Web 認証

Kofax RPA の Web サイトのロボットは、ネットワーク上でさまざまな認証を使用できます。認証設定は、デフォルト オプション ウィンドウの [すべてのローディング] タブの [クレデンシャル] で指定されます。標準または OAuth のいずれかの資格情報を使用できます。詳細については、OAuth を参照してください。

[標準の資格情報] オプションを使用すると、Kofax RPA は、基本、ダイジェスト、NTLM、ネゴシエート プロトコルをサポートします。Windows システムでは、Kofax RPA はセキュリティ サポート プロバイダー インターフェイス (SSPI) を使用して、セキュリティ サービスを呼び出しアプリケーションに提供します。Unix では、Kofax RPA は、ネゴシエート プロトコルおよび開発した専用の NTLM サポート実装にジェネリック セキュリティ サービス API (GSS-API) ライブラリを使用します。

クロスプラットフォーム認証を使用するには、お使いの Linux インストールに、ジェネリック セキュリティ サービス API (GSS-API) ライブラリが含まれている必要があります。詳細については、『Kofax RPA Installation Guide』(Kofax RPA インストール ガイド) の「Supported Platforms」(サポート プラットフォーム) を参照してください。

リモート ネットワーク リソースへのアクセスをユーザーに付与する必要がある場合、これらのリソースにアクセスするためにも、委任をセットアップする必要があります。認証および委任ルールの設定についての詳細は、msdn.microsoft.com および support.microsoft.com の Microsoft によるドキュメントを参照してください。

Kofax RPA は、ログイン処理中に認証のタイプを自動的に検出します。また、多くの場合、必要な形式で認証パラメータを提供します。NTLM プロトコルについては、SPN (サービス プリンシパル名) 文字列は常に以下のようになります。HTTP/HostName:portネゴシエート プロトコルについては、SPN にはポート番号がある場合とない場合が考えられます。

場合によっては、ネゴシエート プロトコルの認証パラメータを明示的に指定する必要があります。この指定は、[デフォルト オプション] ダイアログ ボックスの [すべてのローディング] タブの [認証方法] オプションで実行するか、または spn.txt ファイルを使用して実行できます。

[デフォルト オプション] ダイアログ ボックスでのネゴシエート プロトコル パラメータの指定
  1. [ロボットの設定] ウィンドウの [基本] タブから [デフォルト オプション] ダイアログ ボックスを開きます。
  2. [認証方法] リストで [ネゴシエート] を選択し、[追加] (+) をクリックします。[ネゴシエート認証の設定] ダイアログ ボックスが開きます。
    • [URL ホスト] フィールドに、接続する Web サイトのアドレスを HTTP://<host name>:<port>/<page> 形式で入力します。たとえば、http://localhost:123/index.html のように入力します。Kofax RPA は、入力したアドレスから http://localhost:123 などのホスト名を抽出します。<port> はオプションの TCP ポート番号で、単一のホスト コンピュータ上の同じサービスの複数のインスタンスを区別するための非標準ポート番号を指定できます。ポート 80 および 433 は省略されています。
    • [サーバー] フィールドに、サーバー/サービスの名前を完全修飾ドメイン名 (FQDN) の形式で指定します。たとえば、localhost:123 または computer.global.companyname.com:1433 のように指定します。

    Kofax RPA が WebKit ブラウザに Web サイトをロードし、サーバーがプロトコルのネゴシエートを開始すると、WebKit は、ユーザーが [URL ホスト] フィールドで指定したパラメータでホスト名を照合しようとします。一致した場合、WebKit は次の形式で SPN 文字列を作成します。HTTP/Server.ここで、Server は、[サーバー] フィールドにオプションのポート パラメータが指定された FQDN となります。例: HTTP/computer.global.companyname.com:1433

  3. 指定したアカウントの委任使用をオンに切り替える場合は、[代理認証可能] を選択します。
  4. [保存] をクリックします。
spn.txt を使用したネゴシエート プロトコル パラメータの設定

Kofax RPA インストール ディレクトリの bin ディレクトリに spn.txt を作成します。例:C:\Program Files\Kapow 10.4.0 x64\bin。ファイルには、独立して指定できる 3 つのパラメータが含まれます。

テーブル 1. spn.txt のファイル形式

パラメータ

説明

<host>:<port>::allow_port=[true|false]

SPN にポート番号を含めるかどうかを指定します。

false (デフォルト): ポート番号を含めない

true: ポート番号を含める

localhost::allow_port=true

<host>:<port>::delegate=[true|false]

指定したアカウントの委任使用をオンに切り替えます。

false (デフォルト): 委任を使用しない

true: 委任を使用する

localhost::delegate=true

<host>:<port>=<FQDN>

ホスト名をサーバーの完全修飾ドメイン名 (FQDN) の形式で入力します。このパラメータは、allow_port パラメータを上書きします。また、Kofax RPA は、ここで指定された通りの文字列を使用します。

localhost=COMPUTERNAME.companyname.com

ネゴシエート プロトコルが、さまざまなポート番号を使用して同一のホスト名で実行され、さまざまなアプリケーション プール ID を使用して複数の Web サイトがある環境で使用されている場合は、たとえば allow_porttrue に設定し、SPN に非標準ポートを指定できます。


  localhost:8888::allow_port=true

また、localhost:8888=server:555 のような、SPN サーバーを割り当てるためにマスクの一部としてポートを使用することもできます。

ロギング

Web 認証の際にエラーが発生した場合は、以下のように log4j.properties ファイルの WebKit ロギングをオンに切り替えることができます:log4j.logger.webkit=TRACE。ログ ファイルには、使用される認証プロパティおよび SPN 文字列についての情報が含まれている必要があります。ログ ファイルの以下の行を探します。

Setting SPN to : 'Service Principal Name (SPN)' 
Delegate : [ON|OFF] 
Non-standard port : [ON|OFF]
Setting NTLM SPN to : 'SPN string'

詳細については、クラスタ ログトピックの「log4J」セクションを参照してください。