Active Directory との連携を構成する

Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、Orchestrator からディレクトリアカウントやグループを検索して、それらをローカルアカウントと同じように扱うことができます。

注:

この連携を有効化すると、ローカルユーザーアカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメールアドレスを使用しなければならなくなります。

重要:

前提条件

Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメインコントローラーで LDAP ポート 389 にアクセスできる必要があります。
Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。

連携オプションについて

ユーザーが Active Directory の資格情報を使用して Orchestrator にログインすると、Orchestrator は Kerberos プロトコルを使用してユーザーを認証します。

手順 1. Orchestrator クラスターを設定する (Kerberos のみ)

認証に Kerberos プロトコルを使用しない場合は、次の手順に進んでください。

マルチノードクラスターの要件

クラスター内のノードは、ロードバランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロードバランサーのホスト名を使用してください。
Orchestrator アプリケーションプールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメインアカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノードクラスターを実行している場合、またはロードバランサーを使用するシングルノードクラスターを実行している場合にのみ必要です。

ロードバランサーを使用しないシングルノードクラスターの場合、この手順は任意です。

IIS (Internet Information Services Manager) を開きます。
IIS の左側の [接続] パネルで [アプリケーションプール] をクリックします。
[ID] > [詳細設定] > [プロセスモデル] > [ID] に移動します。
[アプリケーションプール ID] ダイアログで [カスタムアカウント] を選択し、ドメイン修飾されたユーザーアカウントを指定します。
[OK] をクリックして変更を適用します。
IIS を終了します。

SPN の設定

Orchestrator アプリケーションプールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。

以下を実行している場合は、この手順が必要になります。

カスタム ID を定義するために必要なマルチノードクラスター
マルチノードクラスターと同じように扱われる、ロードバランサーを使用するシングルノードクラスター

以下の場合、この手順は不要です。

ロードバランサーを使用せずにシングルノードクラスターを実行している場合
カスタム ID を使用することにしたが、カスタム ID としてクラスターコンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

コマンドプロンプトを開きます。
cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
- HTTP/<hostname> - Orchestrator インスタンスがアクセスできる URL です。
- <domain account> - Orchestrator アプリケーションプールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する

注: マルチノードインストールを行った場合は、各クラスターノードで IIS 構成を実行する必要があります。

IIS (Internet Information Services Manager) を開きます。
[接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
メインパネルで、[認証] をダブルクリックして詳細を表示します。
[Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。

注: Windows 認証がまだ有効化されていない場合は、有効化して、以下の手順を続行します。
左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。
[構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
[useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する

管理ポータルにシステム管理者としてログインします。
[セキュリティ] に移動し、[認証設定] タブが表示されていることを確認します。
[Active Directory] オプションを有効化し、[編集] をクリックして設定します。

[AD SSO の構成] ウィンドウが開きます。
ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。

すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。
認証に Kerberos プロトコルを使用する場合は、[Kerberos 認証を使用] チェックボックスをオンにします。
Kerberos の使用をお勧めします。
- このオプションを選択すると、ユーザーは資格情報を入力する必要なく Orchestrator に自動的にサインインされます。
- このオプションを選択しないと、既定の NTLM プロトコルが使用され、ユーザーはログインするのに Active Directory の資格情報を入力する必要があります。
必要に応じて [表示名] フィールドの値を編集し、ログインページに表示される Windows 認証ボタンのラベルをカスタマイズします。
IIS サイトを再起動します。外部 ID プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する

これで連携が設定されました。Active Directory の資格情報を使用してテストログインを実行し、選択した認証プロトコル (NTLM または Kerberos) のログインへの使用を確認することをお勧めします。

Active Directory の資格情報で Orchestrator にログインして、ログインイベントを作成します。

ログインした時刻をメモします。
Windows でイベントビューアーを開きます。
[Windows ログ] > [セキュリティ] に移動します。
セキュリティイベントのリストで以下のエントリを探します。
- イベント ID: 4624
- 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
行をダブルクリックして、[イベントプロパティ] ダイアログを開きます。
[全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。
Kerberos 認証が使用された場合:
- [認証パッケージ] の値は [Negotiate] となります。
- [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。