通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

Active Directory との連携を構成する

Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。
ディレクトリ検索を使用すると、ディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

既知の制限事項

  • Directory search does not find users from an external trust domain. This feature is not supported because there isn't a mutually-trusted authority with external trusts.
  • Windows 認証は Automation Suite で Kerberos プロトコルを使用するため、Windows ログインはドメインに参加しているマシンでのみ使用できます。

手順 1. Active Directory との連携を構成する


Automation Suite のクラスターが Active Directory (AD) にアクセスできることを IT 管理者も交えて確認してください。

Active Directory との連携を構成するには、次の 2 つのオプションのいずれかを使用します。
a. Kerberos 認証
b. ユーザー名とパスワード

それぞれの手順については、以下をご覧ください。選択した認証プロトコルに適用される手順に従ってください。

より多くのシナリオがサポートされているため、Kerberos 認証をお勧めします。

Scenario

Username and password

Kerberos Authentication

Directory search for domains in the same forest

Supported

Supported

Directory search for domains in a trusted forest

Not supported

Supported

Directory search for external trust domains

Not supported

Not supported

a. Kerberos の構成 (推奨)

  1. Kerberos 認証を設定する」の指示に従って、Kerberos 認証を設定します。
  2. Automation Suite のホスト ポータルにシステム管理者としてログインします。
  3. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  4. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。
    • [有効] チェック ボックスを選択します。
    • [Kerberos 認証を使用] チェックボックスをオンにします。
  5. [テストして保存] をクリックして変更を保存します。
  6. 「identity-service-api-*」ポッドを再起動します。
    a. SSH を使用してプライマリ サーバーに接続します。
    b. 次のコマンドを実行します。
    kubectl -n uipath rollout restart deployment identity-service-api

b. ユーザー名とパスワードの設定 (非推奨)

When you use this option, UiPath service uses credentials provided in clear text to communicate with Active Directory.
Only users from the same domain as the one configured in this page can interact with the UiPath cluster.

  1. Automation Suite のホスト ポータルにシステム管理者としてログインします。
  2. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。
    ウィンドウの右側に [Active Directory を設定] パネルが開きます。
  4. 連携を次のように設定します。
    • [有効] チェック ボックスを選択します。
    • このプロバイダーを使用したログインを強制するには、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
    • [Kerberos 認証を使用] チェックボックスをオンにして、認証に Kerberos プロトコルを使用します (推奨)。
    • [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
    • [既定のドメイン] フィールドに、Active Directory (AD) の完全修飾ドメイン名 (FQDN) を入力します。
    • [ユーザー名] フィールドに、Active Directory ユーザーのユーザー名を入力します。DOMAIN\usernameの形式にする必要があります。例: TESTDOMAIN\user1
    • [ユーザー パスワード] フィールドに、上記 Active Directory アカウントのパスワードを入力します。
  5. [テストして保存] をクリックして変更を保存します。
  6. 「identity-service-api-*」ポッドを再起動します。
    a. SSH を使用してプライマリ サーバーに接続します。
    b. 次のコマンドを実行します。
    kubectl -n uipath rollout restart deployment identity-service-api

トラブルシューティング

If you get the error Domain unreachable, check the DNS routing using the command getent ahosts <AD domain> です。
If it does not return an IP address, check the node /etc/resolv.conf. The nameserver value should point to the AD Domain DNS. If not, reach out to your system administrator for proper configuration.

If the node runs on Azure, follow the instructions in Name resolution for resources in Azure virtual networks.
これを行う方法の 1 つは、次のとおりです。

  1. Azure でノードの仮想ネットワークに移動し、仮想ネットワークの DNS サーバーを Active Directory DNS に設定します。
  2. 実行 systemctl restart NetworkManager.service and check if /etc/resolv.conf is updated.
  3. ArgoCD からクラスターのコア DNS を再起動します。

 

手順 2. Windows 認証を構成する


前提条件

Obtain the <KERB_DEFAULT_KEYTAB>, which is the base64-encoded string of the keytab file generated as part of Kerberos setup.

Automation Suite クラスターを構成する

  1. ArgoCD に移動し、管理者としてログインします。
  2. 「uipath」アプリケーションを選択し、移動します。
  3. 左上隅の [APP DETAILS] をクリックします。
  4. In the PARAMETERS section, search for the global.userInputs.identity.krb5KeytabSecret parameter.
    既定では、このパラメーターにはプレースホルダー値が設定されています。
  5. Update the parameter's placeholder value with <KERB_DEFAULT_KEYTAB>, and then save.
  6. [SYNC] をクリックして変更を適用します。
  7. After a successful sync, run the command kubectl -n uipath rollout restart deployment identity-service-api to restart the Identity Server.

手順 3. ブラウザーを設定する


Microsoft Internet Explorer

サポートされていません。

Microsoft Edge

追加の構成は必要ありません。

Google Chrome

通常、Google Chrome は追加の設定なしで動作します。
動作しない場合は、以下の手順を実行します。

  1. [ツール] > [インターネット オプション] > [セキュリティ] に移動します。
  2. [ローカル イントラネット] を選択します。
  3. [サイト] をクリックします。
  4. [イントラネットのネットワークを自動的に検出する] が選択されているか、すべてのオプションが選択されていることを確認します。
  5. [詳細設定] をクリックします。
  6. Automation Suite の FQDN を [ローカル イントラネット] に追加します。
  7. [閉じる][OK] の順にクリックします。
  8. [レベルのカスタマイズ] をクリックします。
  9. 必要に応じて、[ユーザー認証] の下にある [イントラネット ゾーンでのみ自動的にログオンする] を選択します。
    選択した場合、ブラウザーがリダイレクト認証要求を受信すると、要求の送信元がチェックされます。ドメインまたは IP がイントラネットに属している場合、ブラウザーがユーザー名とパスワードを自動的に送信します。イントラネットに属していない場合は、ブラウザーにユーザー名とパスワードの入力ダイアログが開かれ、手動で入力する必要があります。
  10. 必要に応じて、[ユーザー認証] の下にある [現在のユーザー名とパスワードで自動的にログオンする] を選択します。
    選択した場合、ブラウザーがリダイレクト認証要求を受信すると、ユーザー名とパスワードがサイレント モードで送信されます。認証結果が成功の場合、ブラウザーは元の動作を続行します。認証に失敗した場合は、ブラウザーにユーザー名とパスワードの入力ダイアログが開かれ、成功するまでリトライされます。
  11. [インターネット オプション] > [詳細設定] タブの [セキュリティ] セクションの下で、[統合 Windows 認証を使用する] が選択されていることを確認します。

Mozilla Firefox

  1. ブラウザーの設定ウィンドウを開きます。
  2. アドレス バーに「about:config」と入力します。
  3. Kerberos 認証を使用する Automation Suite の FQDN を指定します。
    a. Search for the term network.negotiate です。
    b. Enable and set the following for Kerberos: network.negotiate-auth.delegation-uris (example value: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (example value: uipath-34i5ui35f.westeurope.cloudapp.azure.com), and network.negotiate-auth.allow-non-fqdn (value: true など)。

手順 4. 組織に対して Windows 認証を許可する


これで Automation Suite が Windows 認証と連携されたので、Automation Suite にユーザー アカウントが作成されているユーザーは、[ログイン] ページで Windows のオプションを使用して Automation Suite にサインインできます。

300300

Windows 資格情報によるログインを許可するには、各組織の管理者が以上の設定をそれぞれの組織に対して実行する必要があります。

  1. Automation Suite に組織管理者としてログインします。
  2. Active Directory ユーザーまたはグループに組織レベルのロールを割り当てます。これは検索から選択できます。
  3. Windows 認証でのログインを許可するユーザーごとに、上記の手順を繰り返します。

その後、ロールを割り当てたユーザーは、その Active Directory アカウントで Automation Suite 組織にログインできます。ユーザーは、ドメインに参加しているマシンからログインする必要があります。

トラブルシューティング

Windows 資格情報を使用してログインしようとすると HTTP 500 エラーが発生する場合は、以下の項目を確認します。

a. Windows マシンはドメインに参加していますか?
該当するマシンで、[コントロール パネル] > [システムとセキュリティ] > [システム] に移動し、ドメインが表示されているかどうかを確認します。ドメインが表示されていない場合は、マシンをドメインに追加します。Kerberos プロトコルで Windows 認証を使用するには、マシンがドメインに参加している必要があります。

b. 同じ資格情報で Windows マシンにログインできますか?
できない場合は、システム管理者にヘルプを依頼してください。

c. Microsoft Edge 以外のブラウザーを使用していますか?
Additional configuration is required for supported browsers other than Microsoft Edge.

d. keytab の設定を確認します。

  • After generating the keytab, on the Active Directory server, the AD user's property (servicePrincpalName) should be of the form HTTP/<Service Fabric FQDN> - for example, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com です。

  • Active Directory でユーザー アカウントに対して [このアカウントで Kerberos AES 256 ビット暗号化をサポートする] オプションを選択する必要があります。
    これが適切に設定されていない場合、identity-service-api ログに以下が表示されます。

Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/[email protected] kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

e.使用しているドメイン内で複数の Active Directory を設定している場合、認証が失敗し、identity-service-api ログに以下が表示されます。

kinit: Client '[email protected]' not found in Kerberos database while getting initial credentials

この場合、認証用に作成したマシン アカウントがすべての Active Directory に複製されていることを確認します。

f. If you run ktpass and assign a new password to the user account, the key version (kvno) increases and invalidates the old keytab. In the identity-service-api log, you can see:

Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date

In this case, you need to update krb5KeytabSecret in ArgoCD.

g. If you see the following error in the identity-service-api pod:

GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).

First check if you provided the global.userInputs.identity.krb5KeytabSecret parameter in ArgoCD.
このパラメーターが存在する場合は、keytab の生成に使用した Active Directory ユーザーの資格情報で Windows マシンにログインできるかどうかを確認します。パスワードが変更されたか、有効期限が切れている場合は、keytab を再生成する必要があります。
Another possible cause of this issue is that ArgoCD was previously synced incorrectly. To fix the problem, remove the existing global.userInputs.identity.krb5KeytabSecret, sync ArgoCD, and once the operation is successful, update global.userInputs.identity.krb5KeytabSecret, and sync again.

h.ブラウザーで、期待される SPN を使用していますか?
If Kerberos event logging is enabled by following these instruction, you will see the KDC_ERR_S_PRINCIPAL_UNKNOWN error in the Kerberos event logs. For details on this issue, see Microsoft documentation.
To solve this issue, disable the CNAME lookup when negotiating Kerberos authentication by modifying the group policy. For details, see instructions for Google Chrome and for Microsoft Edge.

4 か月前に更新


Active Directory との連携を構成する


Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。
ディレクトリ検索を使用すると、ディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。