Automation Suite

2022.10

偽

UiPath Automation Suite 管理ガイド

最終更新日 2024年3月25日

SSO を構成する: SAML 2.0

SAML 2.0 認証プロトコルをサポートする ID プロバイダーを使用して、SSO を有効化できます。

概要

SAML SSO の有効化は多段階のプロセスであり、以下の構成を完了する必要があります。

Automation Suite をサービスプロバイダーとして認識するように、ID プロバイダーを構成します。
ID プロバイダーを認識し、信頼するように、Automation Suite をサービスプロバイダーとして構成します。
ID プロバイダーから SAML 2.0 プロトコルを使用して SSO でログインできるよう、ユーザーを組織にプロビジョニングします。

手順 1. ID プロバイダーを構成する

Automation Suite は複数の ID プロバイダーをサポートします。

このセクションでは、特定の構成を見つけ、以下の ID プロバイダーそれぞれの証明書を取得する方法について説明します。

ADFS
Google
Okta
PingOne

A. ADFS を構成する

マシンを ADFS 対応に設定し、ADFS Management ソフトウェアにアクセスできることを確認します。必要に応じて、システム管理者と連携します。

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、ADFS のドキュメントをご覧ください。

ADFS Management を開き、次のように Orchestrator の新しい証明書利用者信頼を定義します。
1. [証明書利用者信頼] をクリックします。
2. [操作] パネルで、[証明書利用者信頼の追加] をクリックします。[証明書利用者信頼の追加ウィザード] が表示されます。
3. [ようこそ] セクションの [要求に対応する] を選択します。
4. [データソースの選択] セクションで、[証明書利用者についてのデータを手動で入力する] オプションを選択します。
5. [表示名の指定] セクションの [表示名] フィールドに Orchestrator インスタンスの URL を挿入します。
6. [証明書の構成] セクションは、特定の設定を変更する必要はなく、表示されている値のままにします。
7. [URL の構成] セクションの [SAML 2.0 Web SSO プロトコルのサポートを有効化する] を選択します。
8. [証明書利用者 SAML 2.0 SSO サービス URL] フィールドに、Automation Suite インスタンスの URL とサフィックス identity_/Saml2/Acs を入力します(例: https://baseURL/identity_/Saml2/Acs)。
9. [識別子の構成] セクションの [証明書利用者信頼の識別子] フィールドに、サフィックス identity_ を付加した Orchestrator インスタンスの URL を入力します。
10. [アクセス制御ポリシーの選択] セクションで、アクセス制御ポリシーとして [すべてのユーザーを許可] が選択されていることを確認します。
11. [信頼の追加の準備完了] と [完了] に特定の設定は必要ないため、そのままにしてください。
  新たに追加された利用者信頼が [証明書利用者信頼] ウィンドウに表示されます。
12. [アクション] > [プロパティ] > [エンドポイント] に移動し、[バインド] に [POST] が選択されていること、および [信頼された URL を既定として設定する] チェックボックスがオンになっていることを確認します。
  
  エンドポイントのバインドが Post であることが必要です。リダイレクトなどのその他のバインドは、ADFS がリダイレクトアサーションに署名しないため、UiPath と互換性がありません。
13. [アクション] > [プロパティ] > [識別子] に移動し、Orchestrator インスタンスの URL とサフィックス identity_ が存在していることを確認します。
証明書利用信頼を選択して、[アクション] パネルから [要求発行ポリシーの編集] をクリックします。

[要求発行ポリシーの編集] ウィザードが表示されます。

[Add rule (ルールを追加)] をクリックして、[Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] テンプレートを使用して次の設定により新しいルールを作成します。

LDAP 属性	出力方向の要求の種類
E-Mail-Addresses	電子メールアドレス
User-Principal-Name	名前 ID

ADFS の設定が終わったら、管理者として PowerShell を開き、次のコマンドを実行します。
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  DISPLAYNAME は、手順 1.e で設定した値に置き換えます。
2. Restart-Service ADFSSRV です。

B. Google を構成する

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、Google のドキュメントをご覧ください。

管理コンソールに管理者としてログインし、[アプリ] > [ウェブアプリとモバイルアプリ] の順に移動します。
[アプリを追加] > [カスタム SAML アプリの追加] の順にクリックします。
[アプリの詳細] ページで、Automation Suite インスタンスの名前を入力します。
[Google ID プロバイダの詳細] ページで、後で使用するために以下をコピーし、保存します。
- SSO URL
- エンティティ ID
証明書をダウンロードしてテキストエディターで開き、「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分用に値をコピーして保存します。
[サービスプロバイダの詳細] ページで、以下を入力します。
- ACS の URL: https://baseURL/identity_/Saml2/Acs
- エンティティ ID: https://baseURL/identity_
[属性マッピング] ページで、以下のマッピングを指定します。
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
SAML アプリを構成したら、Google 管理コンソールの Automation Suite SAML アプリで [ユーザーアクセス] に移動し、[オン（すべてのユーザー）] をクリックします。

C. Okta を構成する

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、Okta のドキュメントをご覧ください。

Okta 管理コンソールにログインし、[Applications] > [Applications] に移動します。[Create App Integration] をクリックし、[Sign-on method] として [SAML 2.0] を選択します。
[General Settings] ページで、Automation Suite インスタンスの名前を指定します。
[Configure SAML] ページの [General] セクションに入力します。
例:
- Single sign on URL: お使いのAutomation Suite の URL + /identity_/Saml2/Acs。たとえば、https://baseURL/identity_/Saml2/Acs です。
- [Use this for Recipient URL and Destination URL] チェックボックスをオンにします。
- Audience URI (オーディエンス URL): https://baseURL/identity_
- Name ID Format (名前 ID 形式): EmailAddress (メールアドレス)
- Application Username (アプリケーションのユーザー名): Email (メールアドレス)
[Attribute Statements] セクションで、以下のように入力します。
- [Name] フィールドに、「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress」と入力します。
- [Value] リストから [user.email] を選択します。
[Feedback] セクションで、適切なオプションを選択します。
[Finish (完了)] をクリックします。
[Sign On] タブの [Settings] セクションで、[View Setup Instructions] をクリックします。
「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分を完了するために必要な手順を記載した新しいページにリダイレクトされます。
- ID プロバイダーのサインオン URL
- ID プロバイダーの発行者
- X.509 証明書
ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。
1. [Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
2. [Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。新たに追加されたユーザーが [People] タブに表示されます。

D. PingOne を構成する

注: 次に示す手順は、設定例のおおまかな説明です。詳細な手順については、PingOne のドキュメントをご覧ください。

次のような設定で、PingOne に SAML を使用して接続する Web アプリケーションを追加します。
1. [Configure SAML Connection] ページで [Manually Enter] を選択し、以下を入力します。
  - ACS URLS: Automation Suite インスタンスの URL (大文字と小文字を区別) + /identity_/Saml2/Acs (https://baseURL/identity_/Saml2/Acs)
  - エンティティ ID: https://baseURL/identity_
  - SLO binding: HTTP Redirect
  - Assertion Validity Duration: 有効期間の秒数を入力します。
2. [Map Attributes] ページで、次の属性をマップします。
  メールアドレス = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ヒント: あるいは、[Import Metadata] オプションを使用して PingOne SAML 接続を構成することもできます。UiPath Identity Server の SAML2 メタデータは、https://baseURL/identity/Saml2 から XML 形式でダウンロードできます。
[Connections] > [Applications] ページで、作成したアプリケーションを見つけ、ボックスの右端にあるアイコンをクリックして、アプリケーションの詳細を表示します。
[Profile] タブで、以下の「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分用に以下の値をコピーして保存します。
- クライアント ID
- ホームページの URL
アプリケーションのセットアップ時にダウンロードしなかった場合は、PingOne 署名証明書をダウンロードします。
1. [Connections] > [Certificates & Keypairs] に移動します。
2. 作成したアプリケーションを見つけ、ボックスの右端をクリックして、アプリケーションの詳細を表示します。
3. [Details] タブの右側にある [Download Certificate] をクリックし、.crt 形式を選択します。
任意のテキストエディターで証明書ファイルを開き、以下の「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分用に証明書の値をコピーして保存します。

手順 2. Automation Suite を構成する

ID プロバイダーを認識するサービスプロバイダーとして Automation Suite を有効化するには、次の手順を実行します。

Automation Suite のホストポータルにシステム管理者としてログインします。
左側のペインの上部でホスト が選択されていることを確認し、[セキュリティ] をクリックします。

注: まだ以前の管理エクスペリエンスを使用している場合は、左側にあるオプションから [セキュリティ設定] を選択します。
[SAML SSO] の [設定] をクリックし、使用する ID プロバイダーの手順を実行します。
1. ADFSの SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps:/baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターを [ユーザーのメールアドレスで] に設定します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、証明書のテキストを貼り付けます。
2. Google の SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Google 認証の構成時に取得したエンティティ ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Google 認証の構成時に取得した SSO URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、Google 構成時に取得した証明書の値を貼り付けます。
3. Oktaの SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Okta の構成時に取得した ID プロバイダーの発行者の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Okta の構成時に取得した ID プロバイダーのサインオン URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  10. [署名証明書] フィールドに、Okta 構成時に取得した X.509 証明書の値を貼り付けます。
4. PingOne の SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに Automation Suite の URL を https://baseURL/identiy_ の形式で貼り付けます。
  5. [ID プロバイダーのエンティティ ID] フィールドに、PingOne の構成時に取得した 発行者 ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] パラメーターを、PingOne 構成時に取得したシングルサインオン URL の値に設定します。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、PingOne 構成時に取得した値を貼り付けます。
5. 古い管理エクスペリエンスで各設定をするには、以下の手順を実行します。
  ADFS:
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps:/baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターを [ユーザーのメールアドレスで] に設定します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、証明書のテキストを貼り付けます。
  Google:
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Google 認証の構成時に取得したエンティティ ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Google 認証の構成時に取得した SSO URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、Google 構成時に取得した証明書の値を貼り付けます。
  Okta:
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://baseURL/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Okta の構成時に取得した ID プロバイダーの発行者の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Okta の構成時に取得した ID プロバイダーのサインオン URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  10. [署名証明書] フィールドに、Okta 構成時に取得した X.509 証明書の値を貼り付けます。
  PingOne:
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに Automation Suite の URL を https://baseURL/identiy_ の形式で貼り付けます。
  5. [ID プロバイダーのエンティティ ID] フィールドに、PingOne の構成時に取得した 発行者 ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] パラメーターを、PingOne 構成時に取得したシングルサインオン URL の値に設定します。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [戻り先 URL] フィールドに「ph bhttps://baseURL/identity_/externalidentity/saml2redirectcallbackと入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、PingOne 構成時に取得した値を貼り付けます。
[保存] をクリックして変更を保存し、前のページに戻ります。
[SAML SSO] の左側にあるトグルをクリックし、連携を有効化します。

注: まだ以前の管理エクスペリエンスを使用している場合、この手順はスキップしてください。
「identity-service-api-*」ポッドを再起動します。外部プロバイダーに変更を加えたら必ず再起動する必要があります。
1. SSH を使用してプライマリサーバーに接続します。
2. 次のコマンドを実行します。
  
  kubectl -n uipath rollout restart deployment identity-service-api

手順 3. オプションの設定

以下の設定は任意です。Automation Suite のインストールに、高度なセキュリティ機能のいずれかまたは両方を使用する場合にのみ必要です。

手順 3.1.カスタムマッピング

ADFS、Google、および Okta は、いずれもメールアドレスを SAML 属性として使用します。このセクションでは、ユーザー名または外部プロバイダーのキーに基づくカスタム SAML マッピングについて説明します。

重要: カスタムマッピング属性を設定すると、システム全体に影響を与えることになります。この設定は、既存の ID プロバイダーのすべてに適用されます。その結果、新しいマッピングが設定されている間は、他のプロバイダー (Azure、Windows) は一切機能しなくなります。

ホストレベルの [セキュリティ] ページの [SAML SSO] 設定で、次のパラメーターを設定する必要があります。

注: まだ以前の管理エクスペリエンスを使用している場合、これらのオプションは [セキュリティ設定] ページの [外部プロバイダー] セクションの [SAML 2.0] 設定にあります。

外部ユーザーのマッピング方法 - マッピング方法を定義します。次のオプションが利用可能です。
- By user email - メールアドレスが属性として設定されます。これは既定値です。
- By username - ユーザー名を属性として設定します。
- By external provider key - 外部のプロバイダーキーを属性として設定します。
外部ユーザー ID の要求名 - マッピングの ID として使用する要求を定義します。これは、ユーザー名を属性として設定する場合にのみ必要です。

手順 3.3.サービス証明書

SAML プロトコルでは、サービスプロバイダー (つまり Automation Suite) から送信される署名要求や暗号化要求にサービス証明書が使用されます。

サービス証明書を設定するには、以下の手順を実行します。

ArgoCD に移動し、管理者としてログインします。
uipath アプリケーションを選択し、ここに移動します。
左上隅の [APP DETAILS] をクリックします。
[PARAMETERS] セクションで「ServiceCert」を検索します。
global.userInputs.certificate.identity.saml.currentServiceCert パラメーターをサービス証明書の Base64 シリアル化に更新します。サービス証明書には秘密キーが必要です。
サービス証明書にパスワードがある場合は、global.userInputs.certificate.identity.saml.currentServiceCertPassword パラメーターも更新します。

ArgoCD では、証明書とパスワードの両方が Base64 形式でエンコードされます。
サービス証明書をローテーションする必要がある場合は、global.userInputs.certificate.identity.saml.futureServiceCert パラメーターと global.userInputs.certificate.identity.saml.futureServiceCertPassword パラメーターを更新します。
[SYNC] をクリックして変更を適用します。

Identity Server が自動的に再起動するまで数分待ちます。

概要
手順 1. ID プロバイダーを構成する
A. ADFS を構成する
B. Google を構成する
C. Okta を構成する
D. PingOne を構成する
手順 2. Automation Suite を構成する
手順 3. オプションの設定
手順 3.1.カスタムマッピング
手順 3.3.サービス証明書

Was this page helpful?

PREVIOUSActive Directory との連携を構成する

次へSSO を構成する: Google

サポートとサービス

サポートを受ける

UiPath アカデミー

RPA について学ぶ - オートメーションコース

UiPath コミュニティフォーラム