Control Room 向けの Active Directory の設定: 自動モード

Control Room で組織内のドメインとサイトを検出して一覧表示できるようにすることで、Active Directory を使用してユーザーを認証するように Control Room を設定します。

注: Active Directory 統合は不可逆的であり、一度確立した構成を変更することはできません。
um-properties ファイルは Control Room で使用される設定ファイルです。 ユーザー管理および LDAP 設定に関連するさまざまなプロパティと設定を定義する上で重要な役割を果たします。 um-properties ファイルの設定可能なエントリを理解するために、以下の表を確認してください:
エントリ 内容
um.ad.max.gc.url.per.forest=10 フォレストごとに収集されるGC URLの数、デフォルトは10
um.ad.max.kdc.per.domain=3 ドメインごとに許可されるKDCサーバーの数、デフォルトは3です
um.ad.max.retry.count=2 リクエストは x 回数試行され、デフォルトは 2です
um.ad.retry.delay.milliseconds=500 リクエストは x ミリ秒後に再試行されます。デフォルトは 500 ミリ秒です
um.ad.retry.max.delay.milliseconds=5000 リクエストはxミリ秒以内に再試行されます。デフォルトは5000ミリ秒です
um.ad.krb5.cr.retries=1 これは、認証に失敗した場合にCRがADに再認証することを強制します。デフォルトは1で、その場合は2または3に調整できます
um.ldap.connect.timeout.milliseconds=2000 接続タイムアウト、デフォルトは 2000 ミリ秒
um.ldap.kdcs=\'\' エントリにさまざまなキー配布センター (KDC) が定義されている場合、自動検出プロセスで見つかったものを上書きします。 これは、顧客が任意の KDC を上書きする能力を持つための安全ネットを作成します。 このエントリが定義されると、対応する KDC を持つすべてのドメインがここに定義されなければなりません。

デフォルトは空です

例えば、AD 環境に合計3つのドメインがある場合、domain1.comdomain2.comdomain3.com、エントリは次のようになります :
um.ldap.kdcs='domain1.com:host1.domain1.com:host2.domain1.com,domain2.com:host1.domain2.com:host2.domain2.com',domain3.com:host1.domain3.com'
um.ldap.read.timeout.milliseconds=10000 読み取りタイムアウト、デフォルトは10000ミリ秒です
um.ad.total.db.user.per.retrieval=1000 これはユーザーロールのバッチ同期用で、各 Retrieval ごとに DB からx人のユーザーを読み込みます。
um.ldap.groupmapping.domain.filter=\'\' この行が定義されていない場合、ユーザーグループがデフォルトになります。
um.ldap.groupmapping.sync.on.get.mappings=false デフォルトでは false になっているため、UI にマッピングのリストを表示する際にマッピングリストは検証されません。 それを true に設定すると、パフォーマンスが低下する可能性があるマッピングリストを検証するために、get mappings 呼び出しが行われるたびに以前の動作を逆転させます。

初回起動時に Control Room を構成するには、次を実行します。

手順

  1. デスクトップの Automation Anywhere Control Room アイコンをダブルクリックします。

    [ Control Room の設定を構成] ページが表示されます。

  2. リポジトリ パスを入力します。
    これは IQ BotTask Bots など、アップロードしたオートメーション ファイルが保管されている場所です。 例、C:\ProgramData\AutomationAnywhere\Server Files
  3. アクセス URL を入力します。
    これは、インストールした Control Room にユーザーがアクセスするための URL です。
  4. [保存して続行] をクリックします。
    重要: [保存して続行] をクリックすると、Web ブラウザの [戻る] ボタンが自動的に無効になります。 これにより、生成される Credential Vault Master Keyは、リポジトリ パスや Control Room のアクセス URL と確実に一致します。

    [ Control Room の設定を構成] ページに戻るには、CtrlF5 を押して再起動します。

    [ Credential Vault 設定] ページが表示されます。
  5. 以下のオプションから選択します。
    • エクスプレス モード: システムは Master Key に接続するためのCredential Vaultを格納します。 このオプションは、本番環境ではおすすめしません。
    • 手動モード: Master Key を自分で保管し、Master Key がロックされたときに Credential Vault を提供します。 ユーザーは Master Key を使用して Credential Vault に接続し、Task Bots の作成時と実行時に必要な資格情報を取得してアクセスします。
      重要: Master Keyを紛失すると、Control Room にアクセスできなくなります。
  6. [保存して続行] をクリックします。
    重要: [保存して続行] をクリックすると、Web ブラウザの [戻る] ボタンが自動的に無効になります。 Control Room の構成も、Credential Vault の設定も、これ以上変更できません。

    変更するには、Control Room を再インストールします。

    [ Control Room ユーザーの認証タイプ] ページが表示されます。
  7. Active Directory を選択します。
    Automation Anywhere は、Active Directory 用の Control Room マルチフォレスト認証をサポートします。 認証タイプを指定する前に、次を確認します。
    • フォレスト間に一方向の信頼がある場合:
      • Bot Agent デバイスが 1つ以上のフォレストにあり、Control Room が別のフォレストにある場合、その Control Room は信頼するフォレストにある必要があります。
      • Control Room を含むフォレストと、Bot Agent デバイスを含む各フォレストとの間に信頼関係を設定します。
      • Bot Agent デバイスと Control Room を含むドメインは、ドメイン間で双方向の信頼関係が設定されている必要があります。
    • フォレスト間に双方向の信頼がある場合:
      • Bot Agent デバイスが 1 つまたは複数のフォレストに存在し、Control Room が別のフォレストに存在する場合、Bot Agent デバイスと Control Room を含むすべてのフォレストは、フォレスト間で双方向の信頼が設定されています。
      • Control RoomBot Agent デバイスを含むすべてのフォレスト間で信頼関係を設定します。
      • Bot Agent デバイスと Control Room を含むドメインは、ドメイン間で双方向の信頼関係が設定されている必要があります。
    • LDAP サーバーのルート証明書は、提供されている CertMgr ツールを使用し、コマンド経由でインポートされます。
    • フォレストごとに提供される LDAP URL は、ロード バランサーの背後にあってはなりません。 また、すべての LDAP URL は、ルート (メイン) ドメイン コントローラーをポイントする必要があります。
    • Control Room を実行するノードは、Active Directory が実行されている同じドメイン ネットワーク内にあります。
    • ユーザーは親ドメイン内にあり、URL は親を指しています。

      これにより 2 つ以上のフォレストがあり、いずれかのフォレストに異なる名前空間を持つサブドメインがある場合、他のフォレストのユーザーにはそのサブドメインへのアクセス許可がないようにします。

  8. ドメイン ユーザー名を入力します
    ユーザー プリンシパル名 (UPN) を username@domain.com 形式で使用します。
    入力するユーザー名は、同じ資格情報を使用してすべてのドメインにアクセスできるユーザーです。
  9. ドメイン パスワードを入力します
    このユーザーは Control Room を使用することを想定されていません。 パスワードを更新するオプションはありますが、[有効期限のないパスワード] オプションがあるアカウントの使用をおすすめします。 期限切れになった場合は更新できますが、ある程度のダウンタイムが発生します。
  10. [接続を探す] をクリックします。
    ドメインごとに 1 つ以上のサイトを持つ、検出されたすべての Active Directory ドメインが表示されます。
    デフォルトでは、すべてのドメインとサイトが選択されます。 1 つのドメインとその下の 1 つのサイトだけが検出された場合は、読み取り専用モードで表示され、編集できません。
    [<installation path>/config] に保存されている [um.properties] ファイルに次のプロパティを追加することで、複数のドメインで検出できるドメインごとのサイトの最大数を構成できます。

    um.ldap.auto.discovery.find.max.sites=<number of sites>

    たとえば、[um.properties] ファイルにエントリ um.ldap.auto.discovery.find.max.sites=15 を追加することにより、ドメインごとに最大 15 サイトの自動検出を設定できます。 これは、所有しているすべてのドメインについて、ドメインごとに最大 15 の関連サイトを検出できることを意味します。

    注: このプロパティが設定されていない場合、デフォルトでは、ドメインごとに 10 個のサイトが検出されます。
  11. 認証に使用するドメインとサイトを選択します。

    認証に使用するドメインとサイトを選択します。 選択された各ドメインについて、1 つ以上のサイトを選択します。

  12. [接続テスト] をクリックして、認証に使用するサイトを登録します。
  13. [接続をチェック] をクリックします。

    Control RoomActive Directory データベースに接続できない場合は、エラー メッセージが表示されます。

  14. [次へ] をクリックします。
    [ Control Room の最初の管理者] ページが表示されます。
  15. ドロップダウン リストから [Active Directory ドメイン] を選択し、Control Room 管理者のユーザー名を入力します。
  16. [Active Directory 内の名前を確認] をクリックします。
    Active Directory 内にユーザー名がある場合は、次のユーザー詳細が表示されます。
    • []
    • []
    • E メール

    必要に応じて、これらの事前設定フィールドは編集できます。

  17. [保存してログイン] をクリックします。

    Control Room に管理者としてログインされます。 これで、Control RoomBot Agent を使用して、RPA 環境全体を構成および管理できるようになりました。

次のステップ

Control Room の設定後に製品ライセンスをインストールします。