Orchestrator
2021.10
バナーの背景画像
Orchestrator ユーザー ガイド
最終更新日 2024年2月15日

Active Directory との連携を構成する

Windows 認証を使用した SSO を有効化し、Active Directory 連携によるディレクトリ検索機能を有効化できます。ディレクトリ検索を使用すると、Orchestrator からディレクトリ アカウントやグループを検索して、それらをローカル アカウントと同じように扱うことができます。

注:
この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。
重要:

前提条件

  • docs image Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。
  • Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。

連携オプションについて

ユーザーが Active Directory の資格情報を使用して Orchestrator にログインする場合、Orchestrator はログインに NTLM (既定) または Kerberos (推奨) のいずれかのプロトコルを使用できます。

このページで説明しているように、Orchestrator は、正しく設定されていれば、Kerberos を使用してユーザーを認証します。Kerberos を使用できない場合は、代わりに NTLM 認証が使用されます。

手順 1. Orchestrator クラスターを設定する (Kerberos のみ)

認証に Kerberos プロトコルを使用しない場合は、次の手順に進んでください。

マルチノード クラスターの要件

  • クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
  • Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。

ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。

  1. IIS (Internet Information Services Manager) を開きます。
  2. IIS の左側の [接続] パネルで [アプリケーション プール] をクリックします。
  3. [ID] > [詳細設定] > [プロセス モデル] > [ID] に移動します。
  4. [アプリケーション プール ID] ダイアログで [カスタム アカウント] を選択し、ドメイン修飾されたユーザー アカウントを指定します。
  5. [OK] をクリックして変更を適用します。
  6. IIS を終了します。


SPN の設定

Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。

以下を実行している場合は、この手順が必要になります。

  • カスタム ID を定義するために必要なマルチノード クラスター
  • マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター

以下の場合、この手順は不要です。

  • ロード バランサーを使用せずにシングルノード クラスターを実行している場合
  • カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

  1. コマンド プロンプトを開きます。
  2. cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
  3. コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
    • HTTP/<hostname> - Orchestrator インスタンスがアクセスできる URL です。
    • <domain account> - Orchestrator アプリケーション プールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する

注: マルチノード インストールを行った場合は、各クラスター ノードで IIS 構成を実行する必要があります。
  1. IIS (Internet Information Services Manager) を開きます。
  2. [接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
  3. メイン パネルで、[認証] をダブルクリックして詳細を表示します。
  4. [Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。
    注: Windows 認証がまだ有効化されていない場合は、有効化して、以下の手順を続行します。
  5. 左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。


  6. [構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
  7. [useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する

  1. 管理ポータルにシステム管理者としてログインします。
  2. [ユーザー] ページに移動して、[認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。


    画面右に [Active Directory を設定] パネルが開きます。

  4. [有効] チェック ボックスをオンにします。
  5. ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。

    すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。

  6. 認証に Kerberos プロトコルを使用する場合は、[Kerberos 認証を使用] チェックボックスをオンにします。

    Kerberos の使用をお勧めします。

    • このオプションを選択すると、ユーザーは資格情報を入力する必要なく Orchestrator に自動的にサインインされます。
    • このオプションを選択しないと、既定の NTLM プロトコルが使用され、ユーザーはログインするのに Active Directory の資格情報を入力する必要があります。
  7. 必要に応じて [表示名] フィールドの値を編集し、ログイン ページに表示される Windows 認証ボタンのラベルをカスタマイズします。
  8. IIS サイトを再起動します。外部プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する

これで連携が設定されました。Active Directory の資格情報を使用してテスト ログインを実行し、選択した認証プロトコル (NTLM または Kerberos) のログインへの使用を確認することをお勧めします。

  1. Active Directory の資格情報で Orchestrator にログインして、ログイン イベントを作成します。

    ログインした時刻をメモします。

  2. Windows でイベント ビューアーを開きます。
  3. [Windows ログ] > [セキュリティ] に移動します。
  4. セキュリティ イベントのリストで以下のエントリを探します。
    • イベント ID: 4624
    • 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
  5. 行をダブルクリックして、[イベント プロパティ] ダイアログを開きます。
  6. [全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。


    Kerberos 認証が使用された場合:

    • [認証パッケージ] の値は [Negotiate] となります。
    • [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。

Google Chrome シークレット モードでは、ブラウザーにより資格情報が求められ、資格情報を使用した明示的な認証が行われます。このフローが実行されると、Kerberos が使用されます。

Was this page helpful?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.