automation-suite

2.2510

true

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。新しいコンテンツの翻訳は、およそ 1 ～ 2 週間で公開されます。

OpenShift の Automation Suite のインストールガイド

最終更新日時 2025年11月13日

Kerberos 認証を設定する

前提条件

Kerberos 認証を適切に設定するには、次の前提条件を満たす必要があります。

Automation Suite のクラスターが Active Directory にアクセスできることを確認する

Kerberos 認証を構成する前に、Automation Suite のクラスターが Active Directory にアクセスできることを IT 管理者も交えて確認してください。

次の要件を満たす必要があります。

Automation Suite のクラスターは、Active Directory ドメインと同じネットワーク上にある必要があります。
Automation Suite のクラスターが Active Directory のドメイン名を解決できるように、ネットワークの DNS を適切に設定する必要があります。

注: Automation Suite のクラスターが Active Directory の domain names を解決できることは、非常に重要です。これは、ホストマシン上で nslookup <AD domain name> を実行することで確認できます。

Active Directory サービスアカウントを Kerberos 認証用に構成する

Kerberos の既定の keytab とユーザー名パラメーターを生成する

オプション 1: スクリプトを実行する (推奨)

Windows ドメインに参加しているマシンで、Active Directory 管理者アカウントでログインします。
keytab-creator.ps1 スクリプトを管理者として実行します。
スクリプトに次の値を入力します。
1. Service Fabric FQDN です。例: uipath-34i5ui35f.westeurope.cloudapp.azure.com
2. AD domain FQDN です。例: TESTDOMAIN.LOCAL
3. Active Directory ユーザーアカウント。既存のアカウント (sAMAccountName など) を使用するか、スクリプトで新しいアカウントを作成できます。

出力ファイルに、Kerberos の設定に必要な <KERB_DEFAULT_USERNAME> パラメーターと <KERB_DEFAULT_KEYTAB> パラメーターが含まれています。

オプション 2: 手動

Active Directory 管理者に Active Directory のユーザーアカウントを問い合わせて、次の手順でそのアカウントの <KERB_DEFAULT_USERNAME> と <KERB_DEFAULT_KEYTAB> を取得します。

Active Directory サーバーで、新しいユーザーアカウントを作成します。アカウントが既に存在する場合は、手順 2 に進みます。
1. [Active Directory ユーザーとコンピューター ] コンソールで、[ ユーザー ] フォルダーを右クリックし、[ 新規] を選択して、[ ユーザー] を選択します。
2. ユーザーアカウントの作成を完了します。
ユーザーアカウントを右クリックして、[プロパティ] を選択します。
[アカウント] タブに移動し、[アカウントオプション] で [このアカウントで Kerberos AES 256 ビット暗号化をサポートする] を選択します。
重要: 次の手順で生成する keytab は、Active Directory ユーザーのパスワードの有効期限が切れるか更新されると無効になります。この Active Directory ユーザーアカウントの [アカウントオプション] で [パスワードを無期限にする] をオンにすることを検討してください。または、有効期限が近付いたときにパスワードを更新し、新しい keytab を生成できます。
SPN の keytab ファイルを生成するには、管理者アクセス権で PowerShell を開き、次のコマンドを実行します。
```
ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1
```
一部のフィールドは大文字で指定する必要があります。例:
```
ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1
```
keytab の生成後、ユーザーログオン名が HTTP/<Service Fabric FQDN>に変わります。この値を input.json の default_ad_username の [<KERB_DEFAULT_USERNAME>] フィールドに使用します。
```
"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },
```

生成された keytab ファイルを Base64 でエンコードします。PowerShell を開き、次のコマンドを実行します。

[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

エンコードされた keytab ファイルを保存します。このファイルは、UiPath® クラスターを Kerberos 用に構成する際に使用します。手順 6 の値を <KERB_DEFAULT_KEYTAB> と呼ぶことにします。

任意: SQL 認証の前提条件

Windows 統合認証/Kerberos を使用して SQL に接続するように UiPath® クラスターを構成するには、次の追加手順を実行する必要があります。

SQL Server は Active Directory ドメインに参加している必要があります。
Automation Suite のクラスターは、SQL Server と同じネットワーク上にある必要があります。
Automation Suite のクラスターは、Active Directory と SQL Server のドメイン名を解決できます。
Active Directory ユーザーは、SQL Server へのアクセス権と DB 権限を持つ必要があります。

SQL Server Management Studio で新しいログインを作成するには、次の手順を実行します。

a. [オブジェクトエクスプローラー] パネルで [セキュリティ] > [ログイン] の順に選択します。

b. [ログイン] フォルダーを右クリックして [新しいログイン] を選択します。[ログイン - 新規作成] ウィンドウが表示されます。

c. [Windows 認証] オプションを選択します。ウィンドウが適切に更新されます。

d. [ログイン名] フィールドに、サービスアカウントとして使用するユーザードメインを入力します。

e. [既定の言語] リストから [英語] を選択します。

重要: [既定の言語] が [English] に設定されていることを確認してください。英語でない場合 Web サイトは起動できず、Orchestrator がインストールされているコンピューター上のイベントビューアーに、データ型が変換できなかったことを示す次のエラーメッセージが表示されます。「The conversion of a varchar data type to a datetime data type resulted in an out of range value」

f. [ OK] を選択します。設定が保存されます。

サービスアカウントが既に作成され、SQL Server の [セキュリティ] > [ログイン] セクションに追加されている場合、SQL アカウントの [既定の言語] が [英語] に設定されていることを確認してください。英語に設定されていない場合は、適切に変更します。

SQL データベースに接続するユーザーに db_owner ユーザーマッピングロールを付与する必要があります。以下のスクリーンショットをご覧ください。

セキュリティの制限により UiPath® ログインで db_owner ユーザーマッピングロールが使用できない場合、次の権限を付与します。

db_datareader
db_datawriter
db_ddladmin
dbo スキーマに対する EXECUTE 権限

EXECUTE 権限は、GRANT EXECUTE SQL コマンドを用いて次のように付与する必要があります。

USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GOUSE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO

UiPath® アプリケーションで一意の Active Directory ユーザーアカウントを使用して SQL に Integrated Security=True で接続する場合は、次のように、各 UiPath® アプリケーションに対して一意の keytab を作成する必要があります。これは、そのアプリケーションの <KERB_APP_KEYTAB> として参照されます。

Kerberos アプリケーションの keytab とユーザー名パラメーターを生成する

オプション 1: スクリプトを実行する (推奨)

service-keytab-creator.ps1 スクリプトを実行します。
スクリプトに次の値を入力します。
1. AD domain FQDN です。例: TESTDOMAIN.LOCAL
2. Active Directory ユーザーアカウントのユーザー名とパスワード。たとえば、Active Directory ユーザーアカウント sAMAccountName とそのパスワードです。

出力ファイルには、Kerberos で必要な <KERB_APP_USERNAME> パラメーターと <KERB_APP_KEYTAB> パラメーターが含まれます。

オプション 2: 手動

次のスクリプトを手動で実行します。

# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

値 <AD username> は、<KERB_APP_KEYTAB> に対応する <KERB_APP_USERNAME> になります。

Automation Suite を Kerberos クライアントとして構成する

このセクションでは、Automation Suite を LDAP または SQL アクセス用の Kerberos クライアントとして構成する方法について説明します。

<KERB_DEFAULT_KEYTAB>では、「input.json 経由で Kerberos 認証を構成する」の手順に従って、Automation Suite を Kerberos クライアントとして構成します。

注: さまざまなサービスを専用の Active Directory アカウントで実行されるように設定し、SQL にその Active Directory アカウントとしてアクセスする場合は、ad_username をその <KERB_APP_USERNAME> で指定し、user_keytab をサービスの構成セクションで <KERB_APP_KEYTAB> として指定できます。

input.json を介して Kerberos 認証を構成する

input.json ファイルで、kerberos_auth_config.enabled パラメーターをに設定しますtrue。
Kerberos を SQL アクセスに使用する場合、Integrated Security フラグを使用して、sql_connection_string_template、sql_connection_string_template_jdbc、および sql_connection_string_template_odbc を構成します。
サービスごとに異なる Active Directory ユーザーを設定する場合は、次の手順を実行します。
1. サービスグループの JSON オブジェクトに ad_username と user_keytab を指定します。
2. サービスの SQL 接続文字列を更新して、統合セキュリティを有効化します。
  JSON オブジェクトは次のようになります。
```
"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}
```
  注: サービスグループ名のリストについては、「サービスグループとサービス」をご覧ください。
input.json ファイルを更新したら、インストーラースクリプトを実行して構成を更新します。詳しい手順については、「製品を管理する」をご覧ください。

Kerberos 認証を使用するための Orchestrator とプラットフォームの更新例

"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}

サービスグループとサービス

以下の表に、利用可能なサービスグループと、グループに含まれるサービスを示します。これらの名前は、input.json ファイルや ArgoCD UI では若干異なります。

のサービスグループ名`input.json`	ArgoCD のサービスグループ名	含まれるサービス
`orchestrator`	`orchestrator`	Orchestrator、Webhook
`platform`	`platform`	ID、ライセンス会計士 (LA)、監査、場所、License Resource Manager (LRM)、Organization Management Service (OMS)
`discovery_group`	`discoverygroup`	Automation Hub
`test_manager`	`testmanager`	Test Manager
`automation_ops`	`automationops`	Automation Ops
`aicenter`	`aicenter`	AI Center
`documentunderstanding`	`documentunderstanding`	Document Understanding
`insights`	`insights`	Insights
`dataservice`	`dataservice`	Data Service
`asrobots`	`asrobots`	Automation Suite ロボット
`processmining`	`processmining`	Process Mining
`studioweb`	`studioweb`	Studio Web
`llmgateway`	`llmgateway`	LLM Gateway
`llmobservability`	`llmobservability`	LLM Observability
`ecs`	`ecs`	ECSの
`autopiloteveryone`	`autopiloteveryone`	Autopilot for Everyone
`automationsolutions`	`automationsolutions`	ソリューション

Active Directory との連携を構成する

Automation Suite にログインするときに Kerberos 認証を使用するには、Automation Suite のホスト設定をさらに構成する必要があります。

Kerberos 認証を無効化する

Kerberos 認証を完全に削除する

Kerberos 認証を完全に削除するには、次の手順を実行します。

Kerberos を使用して Active Directory との連携を構成していた場合は、「Active Directory との連携を構成する」の手順に従って、Active Directory をユーザー名とパスワードのオプションで再構成します。
SQL 統合認証を使用していた場合は、ユーザー ID とパスワードを使用するように SQL 接続文字列を構成します。
Kerberos 認証を無効化します。 cluster_config.json ファイルで kerberos_auth_config.enabled パラメーターを falseに設定し、インストーラースクリプトを実行して構成を更新します。詳しい手順については、「製品を管理する」をご覧ください。

SQL 統合認証を削除する

SQL 統合認証を削除するには、次の手順を実行します。

ユーザー ID とパスワードを使用するように SQL 接続文字列を構成します。
すべてのサービスで SQL 統合認証を無効化する場合は、 cluster_config.json ファイルで kerberos_auth_config.enabled パラメーターを false に設定してから、インストーラースクリプトを実行して構成を更新します。詳しい手順については、「製品を管理する」をご覧ください。