This guide is written for IT and identity administrators managing an on-premise EK instance. Any reference to “your IdP,” “your IdP administrator,” or “your email domain” refers to your organization’s own infrastructure — not anything managed by Automation Anywhere.
前提条件
始める前に、次のことを確認してください。- オンプレミス EK デプロイメント は、ユーザーのブラウザからアクセス可能なバックエンド(
<your-backend-host>)とフロントエンド(<your-frontend-host>)の両方で実行されています。IdP は、<your-backend-host>/user/generic/sso/saml/acs/adminで HTTP-POST SAML 応答を受信するだけで済みます。SP メタデータをダウンロード ファイルとして提供する場合、バックエンドへの直接アウトバウンド接続は必要ありません。 - スーパー管理者として EK にサインインしています。SSO メタデータ タブとその基盤となるすべてのエンドポイントは、スーパー管理者に制限されています。
- IdP は SAML 2.0 に準拠しており、SP メタデータ XML / URL を使用することも、SP エンティティ ID と ACS URL を使用して手動で構成することもできます。
- IdP は、
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress形式を使用して、ユーザーの電子メール アドレスを SAMLNameIDとして送信するように構成されています。EK は NameID を使用してユーザー アカウントを検索またはプロビジョニングします。 - SSO を有効にする 電子メール ドメイン がわかっていること(例:
acme.com)。SSO はドメインによってキー設定されるため、そのドメインを共有するすべてのユーザー(alice@acme.com、bob@acme.comなど)は同じ IdP にルーティングされます。 - デプロイメントが実行している フロントエンド SSO モード がわかっています。これは、フロントエンドの
VITE_ALLOW_ONLY_SSO_LOGIN環境変数によって制御されます。true— シングルクリック SSO。ドメインはVITE_SSO_ENTERPRISE_IDによってハードコードされており、メタデータをアップロードするドメインと正確に一致する必要があります。false(デフォルト) — 電子メールモーダル SSO。ドメインはサインイン時のユーザーの電子メールから導出されます。複数のドメインはそれぞれ独自のアップロードされたメタデータを持つことができます。
パート 1 — SP メタデータを IdP に提供する
IdP メタデータをアップロードする前に、IdP 管理者が EK を SAML アプリケーションとして IdP に登録する必要があります。EK は、パブリックでよく知られたエンドポイントを通じて SP メタデータを公開することで、これを簡単に実現します。手動でフィールドをコピーする必要はありません。SP メタデータ エンドポイント
EK バックエンドは、SP メタデータを次の場所で公開します。EntityDescriptor です。エンドポイントは設計上認証されていないため、IdP は直接フェッチできます。
SP メタデータを共有する方法
オプション A — URL を提供する
オプション A — URL を提供する
IdP が EK バックエンド ホストに到達できる場合は、IdP 管理者に既知の URL を直接送信します。多くの最新の IdP(Okta、Entra ID、Ping、OneLogin、Auth0 など)は URL から SP メタデータをインポートでき、SP 構成(エンティティ ID、ACS URL、NameID 形式、署名証明書)を自動入力します。
オプション B — ファイルをダウンロードして渡す
オプション B — ファイルをダウンロードして渡す
IdP がバックエンド ホストに直接アクセスできない場合(セグメント化されたネットワーク、エアギャップ環境、または IdP が企業境界外の SaaS である場合によく見られます)は、XML をダウンロードして帯域外で IdP 管理者に渡します。IdP 管理者は、IdP の SAML アプリケーション構成画面に
ek_sp_metadata.xml をアップロードします。SP 構成が変更された場合(通常はバックエンドのホスト名の変更、SP 署名証明書のローテーション、またはエンティティ ID の上書きの変更)にのみ、再エクスポートと再アップロードが必要になります。手動構成(IdP がメタデータを使用できない場合)
IdP でフィールドを手動で入力する必要がある場合は、SP メタデータ XML の値を使用します。最も一般的に必須のフィールドは次のとおりです。IdP 管理者が返す必要があるもの
IdP で SAML アプリケーションが作成されたら、IdP 管理者に IdP SAML メタデータ XML を依頼してください。これはパート 2 でアップロードするファイルです。 ほぼすべての IdP がこのファイルを生成できます。IdP UI での一般的な名称:
XML は、EK がアサーションを検証できるように、少なくとも IdP の
entityID、SingleSignOnService の場所とバインディング、および IdP の署名証明書を含む IDPSSODescriptor を含む有効な SAML 2.0 EntityDescriptor である必要があります。
パート 2 — IdP メタデータのアップロード
IdP メタデータ XML を入手したら、それを EK インスタンスの電子メール ドメインに対して登録できるようになります。SSO メタデータ タブを開く
1
EK にサインインする
スーパー管理者として EK にサインインします。
2
スーパー管理者ダッシュボードを開く
右上のアカウント メニューに移動し、スーパー管理者ダッシュボード をクリックします。
3
SSO メタデータ タブに移動する
SSO メタデータ タブに切り替えます。既存のドメイン → メタデータのマッピングが3つの列で表示されるテーブルが見つかります。
- SSO ドメイン — メタデータが登録されている電子メール ドメイン(例:
acme.com)。 - 更新日 — そのドメインのメタデータが最後にアップロードまたは置き換えられた日時。
- アクション — その行の保存されたメタデータをダウンロード、更新、または削除するためのコントロール。
新しいドメインのメタデータを追加する
1
メタデータの追加ダイアログを開く
SSO メタデータ タブの右上の メタデータの追加 をクリックします。まだドメインが構成されていない場合は、空の状態カードからもクリックできます。


2
電子メール ドメインを入力する
SSO チームの電子メール ドメイン フィールドに、SSO を適用するドメインを入力します(例:
acme.com)。電子メール アドレスのドメイン部分のみを使用してください。@、パス、スキームは不要です。値は保存時に小文字に正規化されます。3
アップロード方法を選択し、XML を提供する
- ファイルをアップロード
- XML コンテンツを貼り付け
IdP 管理者が提供した
.xml ファイルを選択します。.xml 拡張子を持つファイルのみが受け付けられます。4
送信する
メタデータのアップロード をクリックします。ダイアログが閉じ、トースト通知でアップロードが確認され、新しいドメインがテーブルに表示されます。
各ドメインは同時にアクティブな IdP メタデータ ドキュメントを1つだけ持つことができます。同じドメインに対して再アップロードすると、既存のメタデータが置き換えられます。詳しくは、以下の 既存のドメインのメタデータを更新する を参照してください。
既存のドメインのメタデータを更新する
IdP は署名証明書をローテーションし、場合によってはエンドポイントを変更します。これが発生した場合は、IdP 管理者と調整して、IdP が新しいキーを使用してアサーションの署名を開始する 前 に、新しい XML が EK にアップロードされるようにしてください。1
ドメインの行を見つける
SSO メタデータ テーブルでそのドメインを検索します。
2
更新をクリックする
その行のアクション列で 更新 をクリックします。
3
新しい XML を提供する
SSO メタデータの更新 ダイアログが開き、ドメインが事前入力された状態でロックされています。更新時にドメインを変更することはできません。エントリを再利用する場合は、削除してから再追加してください。新しいドメインの場合と同じように、アップロード方法を選択して新しい XML を提供します。
4
送信する
メタデータの更新 をクリックします。置き換えは即座に有効になります。次回そのドメインの SSO サインイン時に新しいメタデータが使用されます。
現在保存されているメタデータをダウンロードする
行のアクション列にある ダウンロード アイコン をクリックします。ファイルは<domain>_saml_metadata.xml として保存されます。
次の用途に役立ちます:
- この EK インスタンスで現在どの IdP メタデータがアクティブであるかを確認する。
- 監査のためにセキュリティ チームまたはコンプライアンス チームにコピーを提供する。
- アップデートを実行する前にバックアップを取得する。
ドメインのメタデータを削除する
1
削除をクリックする
その行のアクション列で 削除 をクリックします。
2
確認する
確認ダイアログで警告を読み、確認チェックボックスにチェックを入れます — 「この操作により、このドメインのすべてのユーザーの SSO が無効になることを理解しています」 — そして 削除 をクリックします。
削除は取り消せません。削除後:
- EK はそのドメインの IdP メタデータをファイルに持たなくなります。
@<domain>ユーザーからの新しい SSO サインイン試行は失敗します。- 既存のアカウント — 電子メール/パスワード、Google OAuth、または以前の SSO サインインでプロビジョニングされたアカウント — は 削除されません が、それらのユーザーは SSO 経由でサインインできなくなります。
エンドツーエンドのチェックリスト
オンプレミス EK インスタンスで新しい電子メール ドメインに対して SAML SSO を有効にする場合、これをランブックとして使用します。1
EK SP メタデータを IdP 管理者と共有する
フロントエンド ホストではなく、EK バックエンドからの SP メタデータを IdP 管理者に提供します。
-
IdP がバックエンドに直接到達できる場合は、次の URL を案内します。
-
それ以外の場合は、XML をダウンロードして帯域外に渡します。
2
IdP 管理者が SAML アプリケーションを作成する
IdP 管理者が SP メタデータを入手したら、IdP で EK を SAML アプリケーションとして登録します。以下を確認してください。
- NameID がユーザーの電子メール アドレスに設定されていること。
- アサーションが署名されていること。
- Audience / Entity ID が EK の SP メタデータの値と一致すること。
3
IdP メタデータ XML を受け取る
アプリケーションが作成されたら、IdP 管理者に IdP メタデータ XML を依頼します。これは次のステップでアップロードするファイルです。
4
IdP メタデータを EK にアップロードする
スーパー管理者として EK にサインインし、スーパー管理者ダッシュボード → SSO メタデータ を開き、メタデータの追加 をクリックします。電子メール ドメインを入力し、XML をアップロードします。
5
サインインをテストする
実際の
@<domain> ユーザーでテストします。ユーザーが正常に認証されたがアクセスを拒否された場合は、SAML アクセス制御の構成を確認してください。SAML アクセス制御 ガイドを参照してください。6
変更を文書化する
社内の変更管理システムに以下を記録します。ドメイン、IdP タイプ、アップロード日、およびアップロードを実行したスーパー管理者。
7
メタデータの更新スケジュールを立てる
IdP の署名証明書がローテーション予定の日付を記録し、その日付前に更新されたメタデータをアップロードするリマインダーを設定します。新しいメタデータが利用可能になったら、SSO メタデータ タブの 更新 アクションを使用してください。
問題が発生しましたか?SSO トラブルシューティングとリファレンス ガイドを参照してください。