Automation Cloud

アカウントとグループについて

Automation Cloud™ のアカウントを使用することで、ユーザーまたはロボットは UiPath® Platform で認証を受け、さまざまな UiPath 製品のリソースを操作するための製品へのアクセス権、ロール、ライセンス、ロボットの設定を得ることができます。

グループは、製品へのアクセス権、ロール、ライセンス、ロボットの設定などをまとめて同じように管理するためのオブジェクトのコレクションです。

アカウントの種類

Automation Cloud では、ユーザーアカウントとロボットアカウントを作成できます。

ユーザーアカウント

個人の識別に使用する種類のアカウントです。これらのアカウントにはライセンスやロールを割り当てることができるとともに、アカウントをグループに追加できます。

ユーザーアカウントには次の 2 種類があります。

ローカルユーザー: これらのアカウントは UiPath アカウントにリンクされています。この種類のアカウントは Automation Cloud 内で作成され、Automation Cloud で組織管理者によって管理されます。アカウント自体はユーザーが所有しますが、組織管理者はアカウントを参照して、アカウントのロールとグループメンバーシップを編集、削除、または管理できます。
ディレクトリユーザー: これらのアカウントは、Automation Cloud の外部の、Azure Active Directory などのクラウドアクティブディレクトリで定義されます。この種類のアカウントを使用するには、ディレクトリを Automation Cloud にリンクする必要があります。そうすれば、Automation Cloud がディレクトリユーザーを検索して参照できるようになり、ユーザーはディレクトリユーザーを表示して、ロールを割り当てたり、Automation Cloud グループに追加したりできます。この方法の利点は、これらの ID を 2 回定義する必要がないことです。ディレクトリで 1 回定義すれば、それを Automation Cloud でも使用できます。

詳細については、「アカウントとグループに対する権限」をご覧ください。

ロボットアカウント

ロボットアカウントは、特定のユーザーの責任にならないバックオフィスの無人プロセスを実行する必要があるときに役立ちます。これらは、サービスアカウントに相当する RPA 固有のアカウントです。Windows サービスが OAuth モデルのアプリケーション ID として実行するアカウントと同様に、無人プロセスの実行に使用される、非ユーザー ID です。

ロボットアカウントを操作する

ロボットアカウントは、権限という観点ではユーザーアカウントと同じように機能します。UiPath Orchestrator では、他のアカウントの場合と同じようにロボットアカウントを追加したり、これらのアカウントの権限を設定したりできます。

ユーザーアカウントとの違いは、以下の点のみです。

ロボットアカウントでは、対話型プロセス設定は許可されていません。
ロボットアカウントの作成にメールアドレスは不要です。

ユーザーアカウントとおおむね同様に、ロボットアカウントを検索し操作できます。

組織管理者は、Automation Cloud 内の [管理] > [アカウントとグループ] ページでロボットアカウントを作成して管理することができます。ただし、管理は [ユーザー] タブではなく、専用の [ロボットアカウント] タブから行います。

ロボットアカウントはグループに含めて、グループの一部として管理することもできます。
Orchestrator でロールを割り当てるときに、アカウントを検索すると、選択できるユーザー、グループ、およびロボットアカウントが表示されます。

詳細については、「ロボットアカウントを追加する」をご覧ください。

グループ

グループは、アカウントの管理を簡素化するために使用します。グループとは、まとめて管理を行う、同様のアクセス権、ロボットの設定、ライセンスを必要とするアカウントのコレクションです。

たとえば、グループ内の業務で全員が同じ UiPath 製品の機能を同じ方法で使用する必要があるのが明らかである場合、同じライセンス、ロボット構成、およびロールを持つ、全管理者のグループや会計部門の全従業員のグループを作成できます。対象のユーザーカテゴリでライセンスまたはロールの変更が必要になった場合は、グループを更新するとグループの全メンバーに変更内容が適用されます。

ヒント: 例外的に、グループメンバーの 1 人が追加のロールを必要とする場合は、追加のロールをアカウントに個別に割り当てることも可能です。この場合、アカウントは、個別に割り当てられたロールと、アカウントが属するグループから継承されたロールの双方のメリットが得られます。

グループの種類

ローカルグループ

グループは、Automation Cloud でネイティブに利用可能です。Automation Cloud の [管理] > [アカウントとグループ] > [グループ] タブで作成されたグループは、ローカルグループです。

ディレクトリグループ

ディレクトリが Automation Cloud にリンクされていて、ディレクトリにグループが含まれる場合、ローカルグループの場合と同様に Automation Cloud でそれらのディレクトリグループを検索して使用できます。

継承

アカウントがグループのメンバーである間は、そのグループからロール、ライセンス、ロボットの設定を継承します。

ロールの継承

複数のグループに割り当てられているアカウントには、所属するグループに割り当てられているすべての権限の組み合わせが付与されます。

グループメンバーシップを通じて継承されたロールは、アカウントが接続されている場合にのみ利用可能です。

各サービスがアクセスを許可する際には、異なる観点から検討します。

サービスにアクセスする場合、アクセスはアカウントのグループメンバーシップに基づいて許可されます。
サービス内のリソースにアクセスしたり、そのリソースを使用しようとしたりするときに、そのアクションはアカウントのロールに基づいて許可されます。そのロールはグループから継承するものであるか、アカウントに直接付与された必須のロールです。

注:
ディレクトリアカウントとグループ

ディレクトリアカウントはローカルグループに含めることができます。ディレクトリグループもローカルグループに含めることができますが、ローカルグループを別のローカルグループに含めることはできません。

これにより、ディレクトリ管理者は Automation Cloud での追加の操作なしで、必要なロール、ライセンス、ロボットの設定をアカウントに完全にオンボードできます。

そのためには、Automation Cloud で完全に設定されたローカルグループ内にディレクトリグループを追加します。その後は、ディレクトリ管理者がアカウントをディレクトリグループに追加するだけで、アカウントは設定を継承し、Automation Cloud で使用できるようになります。

ライセンスの継承

グループにライセンス割り当てルールを定義すると、グループのメンバーになるアカウントは、これらのユーザーライセンスを継承します。

継承は、ユーザーライセンスの種類に応じて、2 つの方法で行われます。

Named User ライセンス: アカウントがグループのメンバーになると、利用可能なライセンスのうち 1 つが自動的に割り当てられます。Named User ライセンスはアカウントの ID に関連付けられているため、グループからアカウントを削除するだけではライセンスの割り当てを解除できないことに注意してください。
Multiuser ライセンス: Multiuser ライセンスは、別々の時間にライセンスを使用する最大 3 人のグループメンバーによって共有されます。1 人のメンバーがライセンスを使用すると、他の 2 人はそれを使用できません。

重要: グループ割り当てはライセンスの直接的な割り当てによって上書きされるユーザーライセンスをアカウントに直接割り当てると、そのアカウントはグループ割り当てから得ていたメリットを受けられなくなります。

グループを操作する

グループの作成または削除、グループメンバーの追加または削除: 組織管理者は Automation Cloud の [管理] > [アカウントとグループ] > [グループ] タブで、グループを管理したり、グループのアカウントを追加またはアカウントを削除したりできます。
グループへのライセンスの割り当て: 組織管理者は [管理] > [ライセンス] ページで、グループにライセンス割り当てルールを割り当てることもできます。
グループのロール: アカウントの場合と同様に、ロールはサービス内から個々のサービスの管理者によってグループに割り当てられます。たとえば、Orchestrator サービスのユーザーおよびユーザーグループについては、こちらをご覧ください。

ユーザーグループを使用しない

ユーザーグループを使用しない場合は、サービスレベルのロールを各アカウントに明示的に割り当てることによって、必要なロールを各アカウントに付与します。

注: リンクされているディレクトリがある場合は、ディレクトリアカウントを既定のグループ Everyone にも追加するようにしてください。ローカルアカウントはすべて、このグループに自動的に追加されます。それにより、すべてのアカウントに組織レベルのユーザーロールが付与され、Automation Cloud にアクセスできるようになります。ただし、サービスのロールは付与されないため、管理者が各アカウントに割り当てる必要があります。

既定のローカルグループ

どの Automation Cloud 組織でも既定のグループが利用可能であり、既定のグループには Automation Cloud 用の組織レベルのロールと、UiPath サービス用のサービスレベルのロールがあらかじめ設定されています。

既定のグループは、Administrators、Automation Users、Automation Developers、Citizen Developers、Automation Express、Everyone です。

適切なグループにユーザーを追加するだけで、完全に機能する複雑なアクセススキーマをユーザーに割り当てることができます。各グループに含まれるロールの詳細については、「ロール」をご覧ください。

既定のグループに割り当てられているロールを外すことはできず、またグループを削除することもできません。

さらに制御が必要な場合は、カスタムグループを作成し、独自のロールの組み合わせを割り当てるか、アカウントに直接ロールを割り当てることができます。

アカウントとグループのアイコン

アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。

アカウントのアイコン

- UiPath ユーザーアカウント: UiPath アカウントに関連付けられ、基本認証を使用してサインインするユーザーアカウントです。

- SSO ユーザーアカウント: SSO を使用してサインインする、UiPath アカウントに関連付けられたユーザーアカウントです。UiPath のユーザーアカウントとディレクトリアカウントの両方を所有するユーザーアカウントにも、このアイコンが表示されます。

- ディレクトリユーザーアカウント: ディレクトリから作成され、Enterprise SSO を使用してサインインするアカウントです。

- ロボットアカウント

グループのアイコン

- ローカルグループ (または、単にグループ): Automation Cloud で作成されたグループ。

- ディレクトリグループ: 関連付けられたディレクトリ内で作成されたグループです。

アカウントとグループに対する権限

ローカルアカウントとグループ

Automation Cloud からアカウントまたはグループを作成した場合:

組織管理者は、組織に属するアカウントとグループに対して責任を持ち、その管理に必要な権限を持っています。
アカウントとグループの管理は Automation Cloud 内で行います。Automation Cloud では、アカウントの作成、編集、削除、アカウントへのライセンス付与、グループへのアカウントの追加と削除ならびにグループの追加と削除が行えます。
ロールは、組織管理者によってサービス内で割り当てられるか、またはサービスレベルの管理者により割り当てられます。

ディレクトリアカウントとグループ

アカウントまたはグループが Automation Cloud にリンクされているディレクトリに作成された場合:

ディレクトリ管理者は、ディレクトリに属するアカウントとグループに対して責任を持ち、その管理に必要な権限を持っています。
アカウントとグループの管理はディレクトリ内で行います。管理には、アカウントの作成・編集・削除、グループへのアカウントの追加と削除、グループの追加と削除が含まれます。
ディレクトリアカウントとグループは、Automation Cloud から個別にライセンスされるか、またはグループメンバーシップで一括でライセンスされます。
ロールは Automation Cloud 内で組織管理者またはサービスレベルの管理者によって割り当てられます。ロールは、個別、またはグループメンバーシップで一括で割り当てられます。
ディレクトリアカウントはローカルグループに含めることができます。また、ディレクトリグループをローカルグループに含めることもできます (ローカルグループを含めることはできません)。