- 基本情報
- ホストの管理
- 組織
- テナントとサービス
- 認証とセキュリティ
- ライセンス
- アカウントとロール
- 組織でのテスト
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
Test Cloud (プライベート) 管理ガイド
SAML 2.0 認証プロトコルをサポートする ID プロバイダーを使用して、SSO を有効化できます。
概要
SAML SSO の有効化は多段階のプロセスであり、以下の構成を完了する必要があります。
- UiPath Platform をサービス プロバイダーとして認識するように ID プロバイダーを設定します。
- UiPath Platform をサービス プロバイダーとして設定し、ID プロバイダーを認識して信頼するようにします。
- ID プロバイダーから SAML 2.0 プロトコルを使用して SSO でログインできるよう、ユーザーを組織にプロビジョニングします。
手順 1. ID プロバイダーを構成する
UiPath は複数の ID プロバイダーをサポートしています。
このセクションでは、特定の構成を見つけ、以下の ID プロバイダーそれぞれの証明書を取得する方法について説明します。
- ADFS
- Okta
- PingOne
A. ADFS を構成する
マシンを ADFS 対応に設定し、ADFS Management ソフトウェアにアクセスできることを確認します。必要に応じて、システム管理者と連携します。
次に示す手順は、 設定の一例のおおまかな説明です。詳細な手順については、 ADFS のドキュメントをご覧ください。
-
ADFS Management を開き、次のように Orchestrator の新しい証明書利用者信頼を定義します。
- [ 証明書利用者信頼] を選択します。
- [ 操作 ] パネルで、[ 証明書利用者信頼の追加] を選択します。[ 証明書利用者信頼の追加ウィザード ] が表示されます。
- [ようこそ] セクションの [要求に対応する] を選択します。
- [データ ソースの選択] セクションで、[証明書利用者についてのデータを手動で入力する] オプションを選択します。
- [表示名の指定] セクションの [表示名] フィールドに Orchestrator インスタンスの URL を挿入します。
- [証明書の構成] セクションは、特定の設定を変更する必要はなく、表示されている値のままにします。
- [URL の構成] セクションの [SAML 2.0 Web SSO プロトコルのサポートを有効化する] を選択します。
- [ 証明書利用者 SAML 2.0 SSO サービス URL ] フィールドに、Automation Suite インスタンスの Identity のベース URL にサフィックス
/Saml2/Acsを追加したものを入力します。たとえば、https://{yourDomain}/{organizationName}/identity_です。 - [識別子の構成] セクションの [証明書利用者信頼の識別子] フィールドに、Identity のベース URL を入力します (例:
https://{yourDomain}/{organizationName}/identity_)。 - [アクセス制御ポリシーの選択] セクションで、アクセス制御ポリシーとして [すべてのユーザーを許可] が選択されていることを確認します。
- [信頼の追加の準備完了] と [完了] に特定の設定は必要ないため、そのままにしてください。
新たに追加された利用者信頼が [ 証明書利用者信頼 ] ウィンドウに表示されます。12. [アクション ] > [プロパティ ] > [エンドポイント ] に移動し、[ バインド ] に [POST] が選択されていること、および [信頼された URL を既定として設定する ] チェックボックスがオンになっていることを確認します。
エンドポイントのバインドが Post であることが必要です。リダイレクトなどのその他のバインドは、ADFS がリダイレクト アサーションに署名しないため、UiPath® と互換性がありません。13.[アクション] > [プロパティ] > [識別子] に移動し、Identity のベース URL が存在することを確認します (
https://{yourDomain}/{organizationName}/identity_)。 -
証明書利用信頼を選択して、[アクション] パネルから [要求発行ポリシーの編集] を選択します。
[要求発行ポリシーの編集] ウィザードが表示されます。
-
[ 規則の追加 ] を選択し、[ LDAP 属性を要求として送信 ] テンプレートを使用して新しい規則を作成します。以下の設定を、下表のとおりに設定します。
LDAP 属性 出力方向の要求の種類 E-Mail-Addresses 電子メール アドレス User-Principal-Name 名前 ID -
ADFS の設定が終わったら、管理者として PowerShell を開き、次のコマンドを実行します。
-
Set-ADFSRelyingPartyTrust -TargetName "DISPLAYNAME" -SamlResponseSignature MessageAndAssertionDISPLAYNAMEは、手順 1.e で設定した値に置き換えます。 -
Restart-Service ADFSSRVです。
-
B. Google を構成する
次に示す手順は、 設定の一例のおおまかな説明です。詳細な手順については、 Google のドキュメントをご覧ください。
-
管理コンソールに管理者としてログインし、[アプリ] > [ウェブアプリとモバイルアプリ] の順に移動します。
-
[ アプリを追加 ] を選択し、[ カスタム SAML アプリを追加] を選択します。
-
[アプリの詳細] ページで、Automation Suite インスタンスの名前を入力します。
-
[Google ID プロバイダの詳細] ページで、後で使用するために以下をコピーし、保存します。
- SSO URL
- エンティティ ID
-
証明書をダウンロードし、テキスト エディターで開き、手順 2 のセットアップの次の部分の値をコピーして保存します。Automation Suite を構成する
-
[サービス プロバイダの詳細] ページで、以下を入力します。
- ACS の URL:
https://{yourDomain}/{organizationName}/identity_/Saml2/Acs - エンティティ ID:
https://{yourDomain}/{organizationName}/identity_
- ACS の URL:
-
[属性マッピング] ページで、以下のマッピングを指定します。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
この要求では大文字と小文字が区別されることに注意してください。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
-
SAML アプリを設定したら、Google 管理コンソールの Automation Suite SAML アプリの [ユーザー アクセス ] に移動し、[ すべてのユーザーに対してオン] を選択します。
C. Okta を構成する
次に示す手順は、 設定の一例のおおまかな説明です。詳細な手順については、 Okta のドキュメントをご覧ください。
-
Okta 管理コンソールにログインし、[アプリケーション] > [アプリケーション] に移動します。[アプリ統合を作成] を選択し、サインオン方法として [SAML 2.0] を選択します。
-
[General Settings] ページで、Automation Suite インスタンスの名前を指定します。
-
[Configure SAML] ページの [General] セクションに入力します。
例:
- シングルサインオン URL: Identity のベース URL +
/Saml2/Acsです。たとえば、https://{yourDomain}/{organizationName}/identity_/Saml2/Acsです。 - [Use this for Recipient URL and Destination URL] チェックボックスをオンにします。
- Audience URI (オーディエンス URL):
https://{yourDomain}/{organizationName}/identity_ - Name ID Format (名前 ID 形式): EmailAddress (メール アドレス)
- Application Username (アプリケーションのユーザー名): Email (メール アドレス)
- シングルサインオン URL: Identity のベース URL +
-
[Attribute Statements] セクションで、以下のように入力します。
- [名前] フィールドに「
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress」と入力します。このクレームでは大文字と小文字が区別されることに注意してください。 - [Value] リストから [user.email] を選択します。
- [名前] フィールドに「
-
[Feedback] セクションで、適切なオプションを選択します。
-
[完了] を選択します。
-
[ Sign On (サインオン )] タブの [Settings (設定 )] セクションで、[ View Setup Instructions (設定手順を表示)] を選択します。
ステップ 2 のセットアップの次の部分を完了するために必要な手順を含む新しいページにリダイレクトされます 。Automation Suite を構成します。
- ID プロバイダーのサインオン URL
- ID プロバイダーの発行者
- X.509 証明書
-
ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。
- [Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
- [Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。新たに追加されたユーザーが [People] タブに表示されます。
D. PingOne を構成する
次に示す手順は、設定の一例のおおまかな説明です。詳細な手順については、 PingOne のドキュメント をご覧ください。
- 次のような設定で、PingOne に SAML を使用して接続する Web アプリケーションを追加します。
- [Configure SAML Connection] ページで [Manually Enter] を選択し、以下を入力します。
- ACS URL: 大文字と小文字を区別する Identity のベース URL +
/Saml2/Acsです。例:https://{yourDomain}/{organizationName}/identity_ - エンティティ ID:
https://{yourDomain}/{organizationName}/identity_ - SLO binding: HTTP Redirect
- Assertion Validity Duration: 有効期間の秒数を入力します。
- ACS URL: 大文字と小文字を区別する Identity のベース URL +
- [Map Attributes] ページで、次の属性をマップします。
- [Configure SAML Connection] ページで [Manually Enter] を選択し、以下を入力します。
メール アドレス = http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressこのクレームでは大文字と小文字が区別されることに注意してください。2. [Connections > Applications ] ページで、作成したアプリケーションを見つけ、ボックスの右端にある アイコンを選択して詳細を表示します。3. [プロファイル ] タブから、設定の次の部分 (ステップ 2 で詳しく説明します) のために次の値をコピーして保存します。
- クライアント ID
- ホーム ページの URL
- アプリケーションのセットアップ時にダウンロードしなかった場合は、PingOne 署名証明書をダウンロードします。
- [Connections] > [Certificates & Keypairs] に移動します。
- 作成したアプリケーションを見つけ、ボックスの右端にある を選択して、アプリケーションの詳細を表示します。
- [詳細] タブの右にある [Download Certificate] を選択し、.crt形式。
- 任意のテキスト エディターで証明書ファイルを開き、手順 2 で詳しく説明する、設定の次の部分用に証明書の値をコピーして保存します。
ステップ2。構成 Private Test Cloud
Private Test Cloud を、ID プロバイダーを認識するサービス・プロバイダーとして有効にするには、次のようにします。
- にシステム管理者としてログインします。
- 左側のペインの上部にある [ホスト ] が選択されていることを確認し、[ セキュリティ] を選択します。
- [SAML SSO] の [設定] を選択し、使用する ID プロバイダーの指示に従います。
- ADFSの SAML を構成するには、以下の手順を実行します。
- [有効] チェック ボックスを選択します。
- Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
- [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
- [サービス プロバイダーのエンティティ ID] フィールドに「
https://{yourDomain}/{organizationName}/identity_」と入力します。 - [ID プロバイダーのエンティティ ID] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
- [シングル サインオン サービス URL] フィールドに、ADFS 認証の構成時に取得した値を貼り付けます。
- [未承諾の認証応答を許可] チェック ボックスを選択します。
- [戻り先 URL] フィールドに「
https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback」と入力します。 - [外部ユーザーのマッピング方法] パラメーターを [ユーザーのメール アドレスで] に設定します。
- [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
- [署名証明書] フィールドに、証明書のテキストを貼り付けます。
- Google の SAML を構成するには、以下の手順を実行します。
- [有効] チェック ボックスを選択します。
- Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
- [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
- [サービス プロバイダーのエンティティ ID] フィールドに「
https://{yourDomain}/{organizationName}/identity_」と入力します。 - [ID プロバイダーのエンティティ ID] フィールドに、Google 認証の構成時に取得したエンティティ ID の値を貼り付けます。
- [シングル サインオン サービス URL] フィールドに、Google 認証の構成時に取得した SSO URL の値を貼り付けます。
- [未承諾の認証応答を許可] チェック ボックスを選択します。
- [戻り先 URL] フィールドに「
https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback」と入力します。 - [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメール アドレスで] を選択します。
- [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
- [署名証明書] フィールドに、Google 構成時に取得した証明書の値を貼り付けます。
- Oktaの SAML を構成するには、以下の手順を実行します。
- [有効] チェック ボックスを選択します。
- Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
- [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
- [サービス プロバイダーのエンティティ ID] フィールドに「
https://{yourDomain}/{organizationName}/identity_」と入力します。 - [ID プロバイダーのエンティティ ID] フィールドに、Okta の構成時に取得した ID プロバイダーの発行者の値を貼り付けます。
- [シングル サインオン サービス URL] フィールドに、Okta の構成時に取得した ID プロバイダーのサインオン URL の値を貼り付けます。
- [未承諾の認証応答を許可] チェック ボックスを選択します。
- [戻り先 URL] フィールドに「
https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback」と入力します。 - [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
- [署名証明書] フィールドに、Okta 構成時に取得した X.509 証明書の値を貼り付けます。
- PingOne の SAML を構成するには、以下の手順を実行します。
- [有効] チェック ボックスを選択します。
- Active Directory アカウントでのログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
- [表示名] フィールドに、このログイン オプションのログイン ページに表示するテキストを入力します。
- [サービス プロバイダーのエンティティ ID] フィールドに Automation Suite の URL を
https://{yourDomain}/{organizationName}/identity_の形式で貼り付けます。 - [ID プロバイダーのエンティティ ID] フィールドに、PingOne の構成時に取得した 発行者 ID の値を貼り付けます。
- [シングル サインオン サービス URL] パラメーターを、PingOne 構成時に取得したシングル サインオン URL の値に設定します。
- [未承諾の認証応答を許可] チェック ボックスを選択します。
- [戻り先 URL] フィールドに「
https://{yourDomain}/{organizationName}/identity_/externalidentity/saml2redirectcallback」と入力します。 - [外部ユーザーのマッピング方法] パラメーターでは、[ユーザーのメール アドレスで] を選択します。
- [SAML バインドの種類] に [HTTP リダイレクト] を選択します。
- [署名証明書] フィールドに、PingOne 構成時に取得した値を貼り付けます。
- ADFSの SAML を構成するには、以下の手順を実行します。
- [ 保存 ] を選択して変更を保存し、前のページに戻ります。
- [SAML SSO] の左側にあるトグルを選択して、連携を有効化します。
- 「identity-service-api-*」ポッドを再起動します。外部プロバイダーに変更を加えたら必ず再起動する必要があります。
- SSH を使用してプライマリ サーバーに接続します。
- 次のコマンドを実行します。
kubectl -n uipath rollout restart deployment identity-service-api
手順 3. オプションの設定
次の構成はオプションであり、一方または両方の高度なセキュリティ機能を使用する場合にのみ必要です。
手順 3.1.カスタム マッピング
ADFS、Google、および Okta は、いずれもメール アドレスを SAML 属性として使用します。このセクションでは、ユーザー名または外部プロバイダーのキーに基づくカスタム SAML マッピングについて説明します。
カスタム マッピング属性を設定すると、システム全体に影響を与えることになります。この設定は、既存の ID プロバイダーのすべてに適用されます。その結果、新しいマッピングが設定されている間は、他のプロバイダー (Azure、Windows) は一切機能しなくなります。
以下のパラメーターは、ホスト レベルの [ セキュリティ ] ページの SAML SSO の構成で設定する必要があります。
- 外部ユーザーのマッピング方法 - マッピング方法を定義します。次のオプションが利用可能です。
By user email- メール アドレスが属性として設定されます。これは既定値です。By username- ユーザー名を属性として設定します。By external provider key- 外部のプロバイダー キーを属性として設定します。
- 外部ユーザー ID の要求名 - マッピングの ID として使用する要求を定義します。これは、ユーザー名を属性として設定する場合にのみ必要です。