通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

ArgoCD の SSO を有効化する

このページでは、ArgoCD の SSO (シングル サインオン) 認証を有効化する方法について説明します。

概要

The uipathctl.sh script is required to enable SSO authentication. For more details on the script and the parameters you need to use, see Using uipathctl.sh.

 

構成ファイルを準備する

ArgoCD の SSO を有効化する前に、RBAC ファイルとコネクタ ファイルを生成する必要があります。

RBAC ファイル

The RBAC file contains access rules. For details on the built-in role definitions, see ArgoCD documentation. For details on the ArgoCD account types and their permissions, see Managing the cluster in ArgoCD. We recommend using these roles when defining your groups, but you can create your own set of permissions.

RBAC ファイルを構成する

  1. policy.csv という名前のファイルを作成し、以下の内容を追加してファイルを保存します。
p, role:uipath-sync, applications, get, */*, allow
p, role:uipath-sync, applications, sync, */*, allow
g, argocdro, role:uipath-sync
  1. RBAC グループを組み込みの admin ロールと UiPath の argocdro 読み取り専用ロールに関連付けます。それには、policy.csv RBAC ファイルに以下の行を追加します。
g, <your_ldap_readonly_group_name>, role:uipath-sync
g, <your_ldap_admin_group_name>, role:admin
  1. 更新した policy.csv RBAC ファイルを保存します。

例:
たとえば、ArgoCD 管理者の LDAP グループが「Administrators」で、ArgoCD の読み取り専用ユーザーの LDAP グループが「Readers」である場合、RBAC ファイルは次のようになります。

p, role:uipath-sync, applications, get, */*, allow
p, role:uipath-sync, applications, sync, */*, allow
g, argocdro, role:uipath-sync
g, Readers, role:uipath-sync
g, Administrators, role:admin
より高度なユース ケースについては、クリックして既定の RBAC ファイルを表示 
# Built-in policy which defines two roles: role:readonly and role:admin,
# and additionally assigns the admin user to the role:admin role.
# There are two policy formats:
# 1. Applications, logs, and exec (which belong to a project):
# p, <user/group>, <resource>, <action>, <project>/<object>
# 2. All other resources:
# p, <user/group>, <resource>, <action>, <object>

p, role:readonly, applications, get, */*, allow
p, role:readonly, certificates, get, *, allow
p, role:readonly, clusters, get, *, allow
p, role:readonly, repositories, get, *, allow
p, role:readonly, projects, get, *, allow
p, role:readonly, accounts, get, *, allow
p, role:readonly, gpgkeys, get, *, allow
p, role:readonly, logs, get, */*, allow

p, role:admin, applications, create, */*, allow
p, role:admin, applications, update, */*, allow
p, role:admin, applications, delete, */*, allow
p, role:admin, applications, sync, */*, allow
p, role:admin, applications, override, */*, allow
p, role:admin, applications, action/*, */*, allow
p, role:admin, applicationsets, get, */*, allow
p, role:admin, applicationsets, create, */*, allow
p, role:admin, applicationsets, update, */*, allow
p, role:admin, applicationsets, delete, */*, allow
p, role:admin, certificates, create, *, allow
p, role:admin, certificates, update, *, allow
p, role:admin, certificates, delete, *, allow
p, role:admin, clusters, create, *, allow
p, role:admin, clusters, update, *, allow
p, role:admin, clusters, delete, *, allow
p, role:admin, repositories, create, *, allow
p, role:admin, repositories, update, *, allow
p, role:admin, repositories, delete, *, allow
p, role:admin, projects, create, *, allow
p, role:admin, projects, update, *, allow
p, role:admin, projects, delete, *, allow
p, role:admin, accounts, update, *, allow
p, role:admin, gpgkeys, create, *, allow
p, role:admin, gpgkeys, delete, *, allow
p, role:admin, exec, create, */*, allow

g, role:admin, role:readonly
g, admin, role:admin

LDAP コネクタ ファイル

LDAP コネクタ ファイルには、ArgoCD の SSO を構成するために必要な LDAP パラメーターが含まれています。

📘

LDAP コネクタ ファイル (ldap_connector.yaml) が既にある場合は、「ArgoCD の SSO を有効化する」までスキップしてください。

LDAP 経由の SSO を構成するには、次の手順に従います。

  1. 次のコマンドを実行して、LDAP テンプレート ファイルを生成します。コネクタ テンプレート ファイルは、コマンドを実行したディレクトリと同じディレクトリに生成されます。 
./uipathctl.sh sso-generate-connector --sso-connector-type ldap --install-type [online|offline] --accept-license-agreement
  1. --- で始まる出力をコピーし、ldap_connector.yaml として保存します。
クリックすると、openLDAP コネクタ ファイルの例が表示されます。 
---
type: ldap
# Required field for connector id.
id: ldap
# Required field for connector name.
name: OpenLDAP
config:
  host: openldap:389
  insecureNoSSL: true
  startTLS: false
  bindDN: cn=admin,dc=example,dc=org
  bindPW: adminpassword
  usernamePrompt: Email Address
  userSearch:
    baseDN: ou=People,dc=example,dc=org
    filter: "(objectClass=person)"
    username: mail
    idAttr: DN
    emailAttr: mail
    nameAttr: cn
  # Group search queries for groups given a user entry.
  groupSearch:
    baseDN: ou=Groups,dc=example,dc=org
    filter: "(objectClass=groupOfNames)"
    userMatchers:
      - userAttr: DN
        groupAttr: member
    nameAttr: cn
クリックすると、Active Directory LDAP コネクタ ファイルの例が表示されます。 
---
id: ldap
name: ActiveDirectory
type: ldap
config:
  bindDN: cn=admin,cn=Users,dc=example,dc=local
  bindPW: "<admins's password>"
  groupSearch:
    baseDN: dc=example,dc=local
    filter: "(objectClass=group)"
    nameAttr: cn
    userMatchers:
      - userAttr: distinguishedName
        groupAttr: member
  host: "ldaphost:389"
  insecureNoSSL: true
  insecureSkipVerify: true
  startTLS: false
  userSearch:
    baseDN: cn=Users,dc=example,dc=local
    emailAttr: userPrincipalName
    filter: (objectClass=person)
    idAttr: DN
    nameAttr: cn
    username: userPrincipalName
  usernamePrompt: Email Address
  1. LDAP コネクタ ファイルを必要な情報で更新して保存します。LDAPS の使用をお勧めします。

 

ArgoCD の SSO を有効化する

RBAC とコネクタ ファイルを準備したら、ArgoCD の SSO を有効化できます。

LDAP を使用する

コネクタ ファイルが保存されているディレクトリで次のコマンドを実行し、ArgoCD の SSO を有効化します。

./uipathctl.sh sso-apply-overlays --install-type [online|offline] --accept-license-agreement --sso-connector-file ldap_connector.yaml --sso-rbac-file policy.csv

📘

前のコマンドを実行すると、ArgoCD のログイン ページに SSO ログイン ボタンが表示されます。会社のドメイン ユーザー名とパスワードを入力します。

4 か月前に更新

ArgoCD の SSO を有効化する

このページでは、ArgoCD の SSO (シングル サインオン) 認証を有効化する方法について説明します。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。