- リリース ノート
- 基本情報
- インストール
- 構成
- Integrations
- 認証
- アプリおよびディスカバリー アクセラレータを使用する
- AppOne のメニューとダッシュボード
- AppOne の設定
- TemplateOne 1.0.0 のメニューとダッシュボード
- TemplateOne 1.0.0 セットアップ
- TemplateOne のメニューとダッシュボード
- TemplateOne 2021.4.0 のセットアップ
- Purchase-to-Pay Discovery Accelerator のメニューとダッシュボード
- Purchase to Pay Discovery Accelerator の設定
- Order to Cash Discovery Accelerator のメニューとダッシュボード
- Cash Discovery Accelerator の設定への注文
- 基本コネクタ (AppOne 用)
- SAP コネクタ
- SAP Order to Cash Connector for AppOne
- SAP Purchase to Pay Connector for AppOne
- SAP Connector for Purchase to Pay Discovery Accelerator
- SAP Connector for Order-to-Cash Discovery Accelerator
- Superadmin
- ダッシュボードとグラフ
- テーブルとテーブル項目
- アプリケーションの整合性
- 使い方 ....
- SQL コネクタを使用する
- 便利なリソース
Process Mining ユーザー ガイド
Microsoft Active Directory 用の SAML を介したシングル サインオンを設定する
はじめに
このページでは、Microsoft Active Directory の SAML に基づいてシングル サインオンを設定する方法について説明します。
ID プロバイダー
SAML に基づくシングル サインオンを有効化するには、 UiPath Process Mining と ADFS の両方が相互に通信できるように適切に設定する必要があります。「 ADFS を構成する」もご覧ください。
Microsoft の公式ドキュメントをご覧ください。以下に示すように、応答要素を使用して認証を設定してください。
件名
nameID: ユーザーの永続的な識別子 (urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。
属性ステートメント ("クレーム")
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: ユーザーのフル ネーム。http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress: ユーザーのメール アドレス。http://schemas.xmlsoap.org/claims/Group: 単一のグループ識別子またはグループ識別子の配列のいずれかです。注:Process Mining は、サービス プロバイダーが開始 (SP が開始する) SSO のみをサポートしており、ID プロバイダーは
RelayStateパラメーターをサポートする必要があります。つまり、ユーザーは Process Mining のログイン ページに移動し、そこから ID プロバイダーにリダイレクトされてログインします。
SAML が有効であり、正しく設定されていれば、[ログイン] ページにボタンが表示されます。 以下の画像に例を示します。
If multi-factor authentication is used, the user needs to comply with the corresponding rules as well in order to successfully log in.
UiPath Process Mining をシングル サインオン用に設定する
-
インストール済みの UiPath Process Mining の [Superadmin] ページの [設定] タブに移動して、サーバー設定を構成します。以下の画像でご確認ください。
-
[サーバー設定] の [
ExternalAuthenticationProviders] 設定に必要な SAML 設定を追加します。以下で、samlオブジェクトの JSON キーについて説明します。
| キー | 説明 | 必須です。 |
|---|---|---|
| entrypoint | リモート ID プロバイダーの URL を指定します。 | はい |
| 発行者 | ID プロバイダーに提供する発行者の文字列を指定できます。 既定値は Process Mining URL に設定されています。 | いいえ |
| authnContext | ID プロバイダーから要求する認証メソッドを指定できます。 既定では、認証コンテキストは要求されません。 | いいえ |
| cert | 署名証明書を指定して、ID プロバイダーの応答を検証します。PEM エンコードされた X.509 形式で改行を '\)に置き換えた 1 行として指定できます)。 '. | いいえ |
| 秘密キー | PEMエンコードされたX.509形式で改行を '\)に置き換えた単一の行として、リモートIDプロバイダーに送信される要求を署名するキーを指定できます)。 '. | いいえ |
| 署名アルゴリズム | 署名要求時に使用する署名アルゴリズムを指定できます。 設定可能な値は次のとおりです。 • sha1; • sha256; •Sha512。 | いいえ |
| 識別子の書式 | ID プロバイダーに要求する名前識別子の形式。 既定値は「urn:oasis:names:tc:SAML:2.0:nameid-format:persistent」になります。 | いいえ |
| validateInResponseTo | "true" に設定すると、受信した SAML 応答から「InResponseTo」を検証します。 既定値は「true」です。 | いいえ |
| loggingLevel | ログイン プロセスに関する情報を、 [PLATFORMDIR]/logs/iisnode フォルダーのログに追加するかどうかを指定できます。 設定可能な値: • info; • warn; •エラー。 注: これは、ログインで問題が発生した場合にのみ有効化することをお勧めします。 | いいえ |
以下は、ADFS の基本的な構成で saml オブジェクトを設定した ExternalAuthenticationProviders を持つサーバー設定の例です。
以下は、双方向証明書のチェックを伴う ADFS 構成で saml オブジェクトを設定した ExternalAuthenticationProviders を持つサーバー設定の例です。
- [保存]をクリックして、新しい設定を保存します。
- F5 キーを押して、[Superadmin] ページを更新します。これにより、新しい設定が読み込まれ、これらの設定に基づいて SAML グループを作成できるようになります。
自動ログイン
自動ログインを有効化する前に、シングル サインオンが正しく機能することを確認してください。SSO が正しく設定されていない場合に自動ログインを有効にすると、自動ログイン設定の影響を受けるユーザーがログインできなくなる可能性があります。
[ AutoLogin サーバーの設定] を使用すると、ユーザーは現在アクティブな SSO メソッドを使用して自動的にログインします。
既定では、 AutoLogin は [ none] に設定されています。エンドユーザーおよび/または Superadmin ユーザーの自動ログインを有効にする場合は、[Superadmin の設定] タブのAutoLoginで指定できます。詳しくは 、「設定」タブをご覧ください。
localhost 経由でログインする場合、Superadmin ユーザーの自動ログインは常に無効化されます。
トラブルシューティング
SAML 応答の例
特に saml:AttributeStatement 要素の内容に注意してください。
こちらをクリックすると、saml:AttributeStatementに対して期待される応答がどのように表示されるかを確認できます。これは ID プロバイダーの構成に役立ちます。
ログ ファイル
ID プロバイダーと Process Mining 間の通信を設定した後にユーザー ログインが失敗した場合は、 [INSTALLDIR]/logs フォルダーにあるログ ファイルを確認することをお勧めします。
以下に、拒否されたアクセスによるログ行の例を示します。
[2021-08-03T16:45:25.291Z] STDERR: Log: failed Superadmin login for 'Jim Jones' (JJones@company.com) from '10.11.22.33'. Member-of: ["Admins"]. Valid groups: ["CN=Admins,OU=Company,OU=Applications,OU=Groups,DC=abc,DC=DEF,DC=CompanyName,DC=Com"].
[有効なグループ] リストには、ユーザー 'Jim Jones' の ID プロバイダーから受け取ったグループのセットが含まれます。「Jim Jones」は「Admins」というグループのメンバーです。Process Mining では、長い識別名を持つグループのみが設定されます。「Jim Jones」は、「Admins」が 有効なグループに含まれていないため、アクセスを拒否されます。
解決策
ID プロバイダーを設定して完全な識別名を送信するか、Process Mining の "Admins" グループが共通名のみを参照するよう設定する必要があります。
次の手順
SAML を使用した認証を使用するには、1 つ以上の Active Directory グループを作成して、メンバーがログインできるようにする必要があります。Superadmin ユーザーまたはアプリ開発者の場合は、[ Superadmin ユーザー ] タブで Active Directory グループを作成できます。詳しくは、「Superadmin Active Directory グループの追加」をご覧ください。
エンドユーザー認証の場合、ADグループは 「エンドユーザー管理 」ページで作成できます。「エンドユーザーの Active Directory グループの追加」を参照してください。