Communications Mining
最新
シングル サインオン - 最新 Automation Cloud
Banner background image
ロゴ
Communications Mining 開発者ガイド
最終更新日 2024年2月8日

シングル サインオン

組織で OpenID Connect シングル サインオン (OIDC SSO) を使用している場合は、これを使用して Communications Mining プラットフォームにログインできます。 SSO ソリューションによって提供されるグループを介して Communications Mining ユーザーの権限を自動化することもできます。 このガイドでは、組織の OpenID プロバイダーを Communications Mining プラットフォームと統合するための要件と、使用可能な機能について詳しく説明します。

このドキュメントは、Communications Mining プラットフォームが提供する SSO 連携について理解したいプロダクト マネージャーやシステム アーキテクト向けの 概要 から始まります。

以降のセクションでは、システム・インテグレーターが OpenID プロバイダーが Communications Mining プラットフォームとユーザー情報を共有するためのリソースを提供します。

現在、Communications Mining では、クライアントが Communications Mining プラットフォームへの SSO アクセスを直接構成する方法を提供していません。 OpenID プロバイダーをセットアップしたら、Communications Mining プラットフォームを OpenID プロバイダーと連携 するために必要な構成 について 、サポートにお問い合わせください 。

シングルサインオンの統合

概要

Communications Mining では、Re:infer の Web アプリ内でユーザーを作成および管理するための完全な機能が既定で提供されています。ただし、多くの組織では「シングル サインオン」(SSO) テクノロジを使用してユーザー アカウントを一元管理し、組織で使用されているさまざまな SaaS 製品 (Communications Mining など) へのアクセスを割り当てる方法が好まれます。Communications Mining でサポートされている SSO プロトコルは、OpenID Connect (OIDC) です。OpenID Connect は OAuth2 認可プロトコルの上位レイヤーであり、OpenID プロバイダーからユーザーのプロファイルに依存する Communications Mining などのサービスにユーザー プロファイルを転送する標準的な方法を提供します (「Relying Party」と呼ばれています)。

組織に対して OIDC SSO が有効化されると、ユーザーは Communications Mining プラットフォーム内で管理されなくなります。 代わりに、Communications Mining プラットフォームにアクセスしようとすると、ユーザーはまず組織の OpenID プロバイダーにリダイレクトされ、そのシステムで認証されます。 その後、OpenID プロバイダーは、Communications Mining がプラットフォーム内にユーザー プロファイルを作成するのに十分な情報を開示します。

その後、Communications Mining は OAuth2 更新トークン を使用して、名前、電子メール、アクセス許可の変更など、OpenID プロバイダーで行われた変更とユーザー プロファイルを同期し続けます。 最終的に、ユーザー プロファイルの更新トークンの有効期限が切れる可能性があります。 これは、ユーザーが OpenID プロバイダーで削除された場合、または単にユーザーが長期間 Communications Mining にアクセスしていないために発生する可能性があります。 更新トークンの有効期限が切れると、Communications Mining プラットフォームは対応するユーザー プロファイルから権限を削除します。 これにより、組織を離れたユーザーが Communications Mining のデータに引き続きアクセスできなくなります。

アクセス許可を同期する

Communications Mining には、 Re:infer Web アプリを介して管理 できる、データ アクセス用の 豊富なユーザー権限モデル が用意されています。

OpenID プロバイダーと統合されると、Communications Mining はオプションで、OpenID プロバイダーが Communications Mining プラットフォームと共有するユーザー グループ メンバーシップからアクセス許可を派生させることができます。 これにより、必要に応じて Communications Mining でのユーザー権限管理プロセスを自動化できます。

この方法でユーザー権限を同期する際に Communications Mining で使用できるモードは 2 つあります。

  • 厳密モード:このモードでは、ユーザー権限はOpenIDプロバイダーのグループメンバーシップによって正確に指定されます。 グループ メンバーシップを更新したら、同期を待って (またはユーザーをログイン/アウトして即時同期を強制し)、Communications Mining プラットフォームでのユーザーの権限を自動的に更新します。
  • 追加モード: 厳密モードと同じですが、同期中に既存のアクセス許可がユーザーから削除されることはありません。 つまり、Re:infer Web アプリを介して、同期時にワイプされることなく追加の権限を付与できます。

これらのモードのいずれかを使用すると、アクセス許可が OpenID プロバイダーから Communications Mining に 10 分以内に同期されることが期待できます。

次の表は、これら 2 つの各モードの利点と欠点、およびアクセス許可の同期を使用しない場合の長所と短所をまとめたものです。

アクセス許可の同期モードADVANTAGESDISADVANTAGES
Strict
完全自動化• 組織内でのロールの変更に応じてユーザーのアクセスを取り消す最も簡単な方法
Re:infer Web アプリでは権限を編集できません
各グループの権限を Communications Mining のサポートで更新する必要があります
添加 物
グループ メンバーシップと Re:infer Web アプリの両方によってユーザーに権限を付与できます。
グループ メンバーシップが取り消されても、ユーザーからアクセス許可は削除されません
各グループによって付与される権限は、Communications Mining のサポートで更新する必要があります
None
ユーザー権限は、Re:infer Web アプリで完全に管理されます
• 自動化なし

シングルサインオンの設定

Communications Mining プラットフォームのシングル サインオンを構成するには、次の手順を実行します。

  1. Communications Mining からのシングル サインオンを受け入れるように OpenID プロバイダーを準備する
  2. Communications Mining プラットフォーム テナントにシングル サインオンの構成を依頼する
  3. シングルサインオン統合をテストする

次のセクションでは、これらのそれぞれについて詳しく説明します。

OpenID プロバイダーを準備する

まず、OpenID プロバイダーで Communications Mining 用の OpenID の「クライアント」を作成する必要があります。 これを行う方法は、プロバイダーごとに異なります。正確な詳細については、OpenID プロバイダーのドキュメントを参照してください。

たとえば、以下はガイドです。

クライアントを構成する際に注意すべき点がいくつかあります。

  • Communications Mining では、OIDC 仕様に記載されている client_secret_post クライアント認証方法が使用されます。 つまり、OpenID プロバイダーで作成するクライアントは、構成のために Communications Mining サポートで必要となる client_idclient_secret の両方を発行する必要があります。
  • Communications Mining は、 認可コード フロー を使用して OpenID プロバイダーと統合します。 OpenID プロバイダーで OAuth2 redirect_urlhttps://<mydomain>.reinfer.io/login/oauth2/callback するように設定されていることを確認する必要があります ( <mydomain>テナント ドメインに置き換えます)。
  • Communications Mining は、認可フローの一環として、OpenID プロバイダーに openidprofileemail のスコープ を要求します。 OpenID プロバイダーで必要な場合は、追加のスコープを要求するように Communications Mining を構成できます。
  • Communications Mining では、 OIDC 仕様に従って、必要なすべての要求が OIDC ID トークンに存在することを想定しています。 仕様に準拠した OpenID プロバイダーは、上記の箇条書きに記載されているスコープの一部としてこれらすべてを提供できることが期待されます。 Communications Mining は、トークンに存在する他の要求も、 該当する場合は ID トークンの検証 に使用します。
  • さらに、Communications Mining では、OIDC ID トークンに次の要求が存在することを想定しています。
    CLAIMDESCRIPTION
    preferred_usernameユーザーの表示名です。
    emailEmail address of the user.
  • Communications Mining では、OpenID プロバイダーが OpenID トークン エンドポイントからの応答の一部として refresh_token を発行する必要があります。このトークンは、Communications Mining と OpenID プロバイダーの間でユーザー プロファイルのバックグラウンド同期を実行するために使用されます。 ユーザーに再度ログインを要求する前に Communications Mining がプロファイルを同期できる期間を最大化するには ( 上記を参照)、更新トークンの有効期限を長い期間 (または無制限) に構成することができます。 この場合、Communications Mining が OpenID プロバイダーに offline_access スコープを要求する必要がある場合があります。
  • OpenID プロバイダー (上記を参照) を介してユーザー アクセス許可を提供する場合は、ID トークンまたはアクセス トークンのいずれかで要求としてユーザー グループの一覧を提供するように OpenID プロバイダーを構成する必要があります。

Communications Mining に必要な構成

注:

OpenID クライアントの資格情報は機密性の高い資料です。 これらは、電子メールよりも安全な方法で受信することをお勧めします。 私たちのサポートチームがあなたがこの転送を手配するのを手伝います。

OpenID プロバイダーで Communications Mining 用のクライアントをセットアップ したら、以下の情報を用意して サポート にお問い合わせください。

  • OpenID client_id
  • OpenID client_secret. これを電子メールで送信しないでください-私たちはあなたからこれを受け取るための安全な方法を手配します。
  • OpenID プロバイダーの HTTPS エンドポイント (別名 issuer)。
  • 権限を同期する場合:
    • ユーザー グループのリストを含む要求の (ID トークンまたはアクセス トークン内の) 場所。 (これは、OpenID プロバイダーの構成に完全に依存します (たとえば、 id_token / rolesaccess_token / resource_access / reinfer.io、またはその他のパスなど)。 この要求を含むスコープが既定のスコープに含まれていない場合は、既定のスコープ (常に要求される) に加えて要求できるように、スコープの名前を指定してください。
    • 厳密なアクセス許可同期と追加のアクセス許可同期のどちらを使用するか。
    • ユーザーが所属できるグループと、それらのグループを Communications Mining の権限にどのようにマップするか。 このマッピングの設計をお手伝いします。

メールが届きましたら、合意したとおりに組織の SSO 構成の設定を行います。

シングルサインオン構成のテスト

UiPath はお客様から希望する構成を受け取ったら、Communications Mining の観点からはすべてが正しく設定されているように努めます。 シングルサインオンを介してログインすることはできないため、セットアップを確認するためにあなたと協力する必要があります。

以下は、私たちがあなたと一緒にテストすることのいくつかです:

  • 組織の Communications Mining テナント ドメイン (例: https://example.reinfer.io)、OpenID プロバイダーにリダイレクトされてログインします。
  • OpenID プロバイダーでログインすると、Communications Mining にリダイレクトされます。
  • ユーザー プロファイルが [アカウントの管理] ページで期待どおりに同期されていることを確認する必要があります。
  • アクセス許可を同期する場合は、さまざまなユーザーに対して、必要なアクセス許可を持っているかどうかをテストする必要があります。 (各ユーザーについて、そのユーザーとしてログインすると、[ アカウントの管理] ページで アクセス許可を確認できます)。

FAQ とトラブルシューティング

ガイドのこのセクションでは、シングル サインオンのセットアップが正しく構成されていない場合に問題が発生する可能性があるものと、問題を解決するために必要な情報について説明します。 あなたに関連するトピックに先にジャンプしてください。

Communications Mining が OpenID プロバイダーにリダイレクトされない

組織で Communications Mining 用にシングル サインオンが構成されている場合、 https://<mydomain>.reinfer.io に移動すると、組織の OpenID プロバイダーに自動的にリダイレクトされます ( <mydomain>テナント ドメインに置き換えます)。

これが発生しない場合は、Communications Mining 認証システムが OpenID プロバイダーとのサインオン プロセスを開始できなかったことを意味します。 サポートにお問い合わせください。UiPath のサービス ログを使用して、Communications Mining プラットフォームと OpenID プロバイダー間の不整合な構成を特定できます。

OpenID プロバイダーが、Communications Mining からリダイレクトされた後にエラーが報告される

Communications Mining が OpenID プロバイダーに正常にリダイレクト した が、OpenID プロバイダーにログイン画面ではなくエラーが表示される場合は、Communications Mining プラットフォームと OpenID プロバイダーの間の構成がずれていることも示唆されています。

OpenID プロバイダーの準備に関する 上記のセクション をもう一度参照してください。 OpenID プロバイダーの構成を担当する組織内のメンバーは、エラーの診断と構成ミスの解決を支援できる必要があります。

OpenID プロバイダーが Communications Mining にリダイレクトした後に、Communications Mining でエラーが報告される

OpenID プロバイダーでサインオンを完了できる場合は、Communications Mining プラットフォームにリダイレクトされ、サインオン プロセスが完了します。 この時点でエラー・メッセージが表示され、サインオンが完了しない場合は、OpenID プロバイダーが Communications Mining プラットフォームが サインオンを完了するために必要なすべての情報を提供していないことを示しています。

サポートにお問い合わせください - サービスログを使用して問題を特定し、お客様と協力して解決することができます。

アクセス許可が OpenID プロバイダーから Communications Mining に同期されない

サインオン プロセスが正しく機能する場合は、アクセス許可の同期も問題なく機能することが期待されます。 OpenID プロバイダーで行われたユーザー プロファイルとアクセス許可の変更は、Communications Mining プラットフォームに同期するのに最大 10 分かかる場合があります。

すぐに同期を強制する場合、問題のユーザーは Communications Mining プラットフォームからログアウトしてから、再度ログインする必要があります。

Support and Services icon
サポートを受ける
UiPath Academy icon
RPA について学ぶ - オートメーション コース
UiPath Forum icon
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.