Orchestrator
2020.10
バナーの背景画像
サポート対象外
Orchestrator ユーザー ガイド
最終更新日 2023年12月12日

OKTA 認証

新しい Orchestrator インスタンスを認識するように OKTA を設定する

注: Okta SAML の設定には次の手順が有効です。次に示す手順は、設定例のおおまかな説明です。詳細な手順については、Okta の公式ドキュメントをご覧ください。
  1. Okta にログインします。次の設定が [Classic UI] ビューで行われます。これは、ウィンドウの右上隅のドロップダウンから変更できます。


  2. [Application (アプリケーション)] タブで、[新しいアプリを作成] をクリックします。[Create a New Application Integration (新しいアプリケーション統合を作成)] ウィンドウが表示されます。
  3. サインオン方式として SAML 2.0 を選択し、[作成] をクリックします。


  4. 新しい統合に対して、[General Settings] (一般設定) ウィンドウでアプリケーション名を入力します。
  5. [SAML Settings (SAML 設定)] ウィンドウの [General (全般)] セクションに、次の例に従って入力します。
    • シングル サインオン URL: Orchestrator インスタンスの URL + /identity/Saml2/Acs。例: https://myOrchestrator.uipath.com/identity/Saml2/Acs
    • [Use this for Recipient URL and Destination URL] (これを受信者 URL と宛先 URLに使用する) チェック ボックスを有効化します。
    • Audience URI (オーディエンス URL): https://myOrchestrator.uipath.com/identity
    • Name ID Format (名前 ID 形式): EmailAddress (メール アドレス)

    • Application Username (アプリケーションのユーザー名): Email (メール アドレス)

      注: Orchestrator インスタンスの URL を入力する際は常に、URL の最後にスラッシュを入れないようにしてください。「https://myOrchestrator.uipath.com/identity/」ではなく、必ず「https://myOrchestrator.uipath.com/identity」のように入力します。
  6. [Show Advanced Settings] (詳細設定を表示) をクリックして、[Attribute Statements] (属性ステートメント) セクションに入力します。
    • [名前] フィールドを http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress に設定して、[値] ドロップダウンから「user.email」を選択します。


  7. OKTA 証明書をダウンロードします。
  8. [Feedback] (フィードバック) セクションで、適切なオプションを選択して、[Finish] (終了) をクリックします。
  9. [Sign On] (サインオン) タブの [Settings] (設定) セクションで、[Setup Instructions] (設定手順) をクリックします。Orchestrator の SAML 2.0 向け設定を完了するために必要な手順を記載した新しいページにリダイレクトされます。Identity Provider Sign-On URLIdentity Provider IssuerX.509 Certificate です。
    注: 何らかの理由で ID プロバイダーに関する情報が失われた場合、[Sign On (サインオン)] > [Settings (設定)] > [View Setup Instructions (設定手順を表示)] にいつでも移動することができます。

ユーザーをアプリケーションに割り当てる

ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。

  1. Okta にログインします。
  2. [Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
  3. [Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。


  4. 新たに追加されたユーザーが [People] タブに表示されます。

OKTA 認証を利用するように Orchestrator および Identity Server を設定する

注:
すべての https://myOrchestrator.uipath.com/identity を、Orchestrator インスタンスの URL に置き換えます。
Orchestrator インスタンスの URL の最後にスラッシュを入れないでください。「https://myOrchestrator.uipath.com/identity/」ではなく、必ず「https://myOrchestrator.uipath.com/identity」のように入力します。
  1. Orchestrator でユーザーを定義し、[ユーザー] ページで有効なメール アドレスを設定します。
  2. 署名証明書をインポートします。
    • Windows のデプロイの場合、Microsoft 管理コンソールを使用して、ID プロバイダーから提供された署名証明書を Windows 証明書ストア (信頼されたルート証明機関個人用ストア) にインポートします。
    • Azure のデプロイの場合、ID プロバイダーから提供された証明書を Azure ポータルでアップロードします ([TLS/SSL 設定] > [公開証明書 (.cer)] > [公開キー証明書のアップロード])。Okta 認証が使用できず、エラーメッセージ An error occurred while loading the external identity provider. Please check the external identity provider configuration. が表示される場合は、こちらを参照して Web アプリの設定を調整してください。
  3. Identity Server の [外部プロバイダー] ページで [Saml2] が次のように設定されていることを確認します (Identity Server へのアクセス方法は、こちらをご覧ください)。
    • [有効] チェック ボックスをオンにします。
    • [サービス プロバイダーのエンティティ ID] パラメーターを https://orchestratorURL/identity に設定します。
    • [ID プロバイダーのエンティティ ID] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
    • [未承諾の認証応答を許可] チェック ボックスを選択します。
    • [戻り先 URL] パラメーターを https://orchestratorURL/identity/externalidentity/saml2redirectcallback に設定します。[戻り先 URL] パラメーターで、URL の最後に /identity/externalidentity/saml2redirectcallback を必ず付加します。このパスは OKTA から直接 Orchestrator 環境に到達できる、OKTA 固有のものです。
    • [SAML バインドの種類] パラメーターを HTTP redirect に設定します。
  4. [署名証明書] セクションで、以下を設定します。
    • Store name パラメーターを My に設定します。
    • Windows のデプロイの場合は、[ストアの場所] パラメーターを LocalMachine に設定します。Azure Web アプリのデプロイの場合は、CurrentUser に設定します。

    • [拇印] パラメーターを Windows 証明書ストアで提供される拇印値に設定します。詳しくは、こちらをご覧ください。



      注:

      信頼されたルート証明機関および個人証明書ストアに証明書がインストールされていることを確認します。

      秘密キー証明書を利用するように Orchestrator/Identity Server を設定する方法については、こちらをご覧ください。

  5. 任意です。SSL を使用しないように Identity Server を設定 (負荷分散環境での SSL オフロードなど) した場合は、SAML アサーションを暗号化する必要があります。外部 ID プロバイダーがサービス証明書の公開キーを使用して SAML アサーションを暗号化し、Identity Server が証明書の秘密キーで復号します。
    Service Certificate Steps セクションで、以下の手順を実行します。
    • Store name のドロップボックスから My を選択します。
    • Store locationLocalMachine に設定します。

    • [拇印] を Windows 証明書ストアで提供される拇印値に設定します。詳しくは、こちらをご覧ください。



      重要:

      サービス証明書は以下の条件を満たす必要があります。

      • 2048 ビットの公開キーがあること
      • AppPool ユーザーがアクセスできる秘密キーがあること
      • 有効期間内である (失効していない)
  6. [保存] をクリックして、外部 ID プロバイダーの設定に加えた変更を保存します。
  7. Identity Server 内の何らかの設定を変更した後は、IIS サーバーを再起動してください。

Was this page helpful?

サポートとサービス
サポートを受ける
UiPath アカデミー
RPA について学ぶ - オートメーション コース
UiPath フォーラム
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
利用規約
プライバシー ポリシー
Cookie ポリシー
© 2005-2024 UiPath. All rights reserved.