Test Cloud (プライベート) 管理ガイド

Active Directory との連携を構成する

link

• ディレクトリ検索では、外部の信頼できるドメインからのユーザーは検索されません。外部の信頼できる機関と相互に信頼できる機関がないため、この機能はサポートされていません。
• Windows 認証は Test Cloud (プライベート) で Kerberos プロトコルを使用するため、Windows ログインはドメインに参加しているマシンでのみ使用できます。

1. Kerberos 認証
2. ユーザー名とパスワード

a. Kerberos の構成 (推奨)​

1. 「Kerberos 認証を設定する」の指示に従って、Kerberos 認証を構成します。
2. ホスト ポータルにシステム管理者としてログインします。
3. 左側のペインの上部にある [ホスト ] が選択されていることを確認し、[ セキュリティ] を選択します。
4. [ Active Directory] で [ 構成] を選択します。
   • (任意) Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。これは、プロバイダーとの連携が正常に検証されていて、ロックアウトが防止されている場合にのみ行ってください。
   • [Kerberos 認証を使用] チェックボックスは、オンのままにします。
   • [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
5. [ 保存 ] を選択して変更を保存し、前のページに戻ります。
6. [Active Directory] の左側にあるトグルを選択し、連携を有効化します。
7. identity-service-api-* ポッドを再起動します。
   1. SSH を使用してプライマリ サーバーに接続します。
   2. 次のコマンドを実行します。kubectl -n uipath rollout restart deployment identity-service-api

以前の管理エクスペリエンス​

1. 「Kerberos 認証を設定する」の指示に従って、Kerberos 認証を構成します。
2. ホスト ポータルにシステム管理者としてログインします。
3. [セキュリティ設定] に移動します。
4. [外部プロバイダー] セクションの [Active Directory] で [設定] を選択します。
   • 連携を有効化するには、[有効] チェックボックスをオンにします。
   • Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。:fa-warning: これは、プロバイダーとの連携が正常に検証されていて、ロックアウトが防止されている場合にのみ行ってください。
   • [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
   • [Kerberos 認証を使用] チェックボックスは、オンのままにします。
5. [ テストして保存 ] を選択して変更を保存します。
6. identity-service-api-* ポッドを再起動します。
   1. SSH を使用してプライマリ サーバーに接続します。
   2. 次のコマンドを実行します。kubectl -n uipath rollout restart deployment identity-service-api

b. ユーザー名とパスワードの設定​

b.1.LDAPS を使用するための前提条件​

1. LDAPS の SSL 証明書を取得して各ドメイン コントローラーにインストールします。

   詳細と手順については、「 LDAP over SSL (LDAPS) Certificate (SSL 経由の LDAP (LDAPS) 証明書)」のページをご覧ください。

2. 次のコマンドを実行して、ルート証明書を Base64 でエンコードします。

   assignment

   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
   

3. エンコードされたルート証明書を ArgoCD に追加します。

   1. ArgoCD にログインします。
   2. uipath アプリケーションを選択し、移動します。
   3. 左上隅の [ APP DETAILS] を選択します。
   4. [PARAMETERS] セクションで、global.userInputs.certificate.identity.ldaps.customRootCA パラメーターを検索します。
   5. パラメーターの値を、前に取得したエンコードされたコンテンツに更新します。
   6. 保存します。
   7. [SYNC] を選択して変更を適用します。

b.2.Active Directory の構成​

1. ホスト ポータルにシステム管理者としてログインします。
2. 左側のペインの上部にある [ホスト ] が選択されていることを確認し、[ セキュリティ] を選択します。
3. [ Active Directory] で [ 構成] を選択します。
   • Active Directory アカウントを使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
   • [Kerberos 認証を使用] チェックボックスをオフにします。
   • (任意ですが強く推奨) [SSL 経由の LDAP (LDAPS) を使用] チェックボックスをオンにします。
   • [表示名] フィールドに、このサインイン オプションのログイン ページに表示する名前を入力します。
   • [既定のドメイン] フィールドに、Active Directory (AD) の完全修飾ドメイン名 (FQDN) を入力します。
   • [ユーザー名] フィールドに、Active Directory ユーザーのユーザー名を入力します。DOMAIN\username の形式である必要があります。例: TESTDOMAIN\user1
   • [ユーザー パスワード] フィールドに、AD アカウントのパスワードを入力します。
4. [ テストして保存 ] を選択して変更を保存し、前のページに戻ります。
5. [Active Directory] の左側にあるトグルを選択し、連携を有効化します。
6. identity-service-api-* ポッドを再起動します。
   1. SSH を使用してプライマリ サーバーに接続します。
   2. 次のコマンドを実行します。kubectl -n uipath rollout restart deployment identity-service-api

前提条件​

Automation Suite クラスターを構成する​

重要​

1. ArgoCD に移動し、管理者としてログインします。

2. 「uipath」アプリケーションを選択し、移動します。

3. 左上隅にある [APP DETAILS ] を選択します。

4. [PARAMETERS] セクションで、global.kerberosAuthConfig.userKeytab パラメーターを検索します。

   既定では、このパラメーターにはプレースホルダー値が設定されています。

5. パラメーターのプレースホルダー値を <KERB_DEFAULT_KEYTAB> で更新して保存します。

6. [ SYNC ] を選択して変更を適用します。

7. 正常に同期されたら、次のコマンドを実行して Identity Server を再起動します。

   kubectl -n uipath rollout restart deployment identity-service-api

Microsoft Internet Explorer​

Microsoft Edge​

Google Chrome​

1. [ツール] > [インターネット オプション] > [セキュリティ] に移動します。

2. [ローカル イントラネット] を選択します。

3. [ サイト] を選択します。

4. [イントラネットのネットワークを自動的に検出する] が選択されているか、すべてのオプションが選択されていることを確認します。

5. [ 詳細設定] を選択します。

6. Automation Suite の FQDN を [ローカル イントラネット] に追加します。

7. [ 閉じる ] と [ OK] を選択します。

8. [ On Custom Level] を選択します。

9. 必要に応じて、[ユーザー認証] の下にある [イントラネット ゾーンでのみ自動的にログオンする] を選択します。

   選択した場合、ブラウザーがリダイレクト認証要求を受信すると、要求の送信元がチェックされます。ドメインまたは IP がイントラネットに属している場合、ブラウザーがユーザー名とパスワードを自動的に送信します。イントラネットに属していない場合は、ブラウザーにユーザー名とパスワードの入力ダイアログが開かれ、手動で入力する必要があります。

10. 必要に応じて、[ユーザー認証] の下にある [現在のユーザー名とパスワードで自動的にログオンする] を選択します。

    選択した場合、ブラウザーがリダイレクト認証要求を受信すると、ユーザー名とパスワードがサイレント モードで送信されます。認証結果が成功の場合、ブラウザーは元の動作を続行します。認証に失敗した場合は、ブラウザーにユーザー名とパスワードの入力ダイアログが開かれ、成功するまでリトライされます。

11. [インターネット オプション] > [詳細設定] タブの [セキュリティ] セクションの下で、[統合 Windows 認証を使用する] が選択されていることを確認します。

Mozilla Firefox​

1. ブラウザーの設定ウィンドウを開きます。
2. アドレス バーに「about:config」と入力します。
3. Kerberos 認証を使用する Automation Suite の FQDN を指定します。
   1. 「network.negotiate」という用語を検索します。
   2. Kerberos で次を有効化し、設定します。network.negotiate-auth.delegation-uris (値の例: uipath-34i5ui35f.westeurope.cloudapp.azure.com)、network.negotiate-auth.trusted-uris (値の例: uipath-34i5ui35f.westeurope.cloudapp.azure.com)、network.negotiate-auth.allow-non-fqdn (値: true)

1. 組織管理者としてログインします。

2. Active Directory ユーザーまたはグループに組織レベルのロールを割り当てます。これは検索から選択できます。

3. Windows 認証でのログインを許可するユーザーごとに、前の手順を繰り返します。

   ロールを割り当てたユーザーは、Active Directory アカウントを使用して UiPath の組織にログインできます。 ドメインに参加しているマシンからログインする必要があります。

トラブルシューティング​

1. Windows マシンはドメインに参加していますか? 該当するマシンで、[コントロール パネル] > [システムとセキュリティ] > [システム] に移動し、ドメインが表示されているかどうかを確認します。ドメインが表示されていない場合は、マシンをドメインに追加します。Kerberos プロトコルで Windows 認証を使用するには、マシンがドメインに参加している必要があります。

2. 同じ資格情報で Windows マシンにログインできますか? できない場合は、システム管理者にヘルプを依頼してください。

3. Microsoft Edge 以外のブラウザーを使用していますか? Microsoft Edge 以外のサポート対象ブラウザーでは、追加の設定が必要です。

4. keytab の設定を確認します。

   1. keytab の生成後、Active Directory サーバーでは、Active Directory ユーザーのプロパティ (servicePrincpalName) が HTTP/<Service Fabric FQDN> の形式になっている必要があります (例: HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com)。
   2. Active Directory のユーザー アカウントに対して [ このアカウントは Kerberos AES 256 ビット暗号化をサポートしています 。] オプションを選択する必要があります。この設定が不適切な場合は、identity-service-api ログに次のように表示されます。
      assignment

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
      GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
      

5. 使用しているドメイン内で複数の Active Directory を設定している場合、認証は失敗し、identity-service-api ログに次のように表示されます。

   assignment

   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
   

   この場合、認証用に作成したマシン アカウントがすべての Active Directory に複製されていることを確認します。

6. ktpass を実行してユーザー アカウントに新しいパスワードを割り当てると、キーのバージョン (kvno) が増加し、古い keytab が無効になります。identity-service-api ログには、次のように表示されます。

   assignment

   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
   

   この場合、ArgoCD で krb5KeytabSecret を更新する必要があります。

7. identity-service-api ポッドで次のエラーが発生した場合、

   assignment

   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
   

   1. この場合はまず、ArgoCD で global.userInputs.identity.krb5KeytabSecret パラメーターを指定したかどうかを確認します。 このパラメーターが存在する場合は、keytab の生成に使用した Active Directory ユーザーの資格情報で Windows マシンにログインできるかどうかを確認します。パスワードが変更されたか、有効期限が切れている場合は、keytab を再生成する必要があります。
   2. この問題の原因としてもう 1 つ考えられるのは、以前に ArgoCD が不適切に同期されていたことです。この問題を修正するには、既存の global.userInputs.identity.krb5KeytabSecret を削除して ArgoCD を同期します。操作が成功したら global.userInputs.identity.krb5KeytabSecret を更新し、再度同期します。

8. ブラウザーで、期待される SPN を使用していますか?

   指示に従って Kerberos イベント ログを有効化した場合、Kerberos イベント ログに KDC_ERR_S_PRINCIPAL_UNKNOWN エラーが表示されます。この問題の詳細については、Microsoft のドキュメントをご覧ください。