CoE Manager を SSO 用に構成する

Security Assertion Markup Language (SAML) 2.0 プロトコルを使用して、ID プロバイダー (IdP) 経由の CoE Manager 認証を有効にするには、シングルサインオン (SSO) オプションを使用します。

SAML SSO ログイン設定

CoE Manager を設定する前に、次の要件が満たされていることを確認してください。

次の記載されているリンクを使用して、個々の CoE Manager 領域に適したサービスプロバイダー (SP) メタデータをダウンロードします。
- 米国の環境: テスト | Prod
- EU の環境: テスト | Prod
- AP の環境: テスト | Prod
前の手順で取得したメタデータで IdP (アイデンティティプロバイダー) を構成し、SAML アサーションに次の情報を入力します。
- E メールアドレス、名、姓、NameID
- IdP 起動ログインのリダイレクト URL (リレー状態パラメーターとして)
IdP メタデータと IdP から受信した属性名 (E メールアドレス、名、姓) を Automation Anywhere サポートチームに提供します。

ログインワークフロー

SAML SSO ログインは、次のいずれかの方法で設定することができます。

サービスプロバイダー起動ログイン: SP 起動ログインは CoE Manager から開始され、ユーザーが URL からアプリケーションにアクセスすると起動されます。SP 起動ログインでは、サービスや特定のオブジェクトへのアクセスが許可される前に正しい認証を保証するために、適切な IdP にリダイレクトされる必要があります。SSO の設定が必須か任意に応じて、ログインのワークフローは異なります。詳細については、以下を参照してください。
- 強制的な SSO: SSO が有効になってから、CoE Manager のログインページにメールアドレスを入力し、[次へ] をクリックします。
  CoE Manager はマルチテナントアプリケーションであるため、リダイレクト先の IdP を決定するためにメールアドレスを使用する必要があります。このメールアドレスは、組織に関連付けられた任意のドメインを使用することができます。CoE Manager は入力されたメールドメインに基づいて IdP にリダイレクトします。たとえば、お客様の組織が Acme Corp の場合、関連するドメインとして acme.com と acmeent.com を使用することができます。この場合、[次へ] をクリックすると、@acme.com と @acmeent.com を含むアドレスは、IdP にリダイレクトされます。IdP 認証後、CoE Manager のページにリダイレクトされます。
- オプションの SSO: ログインページで、メールアドレスを入力し、[次へ] をクリックします。IdP に自動的にリダイレクトされず、パスワードを入力するか、認証のために IdP に送信される SSO でログインするオプションのいずれかを選択するよう求められます。
注:
- CoE Manager は SSO によるディープリンクをサポートしています。リンクをクリックした後で、CoE Manager のログインページに E メールアドレスを入力してください。入力すると、IdP にリダイレクトされ認証されます。認証後、最初に要求された URL にリダイレクトされます。
- CoE Manager は、SSO を使用してアプリケーションに正常にログインすると、Cookie を作成します。これにより、以降の CoE Manager へのログインは、ユーザー名とパスワード画面をバイパスし、適切な SSO ログインページに自動的にリダイレクトされます。また、CoE Manager のログインページ (https://<region>.shibumi.com/shibumi/login) に直接移動することで、Cookie を上書きすることができます。
- SSO を使用して CoE Manager への初回ログインに成功すると、ユーザーアカウントが自動的に作成されます。
IdP 起動ログイン: IdP 起動ログインでは、IdP から直接 (ログインページが表示されずに) CoE Manager にアクセスできます。この方法を使用して CoE Manager を起動すると、組織の CoE Manager のホームページ、または IdP がリレー状態パラメーターとして提供する URL に直接移動します。

アカウントのプロビジョニング

CoE Manager は、SSO を有効にしている組織に対して、必要に応じてユーザーアカウントを提供します。アカウントは次の場合に生成されます。

ユーザーが CoE Manager のオブジェクトにロールを割り当てられた場合
ユーザーが CoE Manager の作業項目に招待された場合
ユーザーが初めて CoE Manager にアクセスしようとした場合

典型的なアカウントのプロビジョニングシーケンスは、既存のユーザーにより CoE Manager の作業項目に招待されるユーザーを想定しています。これにより、ユーザーのアカウントの自動プロビジョニングをトリガーします。この操作を実行しないと、ユーザーが初めて CoE Manager にアクセスしようとしたとき、アカウントがプロビジョニングされ、ユーザーは作業項目にアクセスできなくなります。これは複雑な操作になります。このため、ユーザーが初めてアクセスする前に、作業項目にそのユーザーを参加招待しておくことを推奨します。

注: ユーザーアカウントは、IdP から一括でインポートされません。ユーザーが組織に参加したり、組織から離脱したりする場合、CoE Manager インスタンスからユーザーが自動的に追加/削除されることはありません。

ユーザーが IdP 経由で認証されると、SAML ペイロードで提供された属性値を反映するために、CoE Managerでユーザーの氏名が更新されます (属性への姓と名のマッピングは CoE Manager と IdP の SAML 構成の一部です)。

Automation 360

CoE Manager を SSO 用に構成する