SAML 認証の設定

Control Room のユーザー認証を Control Room データベースから SAML シングル サインオン (SSO) に切り替えます。

前提条件

注: SAML 統合は元に戻せません。確立した後は、構成を変更できません。

認証に SAML を使用する場合、IdP のネットワーク アクセス機能を使用して、Control Room によるアクセスを許可された特定の IP アドレスに制限します。認証方法を SAML に切り替える前に、設定されたすべての許可 IP アドレスが Control Room ネットワーク設定から削除されていることを確認してください。詳細については、「アクセス パブリック IP アドレスを追加」を参照してください。

Control Room に管理者としてログインしていることを確認します。

Control Room の認証を設定する前に、設定タスク (新規システムでの資格情報の導入やユーザーのインポートなど) が必要な場合があります。ユーザーをインポートする場合、SAML 統合後にログインするためには、Automation Anywhere の資格情報と、対応するレコードの両方で、ユーザー ID、E メール アドレス、名、姓が一致している必要があります。たとえば、SSO に Okta を使用する場合、SAML 統合後にログインするためには、Automation Anywhere と Okta の両方で、ユーザーの ID、E メール アドレス、名、姓が一致している必要があります。

必要なユーザー情報および証明書を用意してください。一般的なユーザー情報は、ユーザー ID、名、姓、E メール アドレスで構成されています。

注: Control Room を構成する前に、SAML IdP の設定を検証する必要があります。「サービス プロバイダーとしての Control Room の構成」を参照してください。

SAML 認証に切り替えた後、SAML IdP 形式でない ID のユーザーはログインできなくなります。このようなユーザーの非公開ワークスペースにある Bot が事前にエクスポートされていることを確認し、新しい SAML SSO 対応ユーザー アカウントに Bot をインポートできるようにする必要があります。

この構成の大部分では、必要なメタデータを作成するためにサードパーティのアプリケーションを利用しています。特定のプロバイダーに基づくより具体的な設定情報が必要な場合は、「Okta で SSO 認証を設定」を参照してください。

Control Room を SAML SSO に切り替えるには、以下の手順を実行します。

手順

  1. [管理] > [設定] > [ユーザー認証] の順に移動します。
  2. [SAML を使用] オプションを選択します。
    注: デフォルトでは、[Control Room データベースを使用] オプションが選択されています。
  3. [SAML メタデータ] フィールドに SAML IdP のメタデータを入力します。以下に、SAML2 応答の例を示します。
    <saml:AuthnStatement AuthnInstant="2022--10-24T13:41:04Z" SessionIndex="_dc2ab824-cb14-40d3-8e7f-d823193fd6a2">
                <saml:AuthnContext>
                    <saml:AuthnContextClassRef>
                        urn:oasis:names:tc:SAML:2.0:ac:classes:Password
                    </saml:AuthnContextClassRef>
                </saml:AuthnContext>
            </saml:AuthnStatement>
    注: SAML メタデータの形式は、IdP によって異なります。
  4. [Control Room の一意のエンティティ (サービス プロバイダー)] フィールドにエンティティ ID を入力します。
    注: この一意のエンティティ ID は、Control Room を識別するために SAML IdP で定義されます。
  5. [認証リクエストに署名する] フィールドで、次のいずれかのオプションを選択します。
    オプション説明
    署名しない SAML 認証要求は署名されません
    署名する SAML 認証要求は署名されます
  6. [SAML アサーションを暗号化] フィールドで、次のいずれかのオプションを選択します。
    オプション説明
    暗号化しない SAML アサーションは暗号化されません。
    暗号化 SAML アサーションは暗号化されます。
    注: 以下の条件を満たす場合、[SAML アサーションを暗号化] オプションは、[SAML 設定を検証] ボタンをクリックすると自動的に有効になります。
    • [認証リクエストに署名する] フィールドで [署名] オプションを選択しました。
    • [SAML アサーションを暗号化] フィールドで [暗号化しない] オプションを選択しました。
  7. オプション: [パブリック キー] と [プライベート キー] の値を入力します。
    • パブリック キー: SAML IdP X.509 形式の証明書を指定します。
    • プライベート キー: Control Room の SAML 認証リクエストに署名したり、SAML アサーションを暗号化したりするために生成されるプライベート キーを指定します。
    注: 署名済み SAML 認証リクエストや暗号化された SAML アサーションが必要な場合のみ、キーを入力します。

    Control Room の SAML 認証リクエストに署名したり、SAML アサーションを暗号化したりするためのパブリック キーとプライベート キーのペアの生成については、以下の記事を参照してください。SAML 認証要求に署名するための署名証明書のパブリック キーとプライベート キーを生成する方法

  8. [SAML 設定を検証] をクリックします。
    Control Room は SAML IdP を通してログインした後、設定ページの [Control Room のユーザー認証] セクションに戻ります。
    このオプションをクリックすると、SAML 2.0 IdP の Web ページにリダイレクトされ、SAML SSO ユーザー資格情報やその他の該当するデータを入力するよう求められます。
  9. プロンプトに従って SAML IdP にログインします。
  10. [変更を保存] をクリックします。
    Control Room の認証が SAML SSO に切り替わります。