CoE Manager を SSO 用に構成する

Security Assertion Markup Language (SAML) 2.0 プロトコルを使用して、ID プロバイダー (IdP) 経由の CoE Manager 認証を有効にするには、シングル サインオン (SSO) オプションを使用します。

SAML SSO ログイン設定

CoE Manager を設定する前に、次の要件が満たされていることを確認してください。

  1. 次の記載されているリンクを使用して、個々の CoE Manager 領域に適したサービス プロバイダー (SP) メタデータをダウンロードします。
  2. 前の手順で取得したメタデータで IdP (アイデンティティ プロバイダー) を構成し、SAML アサーションに次の情報を入力します。
    • E メール アドレス、名、姓、NameID
    • IdP 起動ログインのリダイレクト URL (リレー状態パラメーターとして)
    注: NameID は、メールアドレスなどの IdP に設定されたユニークな属性を含みます。 この識別子は、CoE Manager が受信した SAML 応答をシステム内の対応するユーザーアカウントと一致させることを可能にし、手動認証を必要とせずにシームレスなログインを実現します。 SAMLファイル(XML形式)で共有されたNameIDを見つけることができます。
  3. IdP メタデータと IdP から受信した属性名 (E メール アドレス、名、姓) を Automation Anywhere サポート チームに提供します。

ログイン ワークフロー

SAML SSO ログインは、次のいずれかの方法で設定することができます。

  • サービス プロバイダー起動ログイン: SP 起動ログインは CoE Manager から開始され、ユーザーが URL からアプリケーションにアクセスすると起動されます。 SP 起動ログインでは、サービスや特定のオブジェクトへのアクセスが許可される前に正しい認証を保証するために、適切な IdP にリダイレクトされる必要があります。 SSO の設定が必須か任意に応じて、ログインのワークフローは異なります。 詳細については、以下をご覧ください。
    • 強制的な SSO: SSO が有効になってから、CoE Manager のログイン ページにメール アドレスを入力し、[次へ] をクリックします。

      CoE Manager はマルチテナント アプリケーションであるため、リダイレクト先の IdP を決定するためにメール アドレスを使用する必要があります。 このメールアドレスは、あなたの組織に関連する任意のドメインからのものである可能性があります。CoE Manager は、入力されたメールドメインに基づいてIdPにリダイレクトされます。 たとえば、お客様の組織が Acme Corp の場合、関連するドメインとして acme.com と acmeent.com を使用することができます。 この場合、[次へ] をクリックすると、@acme.com と @acmeent.com を含むアドレスは、IdP にリダイレクトされます。 IdP 認証後、CoE Manager のページにリダイレクトされます。

    • オプションの SSO: ログイン ページで、メール アドレスを入力し、[次へ] をクリックします。 IdP に自動的にリダイレクトされず、パスワードを入力するか、認証のために IdP に送信される SSO でログインするオプションのいずれかを選択するよう求められます。
    注:
    • CoE Manager は SSO によるディープ リンクをサポートしています。 リンクをクリックした後で、CoE Manager のログイン ページに E メール アドレスを入力してください。 入力すると、IdP にリダイレクトされ認証されます。 認証後、最初に要求された URL にリダイレクトされます。
    • CoE Manager は、SSO を使用してアプリケーションに正常にログインすると、Cookie を作成します。 これにより、以降の CoE Manager へのログインは、ユーザー名とパスワード画面をバイパスし、適切な SSO ログイン ページに自動的にリダイレクトされます。 また、CoE Manager のログイン ページ (https://<region>.shibumi.com/shibumi/login) に直接移動することで、Cookie を上書きすることができます。
    • SSO を使用して CoE Manager への初回ログインに成功すると、ユーザー アカウントが自動的に作成されます。
  • IdP 起動ログイン: IdP 起動ログインでは、IdP から直接 (ログイン ページが表示されずに) CoE Manager にアクセスできます。 この方法を使用して CoE Manager を起動すると、組織の CoE Manager のホームページ、または IdP がリレー状態パラメーターとして提供する URL に直接移動します。

アカウントのプロビジョニング

CoE Manager は、SSO を有効にしている組織に対して、必要に応じてユーザー アカウントを提供します。 アカウントは次の場合に生成されます。

  • ユーザーが CoE Manager のオブジェクトにロールを割り当てられた場合
  • ユーザーが CoE Manager の作業項目に招待された場合
  • ユーザーが初めて CoE Manager にアクセスしようとした場合

典型的なアカウントのプロビジョニング シーケンスは、既存のユーザーにより CoE Manager の作業項目に招待されるユーザーを想定しています。 これにより、ユーザーのアカウントの自動プロビジョニングをトリガーします。 この操作を実行しないと、ユーザーが初めて CoE Manager にアクセスしようとしたとき、アカウントがプロビジョニングされ、ユーザーは作業項目にアクセスできなくなります。 これは複雑な操作になります。 このため、ユーザーが初めてアクセスする前に、作業項目にそのユーザーを参加招待しておくことを推奨します。

注: ユーザー アカウントは、IdP から一括でインポートされません。 ユーザーが組織に参加したり、組織から離脱したりする場合、CoE Manager インスタンスからユーザーが自動的に追加/削除されることはありません。

ユーザーが IdP 経由で認証されると、SAML ペイロードで提供された属性値を反映するために、CoE Managerでユーザーの氏名が更新されます (属性への姓と名のマッピングは CoE Manager と IdP の SAML 構成の一部です)。