Orchestrator
v2023.4
Configuring the Active Directory Integration - Standalone 2023.4
Banner background image
ロゴ
Orchestrator ユーザー ガイド
最終更新日 2023年12月6日

Active Directory との連携を構成する

注: この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。
重要:

前提条件

  1. Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。

  2. Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。

  3. If you plan on using LDAP over SSL (LDAPS), you must obtain and install certificates for configuring secure LDAP on each domain controller. For more information and instructions, see the article LDAP over SSL (LDAPS) Certificate .

連携オプションについて

When users log in to Orchestrator with their Active Directory credentials, Orchestrator uses the Kerberos protocol to authenticate users.

Active Directory 環境では、ディレクトリ サービスに対するセキュリティで保護された接続として、LDAPS が一般的に使用されます。LDAPS のサポート状況は、使用される認証メカニズムによって異なります。

認証メカニズム

LDAPS のサポート

ユーザー名とパスワード (利用不可)

N/A

Kerberos 認証

サポート対象

手順 1: Orchestrator クラスターを構成する

マルチノード クラスターの要件

  • クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
  • Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。

ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。

  1. IIS (Internet Information Services Manager) を開きます。
  2. IIS の左側の [接続] パネルで [アプリケーション プール] をクリックします。
  3. [ID] > [詳細設定] > [プロセス モデル] > [ID] に移動します。
  4. [アプリケーション プール ID] ダイアログで [カスタム アカウント] を選択し、ドメイン修飾されたユーザー アカウントを指定します。
  5. [OK] をクリックして変更を適用します。
  6. IIS を終了します。


SPN の設定

Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。

以下を実行している場合は、この手順が必要になります。

  • カスタム ID を定義するために必要なマルチノード クラスター
  • マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター

以下の場合、この手順は不要です。

  • ロード バランサーを使用せずにシングルノード クラスターを実行している場合
  • カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

  1. コマンド プロンプトを開きます。
  2. cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
  3. コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
    • HTTP/<hostname> - Orchestrator インスタンスがアクセスできる URL です。
    • <domain account> - Orchestrator アプリケーション プールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する

注: マルチノード インストールを行った場合は、各クラスター ノードで IIS 構成を実行する必要があります。
  1. IIS (Internet Information Services Manager) を開きます。
  2. [接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
  3. メイン パネルで、[認証] をダブルクリックして詳細を表示します。
  4. [Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。
    注: Windows 認証がまだ有効化されていない場合は、有効化して、以下の手順を続行します。
  5. 左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。


  6. [構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
  7. [useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する

  1. 管理ポータルにシステム管理者としてログインします。
  2. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。


    画面右に [Active Directory を設定] パネルが開きます。

  4. [有効] チェック ボックスをオンにします。
  5. ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。

    すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。

  6. 必要に応じて [表示名] フィールドの値を編集し、ログイン ページに表示される Windows 認証ボタンのラベルをカスタマイズします。
  7. IIS サイトを再起動します。外部プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する

これで連携が構成されました。Active Directory の資格情報を使用してテスト ログインを実行し、Kerberos プロトコルがログインに使用されることを確認することをお勧めします。

  1. Active Directory の資格情報で Orchestrator にログインして、ログイン イベントを作成します。

    ログインした時刻をメモします。

  2. Windows でイベント ビューアーを開きます。
  3. [Windows ログ] > [セキュリティ] に移動します。
  4. セキュリティ イベントのリストで以下のエントリを探します。
    • イベント ID: 4624
    • 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
  5. 行をダブルクリックして、[イベント プロパティ] ダイアログを開きます。
  6. [全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。


    Kerberos 認証が使用された場合:

    • [認証パッケージ] の値は [Negotiate] となります。
    • [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。
注: Google Chrome シークレット モードでは、ブラウザーにより資格情報が求められ、資格情報を使用した明示的な認証が行われます。このフローが実行されると、Kerberos が使用されます。
Support and Services icon
サポートを受ける
UiPath Academy icon
RPA について学ぶ - オートメーション コース
UiPath Forum icon
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.