Orchestrator
2022.4
バナーの背景画像
Orchestrator ユーザー ガイド
最終更新日 2024年2月15日

Active Directory との連携を構成する

注:
  • この連携を有効化すると、ローカル ユーザー アカウントが Active Directory ユーザーにリンクされ、プロセス内でユーザー名属性が user@domain という形式に更新されます。そのため、ユーザーは元のユーザー名を使用してサインインできなくなり、代わりに user@domain という形式の新しいユーザー名、または、Active Directory アカウントに関連付けられているメール アドレスを使用しなければならなくなります。
  • Orchestrator を v2020.4 以降のバージョンに更新する場合、Identity Server は、以前の設定を移行します。以前に Windows 認証を有効化し、同時に Windows AD ユーザーの自動ログインを設定していた場合、アップグレードを実行すると、以前に Identity Server にログインしていたユーザーは、[外部プロバイダー] ページにアクセスできなくなります。これらのユーザーは、各自の Windows 資格情報を入力すると、テナントに直接ログインされます。

    ホスト管理者は [ログイン] ページにアクセスできず、ホスト テナントにログインできません。また、ID 管理ポータルにアクセスすることもできません。

    この問題が発生した場合は、シークレット モードでブラウザーを開いて「https://<OrchestratorURL>/identity/configuration」のような URL を入力してください。

重要:

前提条件

  1. Windows Active Directory (AD) と連携して Windows 認証を使用するには、ドメイン内の複数のドメイン コントローラーで LDAP ポート 389 にアクセスできる必要があります。

  2. Orchestrator サーバーが Active Directory (AD) にアクセスできることを IT 管理者とともに確認してください。

  3. SSL 経由の LDAP (LDAPS) を使用する予定の場合は、セキュリティで保護された LDAP を各ドメイン コントローラーで設定するための証明書を取得してインストールする必要があります。詳細と手順については、「LDAP over SSL (LDAPS) Certificate」のページをご覧ください。

連携オプションについて

ユーザーが Active Directory の資格情報を使用して Orchestrator にログインすると、Orchestrator は Kerberos プロトコルを使用してユーザーを認証します。

手順 1: Orchestrator クラスターを構成する

マルチノード クラスターの要件

  • クラスター内のノードは、ロード バランサーの下にデプロイする必要があります。以下の手順でホスト名が必要な場合は、ロード バランサーのホスト名を使用してください。
  • Orchestrator アプリケーション プールは、カスタム ID で実行するように設定する必要があります。カスタム ID はドメイン アカウントである必要があります。

カスタム ID を設定する

この手順は、マルチノード クラスターを実行している場合、またはロード バランサーを使用するシングルノード クラスターを実行している場合にのみ必要です。

ロード バランサーを使用しないシングルノード クラスターの場合、この手順は任意です。

  1. IIS (Internet Information Services Manager) を開きます。
  2. IIS の左側の [接続] パネルで [アプリケーション プール] をクリックします。
  3. [ID] > [詳細設定] > [プロセス モデル] > [ID] に移動します。
  4. [アプリケーション プール ID] ダイアログで [カスタム アカウント] を選択し、ドメイン修飾されたユーザー アカウントを指定します。
  5. [OK] をクリックして変更を適用します。
  6. IIS を終了します。


SPN の設定

Orchestrator アプリケーション プールがカスタム ID で実行するように設定されている場合、そのアカウントにはホスト名用の SPN が登録されている必要があります。

以下を実行している場合は、この手順が必要になります。

  • カスタム ID を定義するために必要なマルチノード クラスター
  • マルチノード クラスターと同じように扱われる、ロード バランサーを使用するシングルノード クラスター

以下の場合、この手順は不要です。

  • ロード バランサーを使用せずにシングルノード クラスターを実行している場合
  • カスタム ID を使用することにしたが、カスタム ID としてクラスター コンピューター名を使用した場合

対象の Orchestrator 組織とテナントで書き込みアクセス権を持つ、ドメインに参加しているマシンで、以下の手順を実行します。

  1. コマンド プロンプトを開きます。
  2. cd C:\Windows\System32 コマンドを使用して、ディレクトリを C:\Windows\System32 に変更します。
  3. コマンド setspn.exe -a HTTP/<hostname> <domain account> を実行します。詳細は次のとおりです。
    • HTTP/<hostname> - Orchestrator インスタンスがアクセスできる URL です。
    • <domain account> - Orchestrator アプリケーション プールが実行されているカスタム ID の名前またはドメイン\名前です。

手順 2: Windows 認証を有効化するために IIS を設定する

注: マルチノード インストールを行った場合は、各クラスター ノードで IIS 構成を実行する必要があります。
  1. IIS (Internet Information Services Manager) を開きます。
  2. [接続] セクションの [サイト] ノードで [UiPath Orchestrator] を選択します。
  3. メイン パネルで、[認証] をダブルクリックして詳細を表示します。
  4. [Windows 認証] を選択し、右側の [操作] パネルで [詳細設定] を選択します。
    注: Windows 認証がまだ有効化されていない場合は、有効化して、以下の手順を続行します。
  5. 左側の [UiPath Orchestrator] サイトをクリックしてから、メイン領域で [構成エディター] をダブルクリックします。


  6. [構成エディター] の上部にある [セクション] リストから system.webServer/security/authentication/windowsAuthentication を選択します。
  7. [useAppPoolCredentials] の値を [True] に設定します。

手順 3: Orchestrator を構成する

  1. 管理ポータルにシステム管理者としてログインします。
  2. [セキュリティ設定] に移動します。
  3. [外部プロバイダー] セクションで、[Active Directory][設定] をクリックします。


    画面右に [Active Directory を設定] パネルが開きます。

  4. [有効] チェック ボックスをオンにします。
  5. ユーザーに Active Directory の資格情報を使用したログインのみを許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。

    すると、ユーザーは今後 Orchestrator のユーザー名とパスワードではログインできなくなり、ドメイン修飾されたユーザー名を含む Active Directory の資格情報を使用する必要があります。

  6. 必要に応じて [表示名] フィールドの値を編集し、ログイン ページに表示される Windows 認証ボタンのラベルをカスタマイズします。
  7. IIS サイトを再起動します。外部プロバイダーに変更を加えるたびに再起動する必要があります。

手順 4: 認証プロトコルを検証する

これで連携が構成されました。Active Directory の資格情報を使用してテスト ログインを実行し、Kerberos プロトコルがログインに使用されることを確認することをお勧めします。

  1. Active Directory の資格情報で Orchestrator にログインして、ログイン イベントを作成します。

    ログインした時刻をメモします。

  2. Windows でイベント ビューアーを開きます。
  3. [Windows ログ] > [セキュリティ] に移動します。
  4. セキュリティ イベントのリストで以下のエントリを探します。
    • イベント ID: 4624
    • 日付と時刻: Active Directory の資格情報でログインした今日の日付と時刻。
  5. 行をダブルクリックして、[イベント プロパティ] ダイアログを開きます。
  6. [全般] タブで、[詳細な認証情報] のセクションまで下にスクロールして、以下を確認します。


    Kerberos 認証が使用された場合:

    • [認証パッケージ] の値は [Negotiate] となります。
    • [パッケージ名] の値は空白 (-) となります。この値は NTLM の場合のみ適用されるからです。値が [NTLM V2] の場合は、Kerberos ではなく、既定の認証プロトコルが使用されたことになります。
注: Google Chrome シークレット モードでは、ブラウザーにより資格情報が求められ、資格情報を使用した明示的な認証が行われます。このフローが実行されると、Kerberos が使用されます。

Was this page helpful?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.