Automation Cloud
最新
バナーの背景画像
Automation Cloud 管理ガイド
最終更新日 2024年4月26日

SAML 連携を設定する

この機能は、Enterprise ライセンス プランでのみ利用できます。

Automation Cloud™ は、SAML 2.0 標準を使用する任意の ID プロバイダー (IdP) に接続できます。ここでは、SAML 連携の設定例をいくつか示して、全体的なプロセスについて説明します。

設定プロセスの概要

SAML 連携は、既存のユーザーの混乱を招くことなく、段階的に導入することができます。

プロセスの主なフェーズは、これからこのページで詳しく説明しますが、次のとおりです。

  1. 非アクティブなユーザー アカウントをクリーンアップする
  2. SAML 連携を設定する
  3. SAML SSO でサインインするように既存のユーザーを移行する
  4. 新しいユーザーに権限とロボットを設定する
  5. ローカル アカウントの使用を中止する (任意)

既知の制限事項

ID プロバイダーからアカウントを検索できない

SAML 連携では、ID プロバイダーからすべてのユーザーとグループを検索することはできません。検索できるのは、プロビジョニングされたディレクトリ ユーザーのみです。

組織レベルでディレクトリ ユーザーが表示されない

組織レベルで表示されるのはローカル ユーザーのみです。ディレクトリ ユーザーは Just-In-Time プロビジョニングでは追加されるため、[アカウントとグループ] の管理ページには表示されません。

API アクセス情報が表示できない

SAML 連携を使用してサインインするディレクトリ ユーザーは、ユーザー キーを使用して API 要求を認可できる API アクセス情報を表示できません。

前提条件

SAML 連携を設定するには、以下が必要です。

  • Enterprise ライセンス プランを持つ Automation Cloud の組織。

  • Automation Cloud とサードパーティ ID プロバイダーの、両方の管理者権限。

    ID プロバイダーの管理者権限がない場合は、管理者とともに設定プロセスを完了できます。

  • UiPath® Studio および UiPath Assistant のバージョン 2020.10.3 以降 (推奨されるデプロイを使用するよう設定できるようにするため)。

注:

Azure Active Directory との連携から切り替える

現在、認証に Azure Active Directory との連携を使用している場合は、より豊富な機能を使用できる AAD との連携をそのまま維持することをお勧めします。

AAD との連携から切り替える場合は、アクセス スキーマを完全に再作成しなくても済むように、ディレクトリ グループを使用して行われたロール割り当てを、ディレクトリ アカウントへのロールの直接割り当てに、手動で置き換える必要があります。

手順 1: 非アクティブなユーザー アカウントをクリーンアップする

組織でメール アドレスを再利用している場合は、SAML 連携を設定する前に、非アクティブなユーザー アカウントをすべて削除することが重要です。

連携を有効化すると、Automation Cloud に存在するローカル アカウントを、同じメール アドレスを使用する外部 ID プロバイダーのディレクトリ アカウントにリンクできます。このアカウントのリンクは、そのメール アドレスのディレクトリ アカウント ユーザーが初めてサインインしたときに作成されます。移行がシームレスに行われるように、ID プロバイダーの ID は、ローカル アカウントのすべてのロールを継承します。

そのため、Automation Cloud に非アクティブなローカル アカウントが存在する場合、ローカル アカウントとディレクトリ アカウントが一致せず、意図せずに権限が昇格される可能性があります。

非アクティブなユーザー アカウントを削除するには、以下の手順を実行します。

  1. Automation Cloud に組織管理者としてログインします。
  2. [管理] に移動し、組織を選択して [アカウントとグループ] を選択します。

    組織の [アカウントとグループ ] ページが [ユーザー] タブに表示されます。

  3. [最終操作日] 列の列ヘッダーをクリックして、最終ログインの日付が最も古いユーザーが一番上に表示されるように、ユーザーを並べ替えます。


    [最終操作日] 列には、ユーザーが最後に Automation Cloud にログインした日付が表示されます。上の例のように、この列に [保留中] と表示された場合、ユーザーがログインしたことがないことを示します。この情報を使用して、非アクティブなユーザーを識別することができます。

  4. 行の端にある削除アイコンをクリックして、そのユーザーのローカル アカウントを削除します。


  5. 確認ダイアログの [削除] をクリックして、Automation Cloud からアカウントを削除します。

    ページからユーザー アカウントが削除されます。

  6. 操作を続行して、組織の非アクティブなユーザー アカウントをすべて削除します。

手順 2: SAML 連携を設定する

続いて、Automation Cloud と ID プロバイダー (IdP) の両方を設定して連携する必要があります。

手順 2.1: SAML サービス プロバイダーの詳細情報を取得する

  1. Automation Cloud に組織管理者としてログインします。
  2. [管理] に移動し、組織を選択して [セキュリティ] を選択します。

    組織の [セキュリティ設定] ページが開き、[認証設定] タブが表示されます。

  3. [ユーザーは、SAML SSO を使用してサインインできます] を選択して、[設定] をクリックします。

    情報ダイアログが開きます。

  4. ダイアログで、[続行] をクリックします。

    次のページで、連携の概要が示されます。

  5. 右下の [次へ] をクリックして設定に進みます。

    [全般設定] 手順の [IdP で構成するデータ] で、ID プロバイダーを Automation Cloud に接続するよう設定するために必要な情報が示されます。



  6. [メタデータ URL][エンティティ ID][アサーション コンシューマー サービス URL] の値をコピーして保存します。これらは、次の手順で必要になります。

このブラウザー タブは、後で使用するために開いたままにします。

手順 2.2: ID プロバイダーを設定する

Automation Cloud は、SAML 2.0 標準を使用する任意のサードパーティの ID プロバイダー (IdP) に接続できます。

設定は選択した IdP によって異なることがありますが、Okta または PingOnes を使用する場合の設定は検証済みです。連携を設定する際の参考にしてください。

他の ID プロバイダーについては、それぞれの連携に関するドキュメントに従ってください。

A. Okta の設定例

注: このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、Okta のドキュメントをご覧ください。
  1. 別のブラウザー タブで、Okta の管理コンソールにログインします。
  2. [アプリケーション] > [アプリケーション] に移動します。[アプリ統合を作成] をクリックし、サインオン方法として [SAML 2.0] を選択します。
  3. [全般設定] ページで、連携しているアプリの名前として Automation Cloud を指定します。
  4. [Configure SAML] ページの [General] セクションに、次のように入力します。
    1. シングル・サインオンURL: Automation Cloud から取得したアサーション コンシューマー サービス URL の値を入力します。
    2. [Use this for Recipient URL and Destination URL] チェックボックスをオンにします。
    3. 対象URI: Automation Cloud から取得したエンティティ ID の値を入力します。
    4. 名前 ID のフォーマット: [EmailAddress] を選択します。
    5. アプリケーションのユーザー名: [Email] を選択します。
  5. [属性ステートメント] に以下を追加します。
    1. 名前: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. [名前のフォーマット][指定なし] のままにします。
    3. [値]user.email に設定するか、ユーザーの一意のメール アドレスを含むユーザー属性に設定します。
    4. 必要に応じて、他の属性マッピングを追加します。Automation Cloud では、姓、名、役職、部門の各ユーザー属性もサポートしています。その後、この情報は Automation Cloud に反映され、Automation Hub など他のサービスで利用できるようになります。
  6. [フィードバック] ページで、好みのオプションを選択します。
  7. [Finish (完了)] をクリックします。
  8. [サインオン] タブの [設定] セクションの [セットアップ方法を表示] で、[Identity Provider metadata URL] の値をコピーし、後で使用するために保存します。
  9. Automation Cloud 用の [アプリケーション] ページで、新たに作成したアプリケーションを選択します。

  10. [割り当て] タブで、[割り当て] > [ユーザーに割り当てる] を選択し、Automation Cloud での SAML 認証の使用を許可するユーザーを選択します。

    新たに追加されたユーザーが [People] タブに表示されます。

B. PingOne の設定例

注: このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、PingOne のドキュメントをご覧ください。
  1. 別のブラウザー タブで、PingOne の管理コンソールにログインします。
  2. [Connections] > [Applications] に移動し、プラス記号のアイコン + をクリックします。
  3. [Web App] をクリックし、[SAML] に対して [Configure] をクリックします。
  4. [Create App Profile] ページで Automation Cloud アプリの名前を指定します。

  5. [Configure SAML Connection] ページで [Manually Enter] を選択し、以下の詳細情報を入力します。

    • ACS URLs: Automation Cloud から取得したアサーション コンシューマー サービス URL の値を入力します。
    • Entity ID: Automation Cloud から取得したエンティティ ID の値を入力します。
    • SLO binding: HTTP Redirect
    • Assertion Validity Duration: 有効期間の秒数を入力します。
  6. [Save and Continue] をクリックします。
  7. [Map Attributes] ページで、メール アドレスを入力します。
    1. [+ Add Attribute] を選択します。
    2. [Application Attribute]http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress と入力します。
    3. [Outgoing Value][Email Address] のアドレスに設定するか、ユーザーの一意のメール アドレスを含むユーザー属性に設定します。
    4. [Required] チェックボックスをオンにします。
    5. 必要に応じて、他の属性マッピングを追加します。Automation Cloud では、姓、名、役職、部門の各ユーザー属性もサポートしています。この属性では大文字と小文字が区別されます。その後、この情報は Automation Cloud に反映され、Automation Hub など他のサービスで利用できるようになります。
  8. [Save and Close] をクリックします。
  9. Automation Cloud アプリのトグルをクリックし、アプリケーションを有効化して、ユーザーがアクセスできるようにします。
  10. [Configuration] タブで、後で使用するために [IdP Metadata URL] の値をコピーして保存します。

手順 2.3.Automation Cloud を設定する

ID プロバイダーを認識するサービス プロバイダーとして Automation Cloud を有効化するには、次の手順に従います。

  1. Automation Cloud の [SAML 設定] タブに戻ります。
  2. [全般設定] で以下の手順を行います。
    1. [IdP からのデータ] 下の [メタデータ URL] フィールドに、設定時に取得したメタデータ URL を入力します。
    2. [データを取得] をクリックします。 完了すると、[サインオン URL][ID プロバイダーのエンティティ ID]、および [署名証明書] フィールドに IdP の情報が入力されます。
    3. 右下の [次へ] をクリックして、次の手順に進みます。
  3. [プロビジョニングの設定] で以下の手順を実行します。
    1. [許可されているドメイン] セクションに、ユーザーのサインインを許可するドメインを入力します。設定済みの ID プロバイダーによってサポートされるすべてのドメインを入力します。複数のドメインはコンマで区切ります。
    2. メール アドレスが一致するアカウントがリンクされることに同意するチェックボックスをオンにします。
    3. [属性マッピング] の下の [表示名] フィールドに、ユーザーの名前として Automation Cloud に表示する IdP の属性を入力します。ここで、の属性を使用できます。
    4. 必要に応じて、残りのフィールドにIdP の属性を入力します。
    5. 詳細情報も設定する場合は、右下の [次へ] をクリックして、最後の手順に進みます。

      それ以外の場合は、[テストして保存] をクリックして連携の設定を終了し、このセクションの残りの手順はスキップします。

  4. [詳細設定] ページで、必要に応じてオプションを設定します。
    • 未承諾の認証応答を許可: IdP ダッシュボードから Automation Cloud に移動できるようにする場合は有効化します。
    • SAML バインドの種類: HTTP ユーザー エージェントを介した SAML 構成の通信方法を選択します。URL パラメーターを使用する場合は [HTTP リダイレクト] を選択し、Base64 で内容がエンコードされた HTML フォームを使用する場合は [HTTP post] を使用します。
  5. [テストして保存] をクリックして、連携の設定を終了します。

手順 2.4: 連携が実行中であることを確認する

SAML SSO 連携が正しく機能していることを確認するには、以下の手順を実行します。

  1. シークレット ブラウザー ウィンドウを開きます。
  2. Automation Cloud の URL に移動します。
  3. 以下を確認します。
    1. SAML ID プロバイダーでサインインを求められるか。
    2. 正常にサインインできるか。
    3. 既存のユーザー アカウントと一致するメール アドレスでサインインしている場合、適切な権限を持っているか。

手順 2.5.プロビジョニング ルールを設定する (任意)

IdP でクレームを使用すると、クレームをプロビジョニング ルールの条件として活用し、ユーザーが Automation Cloud にサインインするときに、適切なライセンスとロールを持つ状態で自動的にプロビジョニングされるようにできます。

プロビジョニング ルールは、ユーザーがサインインしたときに評価されます。ユーザー アカウントがルールの条件を満たしている場合、そのユーザー アカウントはルールに関連付けられたグループに自動的に追加されます。

フェーズ 1. プロビジョニング グループを設定する

Automation Cloud でアカウントをグループに追加すると、そのアカウントは、グループに対して定義されたライセンス、ロール、ロボットの設定がある場合はそれらを継承します。

そのため、特定の種類のユーザーを念頭に置いてグループを設定した場合 (たとえば、オートメーションを作成する従業員やオートメーションをテストする従業員など)、IdP でそれらのアカウントを他の類似のアカウントと同じ方法で設定することで、その特定の種類に該当する新しい従業員を Automation Cloud にオンボーディングできます。

つまりグループを一度設定すれば、必要に応じてそのグループにアカウントを追加することで設定を複製できます。また、特定のユーザー グループの設定を変更する必要がある場合でも、グループを 1 回更新するだけでグループ内のすべてのアカウントに変更が適用されます。

プロビジョニング ルール用にグループを設定する方法

  1. Automation Cloud に新しいローカル グループを作成します。

    新しいグループを作成する代わりに、既存のグループのいずれかを使用することもできます。

  2. (任意かつユーザー ライセンス管理が必要) グループのユーザーがユーザー ライセンスを必要とする場合は、グループにライセンスの割り当てルールを設定します。

    既存のグループを使用している場合は、グループのライセンス割り当てを確認し、適切なライセンスが割り当てられていることを確認します。割り当てが適切でない場合は、割り当てを変更するか、新しいグループを作成します。

  3. テナント ロールを割り当て、必要に応じてグループのロボットの設定を完了します。手順については、「ロールをグループに割り当てる」をご覧ください。

    既存のグループを使用している場合は、グループに現在割り当てられているロールを確認して、グループに追加するユーザーの種類に適切なロールが割り当てられていることを確認します。適切なロールが割り当てられていない場合は、グループに割り当てられたロールを編集するか、新しいグループを作成します。

  4. 必要に応じて、グループをフォルダーに追加し、フォルダー ロールを割り当てます。手順については、「フォルダーへのアクセス権を管理する」をご覧ください。

これで、このグループをプロビジョニング ルールで使用できます。

フェーズ 2. グループのプロビジョニング ルールを作成する

注:

SAML プロビジョニング ルールに関連付けられた要求を SAML アプリケーションで設定し、SAML ペイロードに送信されるようにします。

SAML 連携の設定後かつグループの設定後に以下の手順を実行します。

  1. [管理] に移動し、組織を選択して [セキュリティ] を選択します。

    組織の [セキュリティ設定] ページが開き、[認証設定] タブが表示されます。

  2. [SAML SSO] オプション下の [プロビジョニング ルールを表示] をクリックします。

    [SAML SSO プロビジョニング ルール] ページが開き、既存のルールが表示されます。

  3. ページの右上隅にある [ルールを追加] をクリックします。

    [新しいルールを追加] ページが開きます。

  4. [基本情報] の下の [ルール名] フィールドに入力します。必要に応じて [説明] フィールドにも入力します。

  5. [条件] の下の [ルールを追加] をクリックします。

    新しい条件のフィールド行が追加されます。これらのフィールドの組み合わせで、アカウントがグループに追加されるためにサインイン時に満たす必要がある条件を定義します (グループは後で選択)。



  6. [クレーム] フィールドに、IdP に表示されるとおりにクレームの名前を入力します。 ★削除★

    フィールドでは大文字と小文字が区別されます。

  7. [リレーションシップ] リストから、クレームと値がどのような条件の組み合わせになるか選択します。次のオプションが利用できます。

    Relationship

    条件の要件

    次の値に等しい

    完全一致、大文字と小文字が区別される
    Department is RPA (部署 次に等しい RPA) の場合、 Department (部署) クレームの値が RPA である必要があります。
    たとえば、値が RPADev である場合は条件は満たされません。

    このリレーションシップは複数の値を持つクレームに対して機能します。

    たとえば、administrator 値と developer 値が Group クレームの下で送信される場合、Group is administrator は有効なリレーションシップです。

    次の値に等しくない

    指定された値以外、大文字と小文字が区別される
    Department is not ctr (部署 次の値に等しくない ctr) では、Department (部署) に値 ctr が含まれていない、すべてのアカウントがグループに追加されます。
    部署が Ctr または electr である場合は条件が満たされます。

    次の値を含む

    値を含む、完全一致を必要としない、大文字と小文字が区別される
    Department contains RPA (部署 次の値を含む RPA) は、 Department (部署( クレームの値が RPA を含む必要があります。
    たとえば、値が RPADevxRPAx、またはNewRPA の場合は条件が満たされます。

    次の値を含まない

    値を含まない、完全一致を必要としない、大文字と小文字が区別される
    Department not contains ctr (部署 次の値を含まない ctr) の場合、Department (部署) の値に ctr が含まれていない場合は、すべてのアカウントがグループに追加されます。
    たとえば、部署が ctr または electr であるアカウントは、グループに追加されません。

    次の値に等しい (大文字と小文字を区別しない)

    完全一致、大文字と小文字が区別されない
    Department is case insensitive RPA (部署 次の値に等しい (大文字と小文字を区別しない) RPA) は、 Department (部署) クレームの値が rpa である必要があります。大文字と小文字は区別されません。
    たとえば、値が rpa の場合は条件が満たされます。値が crpa である場合は条件は満たされません。

    次の値を含む (大文字と小文字を区別しない)

    値を含む、完全一致を必要としない、大文字と小文字が区別されない
    Department contains case insensitive RPA (部署 次の値を含む (大文字と小文字を区別しない) RPA) は、 Department (部署) クレームの値が RPA を含む必要があります。大文字と小文字は区別されません。
    たとえば、値が rpacRPA、またはrpA の場合は条件が満たされます。
  8. [値] フィールドに、条件を満たすために必要な値を入力します。

  9. 別の条件を追加する場合は、[ルールを追加] をクリックして新しい条件の行を追加します。

    複数の条件を追加した場合、プロビジョニング ルールが適用されるには、すべての条件が満たされる必要があります。たとえば、Department is RPA (部署、次の値に等しい、RPA) と Title is Engineer (役職、次の値に等しい、エンジニア) というルールを定義すると、RPA 部に所属し、かつ役職がエンジニアであるユーザーのみが指定したグループに追加されます。部署が RPA で、タイトルが QA であるアカウントは、グループに追加されません。

  10. [グループに割り当て] の下の [グループを追加] ボックスにグループ名を入力し、結果のリストからグループを選択します。必要に応じて、手順を繰り返してさらにグループを追加します。

    条件が満たされると、ログイン時にこれらのグループにアカウントが自動的に追加されます。

  11. 右下の [保存] をクリックしてルールを追加します。

ルールが設定されている状態で、ユーザーが Automation Cloud にログインした際にそのアカウントがルールで指定した条件を満たしていると、そのアカウントがルールにアタッチされたプロビジョニング グループに追加され、Automation Cloud で使用できるようなります。

サンプル SAML ペイロードフラグメント

<Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue><Attribute 
   Name="groups"> 
<AttributeValue 
          xmlns:xs="http://www.w3.org/2001/XMLSchema"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:type="xs:string">ProcessAutomation-Developer</AttributeValue>

SAML 属性マッピング

SAML ディレクトリ統合を設定する場合、組織管理者は IdP のどの属性をシステム ユーザー属性にマッピングするかを定義できます。その後、ユーザーが SAML ディレクトリ統合を介してログインすると、システムは ACS ペイロードに渡された要求を読み取り、その値を対応するシステム属性にマップします。

たとえば、これが IdP のユーザー構造である場合、組織管理者はこの情報がシステム ユーザー オブジェクトに入力されるように属性マッピング設定を次のように設定できます。 

{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}{  
    "displayname": "John Doe",  
    "fname": "John",  
    "lname": "Doe",  
    "jobtitle": "Hardware Engineer",  
    "dpt": "Engineering",  
    "city": "Phoenix" 
}
docs image

この組織のユーザーが SAML ディレクトリ統合を介してログインすると、ユーザー オブジェクトが更新され、この設定が反映されます。 

{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}{  
    "Display Name": "John Doe",  
    "First Name": "John",  
    "Last Name": "Doe",  
    "Job Title": "Hardware Engineer",  
    "Department": "Engineering",  
    "City": "Phoenix" 
}
注:

  • IdP は、ACS ペイロードでこれらの要求を渡すように構成する必要があります。

  • IdP で設定された属性名が、組織管理者ポータルの属性マッピング設定と一致していることを確認します。

手順 3: ユーザーを SAML SSO に移行する

必ず Automation Cloud の組織固有の URL をすべてのユーザーに送り、以下の手順に従ってください。 [組織設定] で組織 URL を確認できるのは組織管理者のみです。

SAML SSO を使用して Automation Cloud にサインインするには、以下の手順を実行します。

  • 組織固有の URL に移動します。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://cloud.uipath.com/orgID/)。
  • https://cloud.uipath.com に移動します。ログイン ページで [SSO で続行] を選択し、組織固有の URL を指定します。
注:
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Automation Cloud グループ メンバーシップと権限は考慮されなくなります。

SAML SSO を使用して UiPath Studio と UiPath Assistant にサインインするには、Assistant を以下のように設定する必要があります。

  1. Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
  2. [サインアウト] をクリックします。
  3. 接続の種類として [サービス URL] を選択します。
  4. [サービス URL] フィールドに組織固有の URL を入力します。
    URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例: https://cloud.uipath.com/orgID/)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
  5. SAML SSO でサインインし直します。

ステップ4.権限とロボットを設定する

この手順は、連携を有効化したときに、これまで Automation Cloud を使用したことがないため Automation Cloud でローカル アカウントが設定されていない新しいユーザーにのみ必要となります。

新しいユーザーは、外部 IdP で使用されたメール アドレスによって Automation Cloud グループに追加できます。ユーザーがグループに割り当てられるか、ユーザーがサインインすると、Automation Cloud のすべてのサービスでユーザーを検索してロールを割り当てられるようになります。

ステップ5.ローカル アカウントの使用を中止する (任意)

すべてのユーザーが SAML SSO に移行し、新しいユーザーが設定されたら、管理者アカウント以外のすべてのローカル ユーザー アカウントを削除することをお勧めします。これにより、そのユーザーはローカル アカウントの資格情報でサインインできなくなり、SAML SSO でサインインしなければならなくなります。

ローカル ユーザー アカウントは、ユーザー アイコンに基づいて識別できます。

ローカル アカウントの使用中止に関する考慮事項

Automation Cloud で認証設定を管理する

SAML 連携に問題がある場合 (期限切れの証明書の更新など)、または別の認証設定に切り替える場合は、Oganization Administrator ロールを持つローカル ユーザー アカウントの使用をお勧めします。

API アクセス

サービスへの API 呼び出しを行うときに [API アクセス] ([管理] > [テナント] ページ) をクリックして取得した情報を使用するプロセスがある場合は、UiPath アカウントが必要です。SAML SSO アカウントでログインした場合はこのボタンを使用できないからです。代替策として、OAuth による認可に切り替えれば、API アクセスによる情報は不要になります。

トラブルシューティング

[ユーザーのログインに失敗しました。(#216)] というエラーが発生する場合、SAML ID プロバイダーの設定にメール アドレスのマッピングが含まれていない可能性があります。
SAML クレームは http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress のように指定されている必要があり、値には有効なメール アドレスが必要です。

Azure AD で SAML SSO を設定する

Azure portal を使用して、Azure AD テナントに追加したエンタープライズ アプリケーションの SSO を有効にすることができます。

SSO を構成すると、ユーザーは Azure AD 資格情報を使用してサインインできます。

重要:

If your users are in Azure AD but cannot use the Azure AD integration instructions to configure AAD to your UiPath® organization, configuring AAD as a SAML-based IdP may be an option.

これは、すべての UiPath アプリケーション ユーザーに対して、ユーザーの詳細とグループ メンバーシップを読み取る権限の付与に関する制限があるためです。

アプリケーションに対して SAML SSO を有効化する

  1. 前提条件に記載されているロールのいずれかを使用して Azure Portal にログインします。

  2. Azure AD に移動し、[ Enterprise applications] を選択します。

    [ すべてのアプリケーション ] ページが開き、Azure AD テナント内のアプリケーションの一覧が表示されます。

    使用するアプリケーションを検索して選択します。 ( 例: UiPath)。

    注:

    SSO 用のアプリケーションを作成するには、このセクションの手順に従います。

  3. [ 管理 ] セクションの左側のサイドバーから [ シングル サインオン ] を選択して、 SSO 編集 ページを開きます。

  4. [SAML] を選択して SSO 構成 ページを開きます。

    アプリケーションの構成が完了すると、ユーザーは Azure AD テナントの資格情報を使用してアプリケーションにサインインできます。

  5. [ 基本的な SAML 構成 ] セクションの [ 編集] をクリックします。

  6. UiPath ポータルの SAML 構成設定で入力した値に基づいて、[ エンティティ ID ] フィールドと [ アサーション コンシューマー サービス (ACS) URL] フィールドに入力します。

    docs image
    docs image

  7. [保存] をクリックします。

    注:

    UiPath では、SAML ID プロバイダーによって送信されるクレームとして、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress または http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn のいずれかが必要です。

    両方の要求が ACS ペイロードで送信されると、UiPath 側では http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress クレームが優先されます。

    既定では、Azure AD のアプリケーションは http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress クレームを送信するように設定されており、値としてユーザーのメール アドレスが使用されます。

    Azure AD のディレクトリ連携からの切り替え、または Azure AD ディレクトリ連携への切り替えを予定している場合は、次の点に注意してください。

    • 優先順位付けされた要求で渡される値は、UiPath によって一意の識別子として使用され、既存のローカル ユーザーを (ローカル ユーザーのメール アドレスを使用して) Azure AD のこのディレクトリ ユーザーにリンクするために使用されます。

    • Azure AD と SAML ディレクトリの連携をスムーズに切り替えられるよう、適切なユーザー値を使用して、これら両方の要求を渡すことをお勧めします。

      設定例を次に示します。

      docs image

  8. [アプリのフェデレーション メタデータ URL] をコピーします。

  9. UiPath Administration ポータルに移動し、[SAML 構成] ページに移動します。

  10. [ メタデータ URL ] フィールドに [ アプリのフェデレーション メタデータ URL ] を貼り付けます。

  11. [ データの取得 ] をクリックして、システムがユーザー関連の情報を ID プロバイダーに要求するようにします。

UiPath への自動プロビジョニングの要求を設定する

  1. 前提条件に記載されているロールのいずれかを使用して Azure Portal にログインします。

  2. Azure AD に移動し、[ Enterprise applications] を選択します。

    [ すべてのアプリケーション ] ページが開き、Azure AD テナント内のアプリケーションの一覧が表示されます。

    使用するアプリケーションを検索して選択します。 ( 例: UiPath)。

    注:

    SSO 用のアプリケーションを作成するには、このセクションの手順に従います。

  3. [ 管理 ] セクションの左側のサイドバーから [ シングル サインオン ] を選択して、 SSO 編集 ページを開きます。

  4. SSO 編集 ページの [ Attributes & Claims ] セクションで [ Edit ] をクリックします。

    docs image

  5. [ グループ要求を追加 ] をクリックして、UiPath に送信するグループを構成します。

    注:

    高度な構成を設定するには、[ 詳細設定 ] ドロップダウンから選択します。

  6. [保存] をクリックします。

  7. 設定を完了するには、公開ドキュメントの 「手順 2.5 プロビジョニング ルールを設定する (任意)」 の手順に従います。

注:

顧客が UPN の使用を希望する場合は、[ Attributes & Claims ] セクションに移動して、 emailaddress 属性の値を変更できます。

SSO 用のアプリケーションを作成する

  1. 前提条件に記載されているロールのいずれかを使用して Azure Portal にログインします。
  2. Azure AD に移動し、[Enterprise アプリケーション] を選択します。[すべてのアプリケーション] ページが開き、Azure AD テナント内のアプリケーションの一覧が表示されます。
  3. [新しいアプリケーション] > [独自のアプリケーションの作成] をクリックします。
  4. アプリケーションに名前を付けます (例: UiPath)。
  5. [Integrate any other application that you don't find in the gallery (Non-gallery)] を選択します。
  6. [作成] をクリックします。

Was this page helpful?

サポートとサービス
サポートを受ける
UiPath アカデミー
RPA について学ぶ - オートメーション コース
UiPath フォーラム
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
利用規約
プライバシー ポリシー
Cookie ポリシー
© 2005-2024 UiPath. All rights reserved.