orchestrator
2023.10
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
UiPath logo, featuring letters U and I in white
Orchestrator ユーザー ガイド
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年11月11日

Active Directory との連携を構成する

Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、Orchestrator からディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

注:
この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。
重要:

前提条件

  • Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。
  • Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。
  • SSL 経由の LDAP (LDAPS) を使用する予定の場合は、セキュリティで保護された LDAP を各ドメイン コントローラーで設定するための証明書を取得してインストールする必要があります。詳細と手順については、Microsoft の Web サイトで「LDAP over SSL (LDAPS) Certificate (SSL 経由の LDAP (LDAPS) 証明書)」のページをご覧ください。

連携オプションについて

ユーザーが Active Directory の資格情報を使用して Orchestrator にログインすると、Orchestrator は Kerberos プロトコルを使用してユーザーを認証します。

手順 1. Orchestrator クラスターを設定する (Kerberos のみ)

認証に Kerberos プロトコルを使用しない場合は、次の手順に進んでください。

マルチノード クラスターの要件

  • クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
  • Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。

ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。

  1. IIS (Internet Information Services Manager) を開きます。
  2. IIS の左側の [接続] パネルで [アプリケーション プール] をクリックします。
  3. [ID] > [詳細設定] > [プロセス モデル] > [ID] に移動します。
  4. [アプリケーション プール ID] ダイアログで [カスタム アカウント] を選択し、ドメイン修飾されたユーザー アカウントを指定します。
  5. [OK] をクリックして変更を適用します。
  6. IIS を終了します。


SPN の設定

Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。

以下を実行している場合は、この手順が必要になります。

  • カスタム ID を定義するために必要なマルチノード クラスター
  • マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター

以下の場合、この手順は不要です。

  • ロード バランサーを使用せずにシングルノード クラスターを実行している場合
  • カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

  1. コマンド プロンプトを開きます。
  2. cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
  3. コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
    • HTTP/<hostname> - Orchestrator インスタンスがアクセスできる URL です。
    • <domain account> - Orchestrator アプリケーション プールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する

注: マルチノード インストールを行った場合は、各クラスター ノードで IIS 構成を実行する必要があります。
  1. IIS (Internet Information Services Manager) を開きます。
  2. [接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
  3. メイン パネルで、[認証] をダブルクリックして詳細を表示します。
  4. [Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。
    注: Windows 認証がまだ有効化されていない場合は、有効化して、以下の手順を続行します。
  5. 左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。


  6. [構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
  7. [useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する

  1. 管理ポータルにシステム管理者としてログインします。
  2. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。


    画面右に [Active Directory を設定] パネルが開きます。

  4. [有効] チェック ボックスをオンにします。
  5. ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。

    すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。

  6. 認証に Kerberos プロトコルを使用する場合は、[Kerberos 認証を使用] チェックボックスをオンにします。

    Kerberos の使用をお勧めします。

    • このオプションを選択すると、ユーザーは資格情報を入力する必要なく Orchestrator に自動的にサインインされます。
    • このオプションを選択しないと、既定の NTLM プロトコルが使用され、ユーザーはログインするのに Active Directory の資格情報を入力する必要があります。
  7. 必要に応じて [表示名] フィールドの値を編集し、ログイン ページに表示される Windows 認証ボタンのラベルをカスタマイズします。
  8. IIS サイトを再起動します。外部プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する

これで連携が設定されました。Active Directory の資格情報を使用してテスト ログインを実行し、選択した認証プロトコル (NTLM または Kerberos) のログインへの使用を確認することをお勧めします。

  1. Active Directory の資格情報で Orchestrator にログインして、ログイン イベントを作成します。

    ログインした時刻をメモします。

  2. Windows でイベント ビューアーを開きます。
  3. [Windows ログ] > [セキュリティ] に移動します。
  4. セキュリティ イベントのリストで以下のエントリを探します。
    • イベント ID: 4624
    • 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
  5. 行をダブルクリックして、[イベント プロパティ] ダイアログを開きます。
  6. [全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。


    Kerberos 認証が使用された場合:

    • [認証パッケージ] の値は [Negotiate] となります。
    • [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。

Google Chrome シークレット モードでは、ブラウザーにより資格情報が求められ、資格情報を使用した明示的な認証が行われます。このフローが実行されると、Kerberos が使用されます。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.