Identity Server は、一連の外部 ID プロバイダー (Google、Windows、Azure AD、SAML2) のフェデレーション ゲートウェイとして機能し、これらの設定をサーバーの [外部 ID プロバイダー] ページで行えるようにします。外部 ID プロバイダーを設定するために Orchestrator の web.config ファイルおよび UiPath.Orchestrator.dll.config ファイルを変更する必要はありません。ユーザーは Identity Server のデータベース内に作成されます。

Orchestrator を v2020 に更新する場合、いずれかの外部 ID プロバイダーの認証を有効化してあるときには、外部 ID プロバイダー レベルで一連の手動設定を行う必要があります。以前に作成したユーザーは、Identity Server のデータベースに反映されます。

🚧

重要

Identity Server 内の何らかの設定を変更した後は、IIS サーバーを再起動してください。

外部 ID プロバイダーの設定を管理する

📘

注:

URL は大文字と小文字を区別します。簡素化のため、なるべく小文字を使用することをお勧めします。

Google OpenID Connect

このセクションでは、Orchestrator/Identity Server が Google OpenID Connect 認証を使用できるようにするためのパラメーターを設定する方法について説明します。
以下に設定例を示します。

Before performing any settings in this page, make sure that you've configured Google to recognize your Orchestrator instance.
Follow the steps here to instruct Identity Server to use Google OpenID Connect authentication.

Windows

このセクションでは、Orchestrator/Identity Server が Windows 認証を使用できるようにするためのパラメーターを設定する方法について説明します。
以下に設定例を示します。

このページの指示に従い、Windows 認証を有効化します。

Azure AD

このセクションでは、Orchestrator/Identity Server が Azure AD 認証を使用できるようにするためのパラメーターを設定する方法について説明します。
以下に設定例を示します。

Before performing any settings in this page, make sure that you've configured Azure AD to recognize your Orchestrator instance.
Follow the steps here to instruct Identity Server to use Azure AD authentication.

SAML

This section empowers you to set the parameters that allow Orchestrator/Identity Server to use single sign-on authentication using SAML 2.0.
以下に、いくつかの外部 ID プロバイダーに対する設定例を示します。

SAML 2.0 を使用した ADFS 認証

Before performing any settings in this page, make sure that you've configured ADFS to recognize your Orchestrator instance.
Follow the steps here to instruct Identity Server to use ADFS authentication.

SAML 2.0 を使用した Google 認証

Before performing any settings on this page, make sure that you've configured Google to recognize your Orchestrator instance.
Follow the steps here to instruct Identity Server to use Google SAML 2.0 authentication.

SAML 2.0 を使用した OKTA 認証

Before performing any settings on this page, make sure that you've configured OKTA to recognize your Orchestrator instance.
Follow the steps here to instruct Identity Server to use OKTA authentication.

Orchestrator の更新に伴う手動の設定

v2020.4 以降への更新では、Orchestrator で有効化されていたすべての外部 ID プロバイダーの認証が、web.config から Identity Server に、既存の全ユーザーとともに自動的に移行されます。ただし、ユーザーによる手動の変更もいくつか必要であり、これを行わないと認証が正しく機能しません。

実行が必要な一般的な手順を示します。

1. 外部プロバイダーの実際の場所に移動します。
2. 戻り先 URL を変更します。Orchestrator URL の後ろに /identity を追加してください。
3. 変更を保存します。

各外部 ID プロバイダーに必要なアクションのガイドを読んでください。

🚧

重要

すべての https://cloud.uipath.com を、Orchestrator インスタンスの URL に置き換えます。

Google OpenID Connect 認証

Google が新しい Orchestrator インスタンスを認識するよう設定されている場合は、以下の手順を実行する必要があります。

1. Google API にアクセスし、以前に作成したプロジェクトを検索します。
2. [認証情報] ページで、以前に作成した OAuth 2.0 クライアントを選択します。

3. [ウェブ アプリケーションのクライアント ID] ページの [認可済みのリダイレクト URL] の値を変更します。Orchestrator の URL の後ろにサフィックス /identity を追加してください。例: https://cloud.uipath.com/identity/google-signin
4. [保存] をクリックして変更を保存します。

Windows 認証

以前に Windows 認証を有効にしていた場合は、ユーザー側でのこれ以上の手動操作は必要ありません。

Azure AD 認証

以前に新しい Orchestrator インスタンスを認識させるための Azure AD の設定を行った場合は、以下の手順を実行する必要があります。

1. Microsoft Azure の [アプリの登録] ページにアクセスし、以前に登録したアプリを選択します。
2. 選択したアプリのページで [リダイレクト URI] を選択します。
3. 選択したアプリの [認証] ページで、[リダイレクト URL] を変更します。Orchestrator の URL に /identity/azure-sign-in-oidc を追加してください。

3. 変更を保存します。
4. IIS サーバーを再起動します。

SAML2 認証

ADFS

以前に、新しい Orchestrator インスタンスを認識させるための ADFS の設定を行っていた場合は、以下の手順を実行する必要があります。

1. [AD FS の管理] を開き、次のように Orchestrator の既存の証明書利用者信頼を定義します。
   • [URL の構成] セクションの [SAML 2.0 Web SSO プロトコルのサポートを有効化する] を選択し、証明書利用者 SAML 2.0 SSO サービス URL] フィールドに、Orchestrator インスタンスの URL の後ろにサフィックス identity/Saml2/Acs を追加して入力します。例: https://cloud.uipath.com/identity/Saml2/Acs
   • [識別子の構成] セクションの [証明書利用者信頼の識別子] フィールドに、Orchestrator インスタンスの URL とサフィックス identity を入力します。たとえば、https://cloud.uipath.com/identity です。
2. 変更を保存します。
3. ADFS の設定が終わったら、管理者として PowerShell を開き、次のコマンドを実行します。
   • Set-ADFSRelyingPartyTrust -TargetName "https://cloud.uipath.com/identity" -SamlResponseSignature MessageAndAssertion (https://cloud.uipath.com を Orchestrator インスタンスの URLに置き換えます)
   • Restart-Service ADFSSRV です。
4. IIS サーバーを再起動します。

Google

Google が新しい Orchestrator インスタンスを認識するよう設定されている場合は、以下の手順を実行する必要があります。

1. Google の管理者コンソールを開き、既存のサービスの詳細情報を次のように変更します。
   • [Service Provider (サービス プロバイダー)] ウィンドウの [ACS URL] フィールドに、Orchestrator インスタンスの URL とサフィックス identity/Saml2/Acs を入力します。たとえば、https://cloud.uipath.com/identity/Saml2/Acs です。
   • 同じウィンドウの [Entity ID (エンティティ ID)] フィールドに、Orchestrator インスタンスの URL とサフィックス identity を入力します。たとえば、https://cloud.uipath.com/identity です。
2. 変更を保存します。
3. IIS サーバーを再起動します。

OKTA

以前に、新しい Orchestrator インスタンスを認識させるための OKTA の設定を行った場合は、以下の手順を実行する必要があります。

1. Okta にログインし、既存のアプリケーションを見つけて、[SAML Settings] ウィンドウの [General] セクションの詳細情報を以下のように変更します。
   • [Single sign on URL] フィールドに、Orchestrator インスタンスの URL とサフィックス /identity/Saml2/Acs を入力します。たとえば、https://cloud.uipath.com/identity/Saml2/Acs です。
   • [Use this for Recipient URL and Destination URL] チェック ボックスを有効化します (有効化されていなかった場合)。これにより、[Recipient URL] フィールドと [Destination URL] フィールドが、[Single Sign On URL] に入力した値によって上書きされます。この例では https://cloud.uipath.com/identity/Saml2/Acs です。
   • [Audience URI] フィールドに、Orchestrator インスタンスの URL とサフィックス /identity を入力します。たとえば、https://cloud.uipath.com/identity です。
2. 変更を保存します。
3. IIS サーバーを再起動します。