UiPath Automation Suite 管理ガイド

最終更新日時 2024年12月18日

SSO を構成する: SAML 2.0

SAML 2.0 認証プロトコルをサポートする ID プロバイダーを使用して、SSO を有効化できます。

概要

SAML SSO の有効化は多段階のプロセスであり、以下の構成を完了する必要があります。

UiPath Platform をサービスプロバイダーとして認識するように ID プロバイダーを設定します。
UiPath Platform をサービスプロバイダーとして設定し、ID プロバイダーを認識して信頼するようにします。
ID プロバイダーから SAML 2.0 プロトコルを使用して SSO でログインできるよう、ユーザーを組織にプロビジョニングします。

手順 1. ID プロバイダーを構成する

UiPath は複数の ID プロバイダーをサポートしています。

このセクションでは、特定の構成を見つけ、以下の ID プロバイダーそれぞれの証明書を取得する方法について説明します。

ADFS
Google
Okta
PingOne

A. ADFS を構成する

マシンを ADFS 対応に設定し、ADFS Management ソフトウェアにアクセスできることを確認します。必要に応じて、システム管理者と連携します。

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、ADFS のドキュメントをご覧ください。

ADFS Management を開き、次のように Orchestrator の新しい証明書利用者信頼を定義します。
1. [証明書利用者信頼] をクリックします。
2. [操作] パネルで、[証明書利用者信頼の追加] をクリックします。[証明書利用者信頼の追加ウィザード] が表示されます。
3. [ようこそ] セクションの [要求に対応する] を選択します。
4. [データソースの選択] セクションで、[証明書利用者についてのデータを手動で入力する] オプションを選択します。
5. [表示名の指定] セクションの [表示名] フィールドに Orchestrator インスタンスの URL を挿入します。
6. [証明書の構成] セクションは、特定の設定を変更する必要はなく、表示されている値のままにします。
7. [URL の構成] セクションの [SAML 2.0 Web SSO プロトコルのサポートを有効化する] を選択します。
8. [ 証明書利用者 SAML 2.0 SSO サービス URL ] フィールドに、Automation Suite インスタンスの Identity ベース URL とサフィックス /Saml2/Acsを入力します。例: https://{yourDomain}/identity_
9. [ 識別子の構成] セクションの [ 証明書利用者信頼の識別子] フィールドに、ID のベース URL を入力しますhttps://{yourDomain}/identity_ (例:)。
10. [アクセス制御ポリシーの選択] セクションで、アクセス制御ポリシーとして [すべてのユーザーを許可] が選択されていることを確認します。
11. [信頼の追加の準備完了] と [完了] に特定の設定は必要ないため、そのままにしてください。
  新たに追加された利用者信頼が [証明書利用者信頼] ウィンドウに表示されます。
12. [アクション] > [プロパティ] > [エンドポイント] に移動し、[バインド] に [POST] が選択されていること、および [信頼された URL を既定として設定する] チェックボックスがオンになっていることを確認します。
  
  エンドポイントのバインドが Post であることが必要です。リダイレクトなどのその他のバインドは、ADFS がリダイレクトアサーションに署名しないため、UiPath® と互換性がありません。
13. [ アクション] > [ プロパティ ] > [ 識別子] に移動し、Identity のベース URL ( https://{yourDomain}/identity_) が存在することを確認します。
証明書利用信頼を選択して、[アクション] パネルから [要求発行ポリシーの編集] をクリックします。

[要求発行ポリシーの編集] ウィザードが表示されます。

[Add rule (ルールを追加)] をクリックして、[Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] テンプレートを使用して次の設定により新しいルールを作成します。

LDAP 属性	出力方向の要求の種類
E-Mail-Addresses	電子メールアドレス
User-Principal-Name	名前 ID

ADFS の設定が終わったら、管理者として PowerShell を開き、次のコマンドを実行します。
1. Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertion
  
  DISPLAYNAME は、手順 1.e で設定した値に置き換えます。
2. Restart-Service ADFSSRV です。

B. Google を構成する

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、Google のドキュメントをご覧ください。

管理コンソールに管理者としてログインし、[アプリ] > [ウェブアプリとモバイルアプリ] の順に移動します。
[アプリを追加] > [カスタム SAML アプリの追加] の順にクリックします。
[アプリの詳細] ページで、Automation Suite インスタンスの名前を入力します。
[Google ID プロバイダの詳細] ページで、後で使用するために以下をコピーし、保存します。
- SSO URL
- エンティティ ID
証明書をダウンロードしてテキストエディターで開き、「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分用に値をコピーして保存します。
[サービスプロバイダの詳細] ページで、以下を入力します。
- ACS の URL:https://{yourDomain}/identity_ /Saml2/Acs
- エンティティ ID:https://{yourDomain}/identity_
[属性マッピング] ページで、以下のマッピングを指定します。
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  この要求では大文字と小文字が区別されることに注意してください。
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
SAML アプリを構成したら、Google 管理コンソールの Automation Suite SAML アプリで [ユーザーアクセス] に移動し、[オン（すべてのユーザー）] をクリックします。

C. Okta を構成する

注: 次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、Okta のドキュメントをご覧ください。

Okta 管理コンソールにログインし、[Applications] > [Applications] に移動します。[Create App Integration] をクリックし、[Sign-on method] として [SAML 2.0] を選択します。
[General Settings] ページで、Automation Suite インスタンスの名前を指定します。
[Configure SAML] ページの [General] セクションに入力します。
例:
- Single sign on URL: Identity のベース URL + /Saml2/Acs。たとえば、https://{yourDomain}/identity_ /Saml2/Acs です。
- [Use this for Recipient URL and Destination URL] チェックボックスをオンにします。
- Audience URI (オーディエンス URL):https://{yourDomain}/identity_
- Name ID Format (名前 ID 形式): EmailAddress (メールアドレス)
- Application Username (アプリケーションのユーザー名): Email (メールアドレス)
[Attribute Statements] セクションで、以下のように入力します。
- [ Name ] フィールドに、「」と入力します http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。この要求では大文字と小文字が区別されることに注意してください。
- [Value] リストから [user.email] を選択します。
[Feedback] セクションで、適切なオプションを選択します。
[Finish (完了)] をクリックします。
[Sign On] タブの [Settings] セクションで、[View Setup Instructions] をクリックします。
「手順 2. Automation Suite を構成する」で説明されている、設定の次の部分を完了するために必要な手順を記載した新しいページにリダイレクトされます。
- ID プロバイダーのサインオン URL
- ID プロバイダーの発行者
- X.509 証明書
ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。
1. [Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
2. [Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。新たに追加されたユーザーが [People] タブに表示されます。

D. PingOne を構成する

手記：次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、PingOne のドキュメントをご覧ください。

次のような設定で、PingOne に SAML を使用して接続する Web アプリケーションを追加します。
1. [Configure SAML Connection] ページで [Manually Enter] を選択し、以下を入力します。
  - ACS URLS: 大文字と小文字が区別される ID ベース URL + /Saml2/Acs 。たとえば、です https://{yourDomain}/identity_
  - エンティティ ID: https://{yourDomain}/identity_
  - SLO binding: HTTP Redirect
  - Assertion Validity Duration: 有効期間の秒数を入力します。
2. [Map Attributes] ページで、次の属性をマップします。
  メールアドレス = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressこの要求では大文字と小文字が区別されることに注意してください。
[Connections] > [Applications] ページで、作成したアプリケーションを見つけ、ボックスの右端にあるアイコンをクリックして、アプリケーションの詳細を表示します。
[ Profile ] タブで、以下の手順 2 で説明されている、設定の次の部分用に以下の値をコピーして保存します。
- クライアント ID
- ホームページの URL
アプリケーションのセットアップ時にダウンロードしなかった場合は、PingOne 署名証明書をダウンロードします。
1. [Connections] > [Certificates & Keypairs] に移動します。
2. 作成したアプリケーションを見つけ、ボックスの右端をクリックして、アプリケーションの詳細を表示します。
3. [Details] タブの右側にある [Download Certificate] をクリックし、.crt 形式を選択します。
任意のテキストエディターで証明書ファイルを開き、以下の手順 2 で説明する、設定の次の部分用に証明書の値をコピーして保存します。

ステップ2。`Automation Suite` を設定します

Automation Suite を、ID プロバイダーを認識するサービス・プロバイダーとして有効にするには、次のようにします。

host portalにシステム管理者としてログインします。
左側のペインの上部でホスト が選択されていることを確認し、[セキュリティ] をクリックします。
[SAML SSO] の [設定] をクリックし、使用する ID プロバイダーの手順を実行します。
1. ADFSの SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://{yourDomain}/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [ 戻り先 URL] フィールドに、「https://{yourDomain}/identity_ /externalidentity/saml2redirectcallback」と入力します。
  9. [外部ユーザーのマッピング方法] パラメーターを [ユーザーのメールアドレスで] に設定します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、証明書のテキストを貼り付けます。
2. Google の SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://{yourDomain}/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Google 認証の構成時に取得したエンティティ ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Google 認証の構成時に取得した SSO URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [ 戻り先 URL] フィールドに、「https://{yourDomain}/identity_ /externalidentity/saml2redirectcallback」と入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、Google 構成時に取得した証明書の値を貼り付けます。
3. Oktaの SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに「https://{yourDomain}/identity_」と入力します。
  5. [ID プロバイダーのエンティティ ID] フィールドに、Okta の構成時に取得した ID プロバイダーの発行者の値を貼り付けます。
  6. [シングルサインオンサービス URL] フィールドに、Okta の構成時に取得した ID プロバイダーのサインオン URL の値を貼り付けます。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [ 戻り先 URL] フィールドに、「https://{yourDomain}/identity_ /externalidentity/saml2redirectcallback」と入力します。
  9. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  10. [署名証明書] フィールドに、Okta 構成時に取得した X.509 証明書の値を貼り付けます。
4. PingOne の SAML を構成するには、以下の手順を実行します。
  1. [有効] チェックボックスをオンにします。
  2. Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
  3. [表示名] フィールドに、このログインオプションのログイン ページに表示するテキストを入力します。
  4. [サービスプロバイダーのエンティティ ID] フィールドに Automation Suite の URL を https://{yourDomain}/identity_ の形式で貼り付けます。
  5. [ID プロバイダーのエンティティ ID] フィールドに、PingOne の構成時に取得した 発行者 ID の値を貼り付けます。
  6. [シングルサインオンサービス URL] パラメーターを、PingOne 構成時に取得したシングルサインオン URL の値に設定します。
  7. [未承諾の認証応答を許可] チェックボックスを選択します。
  8. [ 戻り先 URL] フィールドに、「https://{yourDomain}/identity_ /externalidentity/saml2redirectcallback」と入力します。
  9. [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメールアドレスで] を選択します。
  10. [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
  11. [署名証明書] フィールドに、PingOne 構成時に取得した値を貼り付けます。
[保存] をクリックして変更を保存し、前のページに戻ります。
[SAML SSO] の左側にあるトグルをクリックし、連携を有効化します。
「identity-service-api-*」ポッドを再起動します。外部プロバイダーに変更を加えたら必ず再起動する必要があります。
1. SSH を使用してプライマリサーバーに接続します。
2. 次のコマンドを実行します。
  
  kubectl -n uipath rollout restart deployment identity-service-api

手順 3. オプションの設定

次の構成はオプションであり、一方または両方の高度なセキュリティ機能を使用する場合にのみ必要です。

手順 3.1.カスタムマッピング

ADFS、Google、および Okta は、いずれもメールアドレスを SAML 属性として使用します。このセクションでは、ユーザー名または外部プロバイダーのキーに基づくカスタム SAML マッピングについて説明します。

重要: カスタムマッピング属性を設定すると、システム全体に影響を与えることになります。この設定は、既存の ID プロバイダーのすべてに適用されます。その結果、新しいマッピングが設定されている間は、他のプロバイダー (Azure、Windows) は一切機能しなくなります。

ホストレベルの [ セキュリティ ] ページの [SAML SSO] 設定で、次のパラメーターを設定する必要があります。

外部ユーザーのマッピング方法 - マッピング方法を定義します。次のオプションが利用可能です。
- By user email - メールアドレスが属性として設定されます。これは既定値です。
- By username - ユーザー名を属性として設定します。
- By external provider key - 外部のプロバイダーキーを属性として設定します。
外部ユーザー ID の要求名 - マッピングの ID として使用する要求を定義します。これは、ユーザー名を属性として設定する場合にのみ必要です。