- リリース ノート
- 基本情報
- インストール
- 構成
- Integrations
- 認証
- アプリおよびディスカバリー アクセラレータを使用する
- AppOne のメニューとダッシュボード
- AppOne の設定
- TemplateOne 1.0.0 のメニューとダッシュボード
- TemplateOne 1.0.0 セットアップ
- TemplateOne のメニューとダッシュボード
- TemplateOne 2021.4.0 のセットアップ
- Purchase-to-Pay Discovery Accelerator のメニューとダッシュボード
- Purchase to Pay Discovery Accelerator の設定
- Order to Cash Discovery Accelerator のメニューとダッシュボード
- Cash Discovery Accelerator の設定への注文
- 基本コネクタ (AppOne 用)
- SAP コネクタ
- SAP Order to Cash Connector for AppOne
- SAP Purchase to Pay Connector for AppOne
- SAP Connector for Purchase to Pay Discovery Accelerator
- SAP Connector for Order-to-Cash Discovery Accelerator
- Superadmin
- ダッシュボードとグラフ
- テーブルとテーブル項目
- アプリケーションの整合性
- 使い方 ....
- SQL コネクタを使用する
- 便利なリソース
Microsoft Active Directory 用の SAML を介したシングル サインオンを設定する
SAML に基づくシングル サインオンを有効化するには、 UiPath Process Mining と ADFS の両方が適切に設定されていて、相互に通信できるようにする必要があります。 詳細については、「 ADFS を設定する」をご覧ください。
Microsoft の公式ドキュメントをご覧ください。以下に示すように、応答要素を使用して認証を設定してください。
件名
nameID
: ユーザーの永続的な識別子 (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
)。
属性ステートメント ("クレーム")
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
: ユーザーのフル ネーム。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
: ユーザーのメール アドレス。-
http://schemas.xmlsoap.org/claims/Group
: 単一のグループ識別子またはグループ識別子の配列のいずれかです。
RelayState
パラメーターをサポートするために ID プロバイダーが必要な、サービス プロバイダーの開始 (SP 開始) SSO のみがサポートされています。 つまり、ユーザーは Process Mining のログイン ページに移動し、そこからユーザーは ID プロバイダーにリダイレクトされてログインします。
SAML が有効であり、正しく設定されていれば、[ログイン] ページにボタンが表示されます。 以下の画像に例を示します。
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
saml
オブジェクトを設定した ExternalAuthenticationProviders
を持つサーバー設定の例です。
以下は、双方向証明書のチェックを伴う ADFS 構成で saml
オブジェクトを設定した ExternalAuthenticationProviders
を持つサーバー設定の例です。
3. [ 保存 ] をクリックして新しい設定を保存します。
4. F5 キーを押して、 Superadmin ページを更新します。 これにより、新しい設定が読み込まれるので、これらの設定に基づいて SAML グループを作成できます。
自動ログイン
AutoLogin
サーバーの設定] を使用すると、ユーザーは現在アクティブな SSO メソッドを使用して自動的にログインします。
AutoLogin
は none
に設定されています。 エンドユーザーおよび/または Superadmin ユーザーに自動ログインを有効化する場合は、[ Superadmin Settings] タブの [ AutoLogin
で指定できます。「 設定タブ」をご覧ください。
特に'saml:AttributeStatement' 要素のコンテンツに注目してください。
こちらを クリックすると、期待される応答の外観が 「saml:AttributeStatement」のようになります。これは ID プロバイダーの構成に役立ちます。
[INSTALLDIR]/logs
フォルダーにあるログ ファイルを確認することをお勧めします。
以下に、拒否されたアクセスによるログ行の例を示します。
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'.
Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
有効なグループ リストには、ユーザーの「ジム・ジョーンズ」の ID プロバイダーから受け取ったグループのセットが含まれています。「ジム・ジョーンズ」は、1つのグループ「管理者」のメンバーです。 Process Mining では、長い識別名を持つグループのみが設定されます。 「管理者」が 有効なグループに表示されていないため、「ジム・ジョーンズ」のアクセスが拒否されました。
解決策
ID プロバイダーを設定して完全な識別名を送信するか、Process Mining の "Admins" グループが共通名のみを参照するよう設定する必要があります。
SAML を使用した認証を使用するには、メンバーのログインを許可するために Active Directory グループを 1 つ以上作成する必要があります。 Superadmin ユーザーまたはアプリ開発者の場合は、[ Superadmin users ] タブで Active Directory グループを作成できます。 「 Superadmin AD グループを追加する」をご覧ください。
エンドユーザー認証の場合、Active Directory グループは [エンドユーザーの 管理 ] ページで作成できます。 「 エンドユーザーの AD グループを追加する」をご覧ください。