- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- ホストの管理
- Identity Server
- 認証
- 組織管理者
- その他の構成
- Integrations
- クラシック ロボット
- トラブルシューティング
Active Directory との連携を構成する
-
この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が
user@domain
という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりにuser@domain
という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。 -
Orchestrator を v2020.4 以降のバージョンに更新する場合、Identity Server は、以前の設定を移行します。以前に Windows 認証を有効化し、同時に Windows AD ユーザーの自動ログインを設定していた場合、アップグレードを実行すると、以前に Identity Server にログインしていたユーザーは、[外部プロバイダー] ページにアクセスできなくなります。これらのユーザーは、各自の Windows 資格情報を入力すると、テナントに直接ログインされます。
ホスト管理者は [ログイン] ページにアクセスできず、ホスト テナントにログインできません。また、ID 管理ポータルにアクセスすることもできません。
この問題が発生した場合は、シークレット モードでブラウザーを開いて「https://<OrchestratorURL>/identity/configuration
」のような URL を入力してください。
前提条件
-
Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。
-
Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。
-
SSL 経由の LDAP (LDAPS) を使用する予定の場合は、セキュリティで保護された LDAP を各ドメイン コントローラーで設定するための証明書を取得してインストールする必要があります。詳細と手順については、「LDAP over SSL (LDAPS) Certificate (SSL 経由の LDAP (LDAPS) 証明書)」のページをご覧ください。
ユーザーが Active Directory の資格情報を使用して Orchestrator にログインすると、Orchestrator は Kerberos プロトコルを使用してユーザーを認証します。
マルチノード クラスターの要件
- クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
- Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。
この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。
ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。
Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。
以下を実行している場合は、この手順が必要になります。
- カスタム ID を定義するために必要なマルチノード クラスター
- マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター
以下の場合、この手順は不要です。
- ロード バランサーを使用せずにシングルノード クラスターを実行している場合
- カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合
対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。