Microsoft Active Directory 用の SAML を介したシングルサインオンを設定する

はじめに

このページでは、Microsoft Active Directory の SAML に基づいてシングルサインオンを設定する方法について説明します。

ID プロバイダー

SAML に基づくシングルサインオンを有効化するには、 UiPath Process Mining と ADFS の両方が適切に設定されていて、相互に通信できるようにする必要があります。詳細については、「 ADFS を設定する」をご覧ください。

Microsoft の公式ドキュメントをご覧ください。以下に示すように、応答要素を使用して認証を設定してください。

件名

nameID: ユーザーの永続的な識別子 (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。

属性ステートメント ("クレーム")

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: ユーザーのフルネーム。
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: ユーザーのメールアドレス。
http://schemas.xmlsoap.org/claims/Group: 単一のグループ識別子またはグループ識別子の配列のいずれかです。

注: Process Mining では、 RelayState パラメーターをサポートするために ID プロバイダーが必要な、サービスプロバイダーの開始 (SP 開始) SSO のみがサポートされています。つまり、ユーザーは Process Mining のログインページに移動し、そこからユーザーは ID プロバイダーにリダイレクトされてログインします。

SAML が有効であり、正しく設定されていれば、[ログイン] ページにボタンが表示されます。以下の画像に例を示します。

If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.

UiPath Process Mining をシングルサインオン用に設定する

インストール済みの UiPath Process Mining の、[ Superadmin ] ページの [ Settings] タブに移動して 、サーバーの設定を構成します。以下の画像でご確認ください。

[ Server Settings]の ExternalAuthenticationProviders 設定に、必要な SAML 設定を追加します。以下で、 saml オブジェクトの JSON キーについて説明します。

キー	説明	必須です。
entrypoint	リモート ID プロバイダーの URL を指定します。	はい
発行者	ID プロバイダーに提供する発行者の文字列を指定できます。既定値は Process Mining URL に設定されています。	いいえ
authnContext	ID プロバイダーから要求する認証メソッドを指定できます。既定では、認証コンテキストは要求されません。	いいえ
cert	署名証明書を指定して、ID プロバイダーの応答を検証します。PEM エンコードされた X.509 形式で改行を '\)に置き換えた 1 行として指定できます)。 '.	いいえ
秘密キー	PEMエンコードされたX.509形式で改行を '\)に置き換えた単一の行として、リモートIDプロバイダーに送信される要求を署名するキーを指定できます)。 '.	いいえ
署名アルゴリズム	署名要求時に使用する署名アルゴリズムを指定できます。設定可能な値は次のとおりです。 • sha1; • sha256; •Sha512。	いいえ
識別子の書式	ID プロバイダーに要求する名前識別子の形式。既定値は「urn:oasis:names:tc:SAML:2.0:nameid-format:persistent」になります。	いいえ
validateInResponseTo	"true" に設定すると、受信した SAML 応答から「InResponseTo」を検証します。既定値は「true」です。	いいえ
loggingLevel	ログインプロセスに関する情報を、 `[PLATFORMDIR]/logs/iisnode` フォルダーのログに追加するかどうかを指定できます。設定可能な値: • info; • warn; •エラー。メモ：これは、ログインに問題が発生した場合にのみ有効化することをお勧めします。	いいえ

以下は、ADFS の基本的な構成で saml オブジェクトを設定した ExternalAuthenticationProviders を持つサーバー設定の例です。

以下は、双方向証明書のチェックを伴う ADFS 構成で saml オブジェクトを設定した ExternalAuthenticationProviders を持つサーバー設定の例です。

3. [ 保存 ] をクリックして新しい設定を保存します。

4. F5 キーを押して、 Superadmin ページを更新します。これにより、新しい設定が読み込まれるので、これらの設定に基づいて SAML グループを作成できます。

自動ログイン

大事な：自動ログインを有効化する前に、シングルサインオンが正しく機能していることを確認してください。 SSO が正しく設定されていない場合に自動ログインを有効化すると、自動ログインの設定の影響を受けるユーザーがログインできなくなる可能性があります。

[ AutoLogin サーバーの設定] を使用すると、ユーザーは現在アクティブな SSO メソッドを使用して自動的にログインします。

既定では、 AutoLogin は noneに設定されています。エンドユーザーおよび/または Superadmin ユーザーに自動ログインを有効化する場合は、[ Superadmin Settings] タブの [ AutoLogin で指定できます。「設定タブ」をご覧ください。

メモ： localhost経由でログインする場合、Superadmin ユーザーの自動ログインは常に無効化されます。

トラブルシューティング

SAML 応答の例

特に'saml:AttributeStatement' 要素のコンテンツに注目してください。

こちらをクリックすると、期待される応答の外観が「saml:AttributeStatement」のようになります。これは ID プロバイダーの構成に役立ちます。

ログファイル

ID プロバイダーと Process Mining 間の通信を設定した後にユーザーログインが失敗した場合は、 [INSTALLDIR]/logs フォルダーにあるログファイルを確認することをお勧めします。

以下に、拒否されたアクセスによるログ行の例を示します。

[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].

有効なグループ リストには、ユーザーの「ジム・ジョーンズ」の ID プロバイダーから受け取ったグループのセットが含まれています。「ジム・ジョーンズ」は、1つのグループ「管理者」のメンバーです。 Process Mining では、長い識別名を持つグループのみが設定されます。「管理者」が 有効なグループに表示されていないため、「ジム・ジョーンズ」のアクセスが拒否されました。

解決策

ID プロバイダーを設定して完全な識別名を送信するか、Process Mining の "Admins" グループが共通名のみを参照するよう設定する必要があります。

次の手順

SAML を使用した認証を使用するには、メンバーのログインを許可するために Active Directory グループを 1 つ以上作成する必要があります。 Superadmin ユーザーまたはアプリ開発者の場合は、[ Superadmin users ] タブで Active Directory グループを作成できます。「 Superadmin AD グループを追加する」をご覧ください。

エンドユーザー認証の場合、Active Directory グループは [エンドユーザーの管理 ] ページで作成できます。「エンドユーザーの AD グループを追加する」をご覧ください。