通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

Active Directory との連携を構成する

Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、Orchestrator からディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

These instructions only apply if you have a standalone installation of Orchestrator. If you are using Orchestrator in Automation Suite, follow the Automation Suite instructions instead.

📘

この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。

🚧

前提条件

  1. Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。

  2. Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。

連携オプションについて


When users log in to Orchestrator with their Active Directory credentials, Orchestrator can use either of the following 2 protocols for login: NTLM (default) or Kerberos (recommended).

このページで説明しているように、Orchestrator は、正しく設定されていれば、Kerberos を使用してユーザーを認証します。Kerberos を使用できない場合は、代わりに NTLM 認証が使用されます。

手順 1. Orchestrator クラスターを設定する (Kerberos のみ)


認証に Kerberos プロトコルを使用しない場合は、次の手順に進んでください。

Requirements for multi-node clusters

  • クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
  • Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。
ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。

  1. IIS (Internet Information Services Manager) を開きます。
  2. IIS の左側の [接続] パネルで [アプリケーション プール] をクリックします。
  3. [ID] > [詳細設定] > [プロセス モデル] > [ID] に移動します。
  4. [アプリケーション プール ID] ダイアログで [カスタム アカウント] を選択し、ドメイン修飾されたユーザー アカウントを指定します。
  5. [OK] をクリックして変更を適用します。
  6. IIS を終了します。
999

 

SPN の設定

Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。
以下を実行している場合は、この手順が必要になります。

  • カスタム ID を定義するために必要なマルチノード クラスター
  • マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター

以下の場合、この手順は不要です。

  • ロード バランサーを使用せずにシングルノード クラスターを実行している場合
  • カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

  1. コマンド プロンプトを開きます。
  2. cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
  3. コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
    • HTTP/ - Orchestrator インスタンスがアクセスできる URL です。
    • <domain account> - Orchestrator アプリケーション プールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する


If you have a multi-node installation, you must perform IIS configuration on each of your cluster nodes.

  1. IIS (Internet Information Services Manager) を開きます。
  2. [接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
  3. メイン パネルで、[認証] をダブルクリックして詳細を表示します。
  4. [Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。
    Windows 認証がまだ有効化されていない場合は有効化して、以下の手順を続行します。
1000
  1. 左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。
1422
  1. [構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
  2. [useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する


  1. 管理ポータルにシステム管理者としてログインします。
  2. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。
905

画面右に [Active Directory を設定] パネルが開きます。

  1. [有効] チェック ボックスを選択します。
  2. ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
    すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。
  3. 認証に Kerberos プロトコルを使用する場合は、[Kerberos 認証を使用] チェックボックスをオンにします。
    Kerberos の使用をお勧めします。
    • このオプションを選択すると、ユーザーは資格情報を入力する必要なく Orchestrator に自動的にサインインされます。
    • このオプションを選択しないと、既定の NTLM プロトコルが使用され、ユーザーはログインするのに Active Directory の資格情報を入力する必要があります。
  4. 必要に応じて [表示名] フィールドの値を編集し、ログイン ページに表示される Windows 認証ボタンのラベルをカスタマイズします。
  5. IIS サイトを再起動します。外部プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する


これで連携が設定されました。Active Directory の資格情報を使用してテスト ログインを実行し、選択した認証プロトコル (NTLM または Kerberos) のログインへの使用を確認することをお勧めします。

  1. Active Directory の資格情報で Orchestrator にログインして、ログイン イベントを作成します。
    ログインした時刻をメモします。
  2. Windows でイベント ビューアーを開きます。
  3. [Windows ログ] > [セキュリティ] に移動します。
  4. セキュリティ イベントのリストで以下のエントリを探します。
    • イベント ID: 4624
    • 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
  5. 行をダブルクリックして、[イベント プロパティ] ダイアログを開きます。
  6. [全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。
782

Kerberos 認証が使用された場合:

  • [認証パッケージ] の値は [Negotiate] となります。
  • [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。

In Google Chrome incognito mode, the browser prompts for credentials and it does an explicit authentication with credentials. The flow does work and it uses Kerberos.

11 か月前に更新


Active Directory との連携を構成する


Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、Orchestrator からディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。