属性に設定します。
    d. [Required] チェックボックスをオンにします。
    e. 必要に応じて、他の属性マッピングを追加します。Automation Suite では、姓、名、役職、部門の各ユーザー属性もサポートしています。その後、この情報は Automation Suite に反映され、Automation Hub など他のサービスで利用できるようになります。
  8. [Save and Close] をクリックします。
  9. Automation Suite アプリのトグルをクリックし、アプリケーションを有効化して、ユーザーがアクセスできるようにします。
  10. [Configuration] タブで、後で使用するために [IdP Metadata URL] の値をコピーして保存します。

手順 2.3.Automation Suite を構成する

ID プロバイダーを認識するサービス プロバイダーとして Automation Suite を有効化するには、以下の手順に従います。

  1. Automation Suite の [SAML 設定] タブに戻ります。
  2. [全般設定] の手順の [IdP からのデータ] で、構成時に取得したメタデータ URL を [メタデータ URL] フィールドに入力します。
  3. [データを取得] をクリックします。
    完了すると、[サインオン URL][ID プロバイダーのエンティティ ID]、および [署名証明書] フィールドに IdP の情報が入力されます。
  4. 右下の [次へ] をクリックして、次の手順に進みます。
  5. [プロビジョニング設定][許可されているドメイン] セクションに、ユーザーのサインインを許可するドメインを入力します。設定済みの ID プロバイダーによってサポートされるすべてのドメインを入力します。
    複数のドメインはコンマで区切ります。
  6. メール アドレスが一致するアカウントがリンクされることに同意するチェックボックスをオンにします。
  7. 必要に応じて、[属性マッピング] に入力します。
  8. 詳細情報も設定する場合は、右下の [次へ] をクリックして、最後の手順に進みます。
    それ以外の場合は、[テストして保存] をクリックして連携の設定を終了し、このセクションの残りの手順はスキップします。
  9. [詳細設定] ページで、必要に応じてオプションを設定します。
    • 未承諾の認証応答を許可: IdP ダッシュボードから Automation Suite に移動できるようにする場合は有効化します。
    • SAML バインドの種類: [HTTP リダイレクト] では、HTTP ユーザー エージェントを介し、URL パラメーターを使用して通信するように、SAML を設定します。
    • サービス証明書の使用方法: 任意のオプションを選択します。
  10. [テストして保存] をクリックして、連携の設定を終了します。

手順 2.4: 連携が実行中であることを確認する

SAML SSO 連携が正しく機能していることを確認するには、以下の手順を実行します。

  1. シークレット ブラウザー ウィンドウを開きます。
  2. Automation Suite の組織固有の URL に移動します。
  3. 以下を確認します。
    a. SAML ID プロバイダーでサインインを求められるか。
    b. 正常にサインインできるか。
    c. 既存のユーザー アカウントと一致するメール アドレスでサインインしている場合、適切な権限を持っているか。

 

手順 3: ユーザーを SAML SSO に移行する


権限を設定したら、既存のすべてのユーザーに、UiPath アカウントからサインアウトし、SAML SSO を使用してサインインしてもらうことをお勧めします。

SAML SSO を使用して Studio と Assistant にサインインするには、Assistant を以下のように設定する必要があります。

  1. Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
  2. [サインアウト] をクリックします。
  3. 接続の種類として [サービス URL] を選択します。
  4. [サービス URL] フィールドに組織固有の URL を入力します。
    The URL must include the organization ID and end in a forward slash, such as https://cloud.uipath.com/orgID/. Otherwise, the connection fails saying that the user does not belong to any organization.
  5. SAML SSO でサインインし直します。

 

手順 4: 権限とロボットを設定する


この手順は、連携を有効化したときに、これまで Automation Suite を使用したことがないため Automation Suite でローカル アカウントが設定されていない新しいユーザーにのみ必要となります。

新しいユーザーは、外部 IdP で使用されたメール アドレスによって Automation Suite グループに追加できます。ユーザーがグループに割り当てられるか、ユーザーがサインインすると、Automation Suite のすべてのサービスでユーザーを検索してロールを割り当てられるようになります。

手順 5: ローカル ユーザー アカウントの使用を中止する (任意)


すべてのユーザーが SAML SSO に移行し、新しいユーザーが設定されたら、管理者アカウント以外のすべてのローカル ユーザー アカウントを削除することをお勧めします。これにより、そのユーザーはローカル アカウントの資格情報でサインインできなくなり、SAML SSO でサインインしなければならなくなります。

ローカル アカウントの使用中止に関する考慮事項

SAML 連携に問題がある場合 (期限切れの証明書の更新など)、または別の認証オプションに切り替える場合は、Administrator ロールを持つローカル ユーザー アカウントの使用をお勧めします。

 

トラブルシューティング


If you are getting the error User login failed. (#216), it may be due to missing email address mapping in the configuration of the SAML identity provider.
The SAML claim must be named http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress and the value must have a valid email address.

4 か月前に更新


SAML 連携を設定する


Automation Suite 組織は、SAML 2.0 標準を使用する任意の ID プロバイダー (IdP) に接続できます。ここでは、SAML 連携の設定例をいくつか示して、全体的なプロセスについて説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。