Microsoft Active Directory 用の SAML を介したシングル サインオンを設定する
はじめに
このページでは、Microsoft Active Directory の SAML に基づいてシングル サインオンを設定する方法について説明します。
ID プロバイダー
SAML に基づくシングル サインオンを有効化するには、 UiPath Process Mining と ADFS の両方が適切に設定されていて、相互に通信できるようにする必要があります。 詳細については、「 ADFS を設定する」をご覧ください。
Microsoft の公式ドキュメントをご覧ください。以下に示すように、応答要素を使用して認証を設定してください。
件名
nameID
: ユーザーの永続的な識別子 (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
)。
属性ステートメント ("クレーム")
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
: ユーザーのフル ネーム。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
: ユーザーのメール アドレス。-
http://schemas.xmlsoap.org/claims/Group
: 単一のグループ識別子またはグループ識別子の配列のいずれかです。
RelayState
パラメーターをサポートするために ID プロバイダーが必要な、サービス プロバイダーの開始 (SP 開始) SSO のみがサポートされています。 つまり、ユーザーは Process Mining のログイン ページに移動し、そこからユーザーは ID プロバイダーにリダイレクトされてログインします。
SAML が有効であり、正しく設定されていれば、[ログイン] ページにボタンが表示されます。 以下の画像に例を示します。
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
UiPath Process Mining をシングル サインオン用に設定する
saml
オブジェクトを設定した ExternalAuthenticationProviders
を持つサーバー設定の例です。
saml
オブジェクトを設定した ExternalAuthenticationProviders
を持つサーバー設定の例です。
3. [ 保存 ] をクリックして新しい設定を保存します。
4. F5 キーを押して、 Superadmin ページを更新します。 これにより、新しい設定が読み込まれるので、これらの設定に基づいて SAML グループを作成できます。
自動ログイン
[ AutoLogin
サーバーの設定] を使用すると、ユーザーは現在アクティブな SSO メソッドを使用して自動的にログインします。
既定では、 AutoLogin
は none
に設定されています。 エンドユーザーおよび/または Superadmin ユーザーに自動ログインを有効化する場合は、[ Superadmin Settings] タブの [ AutoLogin
で指定できます。「 設定タブ」をご覧ください。
トラブルシューティング
SAML 応答の例
特に'saml:AttributeStatement' 要素のコンテンツに注目してください。
こちらを クリックすると、期待される応答の外観が 「saml:AttributeStatement」のようになります。これは ID プロバイダーの構成に役立ちます。
ログ ファイル
ID プロバイダーと Process Mining 間の通信を設定した後にユーザー ログインが失敗した場合は、 [INSTALLDIR]/logs
フォルダーにあるログ ファイルを確認することをお勧めします。
以下に、拒否されたアクセスによるログ行の例を示します。
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'.
Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
有効なグループ リストには、ユーザーの「ジム・ジョーンズ」の ID プロバイダーから受け取ったグループのセットが含まれています。「ジム・ジョーンズ」は、1つのグループ「管理者」のメンバーです。 Process Mining では、長い識別名を持つグループのみが設定されます。 「管理者」が 有効なグループに表示されていないため、「ジム・ジョーンズ」のアクセスが拒否されました。
解決策
ID プロバイダーを設定して完全な識別名を送信するか、Process Mining の "Admins" グループが共通名のみを参照するよう設定する必要があります。
次の手順
SAML を使用した認証を使用するには、メンバーのログインを許可するために Active Directory グループを 1 つ以上作成する必要があります。 Superadmin ユーザーまたはアプリ開発者の場合は、[ Superadmin users ] タブで Active Directory グループを作成できます。 「 Superadmin AD グループを追加する」をご覧ください。
エンドユーザー認証の場合、Active Directory グループは [エンドユーザーの 管理 ] ページで作成できます。 「 エンドユーザーの AD グループを追加する」をご覧ください。