Orchestrator

2022.4

偽

基本情報
- はじめに
- ユーザーオプション
- Orchestrator にログインする
- パスワードをリセットする
- マイプロフィール
- ロボット
  - ロボットのステータス
  - ロボットの設定
- クライアントコンポーネントを自動更新する
- Orchestrator の構成チェックリスト
ベストプラクティス
- Orchestrator の組織モデリング
- 大規模なデプロイを管理する
- オートメーションのベストプラクティス
- マシンテンプレートを使用して無人インフラストラクチャを最適化する
- タグを使用してリソースを整理する
テナント
- テナントコンテキストについて
- テナント内でリソースを検索する
- ロボット
- フォルダー
- 監視
- アクセス権とオートメーションの機能を管理する
- マシン
- パッケージ
- 監査
- 資格情報ストア
- Webhook
  - イベントの種類
  - Webhook を管理する
- アラート
  - アラートメールを設定する
- 設定
リソースカタログサービス
- リソースカタログサービスについて
フォルダーコンテキスト
- フォルダーコンテキストについて
- ホーム
自動化
- オートメーションについて
プロセス
- プロセスについて
- プロセスを管理する
- パッケージ要件を管理する
- レコーディング機能について
ジョブ
- ジョブについて
- ジョブを管理する
- ジョブのステート
- 長期実行のワークフローを使用する
トリガー
- トリガーについて
- トリガーを管理する
- cron 式を使用する
ログ
- ログについて
- Orchestrator でログを管理する
- ログレベル
- Orchestrator のログ
監視
- 監視について
- マシン
- プロセス
- キュー
- キュー SLA
キュー
- キューおよびトランザクションについて
- キューアイテムを CSV ファイルを使用して一括アップロードする
- Orchestrator でキューを管理する
- Studio でキューを管理する
- トランザクションを管理する
  - トランザクションを編集する
  - トランザクション .csv ファイルのフィールドの説明
- レビューリクエスト
アセット
- アセットについて
- Orchestrator でアセットを管理する
- Studio でアセットを管理する
- アセットを Azure Key Vault (読み取り専用) に保存する
- アセットを HashiCorp Vault (読み取り専用) に保存する
ストレージバケット
- ストレージバケットについて
  - CORS/CSP の設定
- ストレージバケットを管理する
- ストレージプロバイダー間でバケットデータを移動する
Test Suite - Orchestrator
- テストオートメーション
- テストケース
  - [テストケース] ページのフィールドの説明
- テストセット
  - [テストセット] ページのフィールドの説明
- テスト実行
  - [テスト実行] ページのフィールドの説明
- テストスケジュール
  - [テストスケジュール] ページのフィールドの説明
- テストデータのキュー
ホストの管理
- ホスト管理ポータル
- システムメール通知を設定する
- システム管理者を管理する
- ホストライセンスを管理する
  - テナントにホストライセンスを割り当てる
  - ライセンスを管理する
- Orchestrator のホストの設定
  - テナントを管理する
- ホストの認証設定
  - アップグレード後に認証を再設定する
- ホスト監査ログ
- ログインページをカスタマイズする
- メンテナンスモード
Identity Server
- UiPath Identity Server について
認証
- Active Directory との連携を構成する
- SSO を構成する: SAML 2.0
- SSO を構成する: Google
- SSO を構成する: Azure Active Directory
- スマートカード認証
組織管理者
- ライセンス
  - ライセンスをアクティベーションする
- アカウントとグループ
- 外部アプリケーションを登録する
  - 外部アプリケーションを管理する
- 監査ログ
- 認証とセキュリティを上書きする
  - Azure AD 連携を設定する
  - SAML 連携を設定する
- システムメールの設定を上書きする
その他の構成
- パッケージファイルのサイズ制限を増やす
- テナントごとに暗号化キーを設定する
- GZIP 圧縮
Integrations
- 入力および出力引数について
  - 入力および出力引数の使用例
クラシックロボット
- ロボット
- 環境 (ロボットグループ)
  - ロボットグループを管理する
- ジョブ
- トリガー
- 監視
  - ロボット
- リソース
トラブルシューティング
- トラブルシューティングについて

Orchestrator ユーザーガイド

最終更新日 2024年4月19日

SAML 連携を設定する

Orchestrator は、SAML 2.0 標準を使用する任意の ID プロバイダー (IdP) に接続できます。ここでは、SAML 連携の設定例をいくつか示して、全体的なプロセスについて説明します。

設定プロセスの概要

SAML 連携は、既存のユーザーの混乱を招くことなく、段階的に導入することができます。

プロセスの主なフェーズは、これからこのページで詳しく説明しますが、次のとおりです。

非アクティブなユーザーアカウントをクリーンアップする
SAML 連携を設定する
SAML SSO でサインインするように既存のユーザーを移行する
新しいユーザーに権限とロボットを設定する
ローカルアカウントの使用を中止する (任意)

既知の制限事項

ID プロバイダーからアカウントを検索できない

SAML 連携では、ID プロバイダーからすべてのユーザーとグループを検索することはできません。検索できるのは、プロビジョニングされたディレクトリユーザーのみです。

SAML 構成 UI に表示される ACS URL の誤り

[SAML SSO の構成] ページに表示される [アサーションコンシューマーサービス URL] が間違っています。

回避策: この問題を解決するには、パーティション ID を含めずに IdP の [アサーションコンシューマーサービス URL] を設定します。たとえば、元の URL: https://{your-domain}/91483651-d8d6-4673-bd3f-54b0f7dc513a/identity_/Saml2/Acs は次のようになります。https://{your-domain}/identity_/Saml2/Acs

注:

この回避策には、次の 2 つの注意点があります。

IdP によって開始されるログインフローは期待どおりに動作しません。
この問題は v2023.4 で修正されています。v2023.4 以降にアップグレードした場合は、パーティション ID を含むように [アサーションコンシューマーサービス URL] を変更する必要があります。

前提条件

SAML 連携を設定するには、以下が必要です。

Enterprise または Enterprise 無料トライアルライセンスを持つ Orchestrator 組織。
Orchestrator とサードパーティ ID プロバイダーの、両方の管理者権限。

ID プロバイダーの管理者権限がない場合は、管理者とともに設定プロセスを完了できます。
UiPath Studio および UiPath Assistant のバージョン 2020.10.3 以降 (推奨されるデプロイを使用するよう設定できるようにするため)。

注:
現在、認証に Azure Active Directory との連携を使用している場合は、より豊富な機能を使用できる AAD との連携をそのまま維持することをお勧めします。

AAD との連携から切り替える場合は、アクセススキーマを完全に再作成しなくても済むように、ディレクトリグループを使用して行われたロール割り当てを、ディレクトリアカウントへのロールの直接割り当てに、手動で置き換える必要があります。

手順 1: 非アクティブなユーザーアカウントをクリーンアップする

組織でメールアドレスを再利用している場合は、SAML 連携を設定する前に、非アクティブなユーザーアカウントをすべて削除することが重要です。

連携を有効化すると、Orchestrator に存在するローカルアカウントを、同じメールアドレスを使用する外部 ID プロバイダーのディレクトリアカウントにリンクできます。このアカウントのリンクは、そのメールアドレスのディレクトリアカウントユーザーが初めてサインインしたときに作成されます。移行がシームレスに行われるように、ID プロバイダーの ID は、ローカルアカウントのすべてのロールを継承します。

そのため、Orchestrator に非アクティブなローカルアカウントが存在する場合、ローカルアカウントとディレクトリアカウントが一致せず、意図せずに権限が昇格される可能性があります。

非アクティブなユーザーアカウントを削除するには、以下の手順を実行します。

Orchestrator に管理者としてログインします。
[管理] > [アカウントとグループ] > [ユーザー] タブに移動します。
[最終操作日] 列の列ヘッダーをクリックして、最終ログインの日付が最も古いユーザーが一番上に表示されるように、ユーザーを並べ替えます。

[最終操作日] 列には、ユーザーが最後に Orchestrator にログインした日付が表示されます。上の例のように、この列に [保留中] と表示された場合、ユーザーがログインしたことがないことを示します。この情報を使用して、非アクティブなユーザーを識別することができます。
行の端にある削除アイコンをクリックして、そのユーザーのローカルアカウントを削除します。
確認ダイアログの [削除] をクリックして、Orchestrator からアカウントを削除することを確認します。

ページからユーザーアカウントが削除されます。
操作を続行して、組織の非アクティブなユーザーアカウントをすべて削除します。

手順 2: SAML 連携を設定する

続いて、Orchestrator と ID プロバイダー (IdP) の両方を連携用に設定する必要があります。

手順 2.1: SAML サービスプロバイダーの詳細情報を取得する

Orchestrator に管理者としてログインします。
[管理] > [セキュリティ設定] > [認証設定] に移動します。
[ユーザーは、SAML SSO を使用してサインインできます] を選択して、[設定] をクリックします。

情報ダイアログが開きます。
ダイアログで、[続行] をクリックします。

次のページで、連携の概要が示されます。
右下の [次へ] をクリックして設定に進みます。

[全般設定] 手順の [IdP で構成するデータ] で、Orchestrator に接続するよう ID プロバイダーを設定するために必要な情報が示されます。
[エンティティ ID] と [アサーションコンシューマーサービス URL] の値をコピーして保存します。これらは、次の手順で必要になります。

重要: この連携をホストレベルでも設定してある場合は、ホストではなく組織レベルの [アサーションコンシューマーサービス URL] の値を使用していることを確認してください。

このブラウザータブは、後で使用するために開いたままにします。

手順 2.2: ID プロバイダーを設定する

Orchestrator は、SAML 2.0 標準を使用する任意のサードパーティの ID プロバイダー (IdP) に接続できます。

設定は選択した IdP によって異なることがありますが、以下のプロバイダーについては設定を検証済みです。

Okta
PingOne

以下の設定手順を使用して、これらのプロバイダーとの連携を設定できます。

他の ID プロバイダーについては、それぞれの連携に関するドキュメントに従ってください。

A. Okta の設定例

注: このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、Okta のドキュメントをご覧ください。

別のブラウザータブで、Okta の管理コンソールにログインします。
[アプリケーション] > [アプリケーション] に移動します。[アプリ統合を作成] をクリックし、サインオン方法として [SAML 2.0] を選択します。
[一般設定] ページで、連携しているアプリの名前として Orchestrator を指定します。
[Configure SAML] ページの [General] セクションに、次のように入力します。
1. シングル・サインオンURL: Orchestrator から取得したアサーションコンシューマーサービス URL の値を入力します。
2. [Use this for Recipient URL and Destination URL] チェックボックスをオンにします。
3. 対象URI: Orchestrator から取得したエンティティ ID の値を入力します。
4. 名前 ID のフォーマット: [EmailAddress] を選択します。
5. アプリケーションのユーザー名: [Email] を選択します。
[属性ステートメント] に以下を追加します。
1. 名前: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
2. [名前のフォーマット] は [指定なし] のままにします。
3. [値] を user.email に設定するか、ユーザーの一意のメールアドレスを含むユーザー属性に設定します。
4. 必要に応じて、他の属性マッピングを追加します。Orchestrator では、姓、名、役職、部門の各ユーザー属性もサポートしています。その後、この情報は Orchestrator に反映され、Automation Hub など他のサービスで利用できるようになります。
[フィードバック] ページで、好みのオプションを選択します。
[Finish (完了)] をクリックします。
[サインオン] タブの [設定] セクションの [セットアップ方法を表示] で、[Identity Provider metadata URL] の値をコピーし、後で使用するために保存します。
Orchestrator 用の [アプリケーション] ページで、新たに作成したアプリケーションを選択します。
[割り当て] タブで、[割り当て] > [ユーザーに割り当てる] を選択し、Orchestrator での SAML 認証の使用を許可するユーザーを選択します。

新たに追加されたユーザーが [People] タブに表示されます。

B. PingOne の設定例

注: このセクションの手順は、設定例を示すためのものです。このページに記載されていない IdP の設定について詳しくは、PingOne のドキュメントをご覧ください。

別のブラウザータブで、PingOne の管理コンソールにログインします。
[Connections] > [Applications] に移動し、プラス記号のアイコン + をクリックします。
[Web App] をクリックし、[SAML] に対して [Configure] をクリックします。
[Create App Profile] ページで Orchestrator アプリの名前を指定します。
[Configure SAML Connection] ページで [Manually Enter] を選択し、以下の詳細情報を入力します。
- ACS URLs: Orchestrator から取得したアサーションコンシューマーサービス URL の値を入力します。
- Entity ID: Orchestrator から取得したエンティティ ID の値を入力します。
- SLO binding: HTTP Redirect
- Assertion Validity Duration: 有効期間の秒数を入力します。
[Save and Continue] をクリックします。
[Map Attributes] ページで、メールアドレスを入力します。
1. [+ Add Attribute] を選択します。
2. [Application Attribute] に http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress と入力します。
3. [Outgoing Value] を [Email Address] のアドレスに設定するか、ユーザーの一意のメールアドレスを含むユーザー属性に設定します。
4. [Required] チェックボックスをオンにします。
5. 必要に応じて、他の属性マッピングを追加します。Orchestrator では、姓、名、役職、部門の各ユーザー属性もサポートしています。その後、この情報は Orchestrator に反映され、Automation Hub など他のサービスで利用できるようになります。
[Save and Close] をクリックします。
Orchestrator アプリのトグルをクリックし、アプリケーションを有効化して、ユーザーがアクセスできるようにします。
[Configuration] タブで、後で使用するために [IdP Metadata URL] の値をコピーして保存します。

手順 2.3: Orchestrator を構成する

ID プロバイダーを認識するサービスプロバイダーとして Orchestrator を有効化するには、以下の手順を実行します。

Orchestrator の [SAML 構成] タブに戻ります。
[全般設定] の手順の [IdP からのデータ] で、構成時に取得したメタデータ URL を [メタデータ URL] フィールドに入力します。
[データを取得] をクリックします。

完了すると、[サインオン URL]、[ID プロバイダーのエンティティ ID]、および [署名証明書] フィールドに IdP の情報が入力されます。
右下の [次へ] をクリックして、次の手順に進みます。
[プロビジョニング設定] の [許可されているドメイン] セクションに、ユーザーのサインインを許可するドメインを入力します。設定済みの ID プロバイダーによってサポートされるすべてのドメインを入力します。

複数のドメインはコンマで区切ります。
メールアドレスが一致するアカウントがリンクされることに同意するチェックボックスをオンにします。
必要に応じて、[属性マッピング] に入力します。
詳細情報も設定する場合は、右下の [次へ] をクリックして、最後の手順に進みます。

それ以外の場合は、[テストして保存] をクリックして連携の設定を終了し、このセクションの残りの手順はスキップします。
[詳細設定] ページで、必要に応じてオプションを設定します。
- 未承諾の認証応答を許可: IdP ダッシュボードから Orchestrator に移動できるようにする場合は有効化します。
- SAML バインドの種類: [HTTP リダイレクト] では、HTTP ユーザーエージェントを介し、URL パラメーターを使用して通信するように、SAML を設定します。
- サービス証明書の使用方法: 任意のオプションを選択します。
[テストして保存] をクリックして、連携の設定を終了します。

手順 2.4: 連携が実行中であることを確認する

SAML SSO 連携が正しく機能していることを確認するには、以下の手順を実行します。

シークレットブラウザーウィンドウを開きます。
Orchestrator URL に移動します。
以下を確認します。
1. SAML ID プロバイダーでサインインを求められるか。
2. 正常にサインインできるか。
3. 既存のユーザーアカウントと一致するメールアドレスでサインインしている場合、適切な権限を持っているか。

手順 3: ユーザーを SAML SSO に移行する

権限を設定したら、既存のすべてのユーザーに、UiPath アカウントからサインアウトし、SAML SSO を使用してサインインしてもらうことをお勧めします。

SAML SSO を使用して Studio と Assistant にサインインするには、Assistant を以下のように設定する必要があります。

Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
[サインアウト] をクリックします。
接続の種類として [サービス URL] を選択します。
[サービス URL] フィールドに組織固有の URL を入力します。

URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例: https://cloud.uipath.com/orgID/)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
SAML SSO でサインインし直します。

手順 4: 権限とロボットを設定する

この手順は、連携を有効化したときに、以前に Orchestrator を使用したことがないため、Orchestrator でローカルアカウントが設定されていない新しいユーザーにのみ必要となります。

新しいユーザーは、(外部 IdP で使用された) メールアドレスによって Orchestrator グループに追加できます。ユーザーがグループに割り当てられるか、ユーザーがサインインすると、Orchestrator のすべてのサービスでユーザーを検索してロールを割り当てられるようになります。

手順 5: ローカルユーザーアカウントの使用を中止する (任意)

すべてのユーザーが SAML SSO に移行し、新しいユーザーが設定されたら、管理者アカウント以外のすべてのローカルユーザーアカウントを削除することをお勧めします。これにより、そのユーザーはローカルアカウントの資格情報でサインインできなくなり、SAML SSO でサインインしなければならなくなります。