- 基本情報
- ホストの管理
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
UiPath Automation Suite 管理ガイド
Active Directory との連携を構成する
Active Directory との連携は、AKS/EKS の Automation Suite ではサポートされていません。
Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、ディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。
- ディレクトリ検索では、外部の信頼できるドメインからのユーザーは検索されません。外部の信頼できる機関と相互に信頼できる機関がないため、この機能はサポートされていません。
- Automation Suite の Windows 認証は Kerberos プロトコルを使用するため、Windows ログインはドメインに参加しているマシンでのみ使用できます。
Automation Suite のクラスターが Active Directory (AD) にアクセスできることを IT 管理者も交えて確認してください。
Active Directory との連携を構成するには、次の 2 つのオプションのいずれかを使用します。
- Kerberos 認証
- ユーザー名とパスワード
より多くのシナリオがサポートされているため、Kerberos 認証をお勧めします。
シナリオ |
ユーザー名とパスワード |
Kerberos 認証 |
---|---|---|
同じフォレスト内のドメインをディレクトリ検索する |
サポート対象 |
サポート対象 |
信頼できるフォレスト内のドメインをディレクトリ検索する |
サポート対象外 |
サポート対象 |
外部の信頼できるドメインをディレクトリ検索する |
サポート対象外 |
サポート対象外 |
Active Directory 環境では、ディレクトリ サービスに対するセキュリティで保護された接続として、LDAPS が一般的に使用されます。LDAPS のサポート状況は、使用される認証メカニズムによって異なります。
認証メカニズム |
LDAPS のサポート |
---|---|
ユーザー名とパスワード |
サポート対象 |
Kerberos 認証 |
サポート対象外 |
b.1.LDAPS を使用するための前提条件
SSL 経由の LDAP (LDAPS) を使用する場合は、最初に Active Directory 環境で SSL 経由の LDAP を構成し、UiPath クラスター構成で使用するルート証明書を取得する必要があります。
既知の問題: 設定された LDAPS 証明書は、アップグレード時に保持されません。そのため、アップグレード後に、LDAP によるセキュリティで保護された接続を機能させるには、LDAPS 証明書を再度追加する必要があります。
b.2.Active Directory の構成
<KERB_DEFAULT_KEYTAB>
を取得します。これは、Kerberos 設定の一部として生成される keytab ファイルの Base64 エンコード文字列です。
重要:
「Automation Suite を Kerberos クライアントとして構成する」のガイドで説明している手順に従って既に Automation Suite を Kerberos クライアントとして構成済みの場合、この手順はスキップしてください。
Active Directory との連携をユーザー名とパスワードによる方法で構成している場合 (この方法は推奨されません)、次の手順を実行します。
- ブラウザーの設定ウィンドウを開きます。
- アドレス バーに「about:config」と入力します。
- Kerberos 認証を使用する Automation Suite の FQDN を指定します。
- 「
network.negotiate
」という用語を検索します。 - Kerberos で次を有効化し、設定します。
network.negotiate-auth.delegation-uris
(値の例:uipath-34i5ui35f.westeurope.cloudapp.azure.com
)、network.negotiate-auth.trusted-uris
(値の例:uipath-34i5ui35f.westeurope.cloudapp.azure.com
)、network.negotiate-auth.allow-non-fqdn
(値:true
)
- 「
UiPath Platform に Windows 認証が追加されたことにより、UiPath でユーザー アカウントが作成されたユーザーは、[ ログイン] ページの[Windows] オプションを使用して UiPath Platform にサインインできるようになりました。
Windows 資格情報によるログインを許可するには、各組織の管理者が以上の設定をそれぞれの組織に対して実行する必要があります。
- 組織管理者としてログインします。
- Active Directory ユーザーまたはグループに組織レベルのロールを割り当てます。これは検索から選択できます。
- Windows 認証でのログインを許可するユーザーごとに、上記の手順を繰り返します。
ロールを割り当てたユーザーは、Active Directory アカウントを使用して UiPath の組織にログインできます。 ドメインに参加しているマシンからログインする必要があります。
Windows 資格情報を使用してログインしようとすると HTTP 500 エラーが発生する場合は、以下の項目を確認します。
-
Windows マシンはドメインに参加していますか?
該当するマシンで、[コントロール パネル] > [システムとセキュリティ] > [システム] に移動し、ドメインが表示されているかどうかを確認します。ドメインが表示されていない場合は、マシンをドメインに追加します。Kerberos プロトコルで Windows 認証を使用するには、マシンがドメインに参加している必要があります。
-
同じ資格情報で Windows マシンにログインできますか?
できない場合は、システム管理者にヘルプを依頼してください。
-
Microsoft Edge 以外のブラウザーを使用していますか?
Microsoft Edge 以外のサポート対象ブラウザーでは、追加の設定が必要です。
- keytab の設定を確認します。
- keytab の生成後、Active Directory サーバーでは、Active Directory ユーザーのプロパティ (
servicePrincpalName
) がHTTP/<Service Fabric FQDN>
の形式になっている必要があります (例:HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
)。 -
Active Directory でユーザー アカウントに対して [このアカウントで Kerberos AES 256 ビット暗号化をサポートする] オプションを選択する必要があります。
これが適切に設定されていない場合、identity-service-api ログに以下が表示されます。
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- keytab の生成後、Active Directory サーバーでは、Active Directory ユーザーのプロパティ (
-
使用しているドメイン内で複数の Active Directory を設定している場合、認証が失敗し、identity-service-api ログに以下が表示されます。
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsこの場合、認証用に作成したマシン アカウントがすべての Active Directory に複製されていることを確認します。
-
ktpass
を実行して、新しいパスワードをユーザー アカウントに割り当てると、キー バージョン (kvno
) が増加し、古い keytab は無効になります。identity-service-api ログには、以下が表示されます。この場合、ArgoCD でRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
を更新する必要があります。 -
次のエラーが
identity-service-api
ポッドに表示される場合があります。GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
この場合はまず、ArgoCD で
global.userInputs.identity.krb5KeytabSecret
パラメーターを指定したかどうかを確認します。 このパラメーターが存在する場合は、keytab の生成に使用した Active Directory ユーザーの資格情報で Windows マシンにログインできるかどうかを確認します。パスワードが変更されたか、有効期限が切れている場合は、keytab を再生成する必要があります。 -
この問題の原因としてもう 1 つ考えられるのは、以前に ArgoCD が不適切に同期されていたことです。この問題を修正するには、既存の
global.userInputs.identity.krb5KeytabSecret
を削除して ArgoCD を同期します。操作が成功したらglobal.userInputs.identity.krb5KeytabSecret
を更新し、再度同期します。
-
-
ブラウザーで、期待される SPN を使用していますか?
指示に従って Kerberos イベント ログを有効化した場合、Kerberos イベント ログにKDC_ERR_S_PRINCIPAL_UNKNOWN
エラーが表示されます。この問題の詳細については、Microsoft のドキュメントをご覧ください。この問題を解決するには、グループ ポリシーを変更することにより、Kerberos 認証をネゴシエートする際の CNAME ルックアップを無効化してください。詳細については、Google Chrome の手順と Microsoft Edge の手順をご覧ください。