通知を受け取る

UiPath Automation Cloud™

UiPath Automation Cloud™ ガイド

Automation Cloud と UiPath のクラウド サービスの現在のステータスの詳細については、「 ステータス 」ページをご覧ください。

認証オプション

概要


このページでは、Automation Cloud で利用可能な認証モデルについて説明します。これらの認証モデルから使用するものを選択してください。
組織の認証設定の選択 ([管理] > [セキュリティ設定] > [認証設定]) は、Automation Cloud へのユーザーのサインイン方法以外にも影響を及ぼします。選択したオプションによって、Automation Cloud のユーザー アカウントの管理方法が変わることもあります。

Automation Cloud 組織へのアクセスを制御するための認証モデルはいくつか用意されていますが、これらはローカル ユーザー アカウントまたはディレクトリ ユーザー アカウントを使用するモデルと見なすことができます。

Local user accounts represent each user's UiPath account that are internal to Automation Cloud.
On the other hand, directory user accounts are created and maintained in a directory which is external to Automation Cloud. Directory accounts are only referenced in Automation Cloud and used as identities for your users.

 

ローカル アカウントを使用するモデル


招待ベースのモデル

このモデルは、既定ですべての新しい組織に適用されます。使いやすく、迅速に設定でき、ユーザーにとっては便利です。

ユーザーを作成するためのプロセスは次のとおりです。

  1. 組織管理者は、ユーザーのメール アドレスを入手してから、そのアドレスを使用して各ユーザーを招待し、組織に参加させる必要があります。この作業は、一括して行えます。

  2. 招待された各従業員は、招待メールに記載されたリンクにアクセスして招待を受諾し、UiPath のユーザー アカウントを作成します。以下に、その方法を示します。

    • 招待されたメール アドレスをユーザー名として使用し、パスワードを作成します。
    • 既に所有している Microsoft (個人、Azure AD リンク済み、Office 365) または Google (個人、Google Workspace) のアカウント、あるいは個人の LinkedIn のアカウントを使用して、UiPath のユーザー アカウントにサインインします (またはフェデレーション方式でサインインします)。

    これらいずれかのプロバイダーのアカウントを使用できることで、余計なパスワードを覚えずに済むため、ユーザーにとっては便利です。また、組織が所有する Azure AD または Google Workspace のアカウントを使用することで、組織のサインイン ポリシーを徹底することができます。

350
  1. 組織管理者は、必要なアクセス権をユーザーが持てるよう、グループにユーザーを追加して、必要に応じてロールを付与できるようになりました。

 

適用されるサインイン オプションがある招待ベースのモデル

In this model you create users in the same way as in the invitation-based model: you issue an invitation to their email address and your users must create a UiPath account. The difference is that you can choose to enforce sign in using either:

  • Google または
  • Microsoft

ユーザーには、すべてのサインイン オプションが表示されるのではなく、管理者が選択したサインイン オプションだけが表示されます。

たとえば、Microsoft でのサインインを適用する場合にユーザーに表示される情報は以下のようになります。

350

ユーザーは引き続き、自分の UiPath アカウントを使用してサインインします。アカウントには、招待メールの送信先のメール アドレスを使用する必要があります。

📘

組織の外部アプリケーションを認証した場合、他のプロバイダーの使用中に生成されたトークンは引き続き有効ですが、新しいトークンは適用されたサインイン ポリシーに従います。

 

ディレクトリ アカウントを使用するモデル


これらのモデルはすべて、Automation Cloud と連携するサードパーティー ディレクトリに依存しています。これにより、所属する企業内で使用されている ID スキーマをそのまま使用できます。

📘

招待ベースのモデルとの併用

引き続き、招待ベースのモデルのすべての機能をディレクトリ モデルと組み合わせて使用できます。ただし、ディレクトリ モデルのメリットを最大限に活かすには、統合されたディレクトリからの一元化されたアカウント管理のみを使用することをお勧めします。

Azure Active Directory モデル

🚧

This feature is only available if you are on the Enterprise licensing plan.

Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Automation Cloud の組織を Azure AD のテナントに直接接続できるため、以下を使用できます。

  • ユーザーの自動オンボードとシームレスな移行
    • Automation Cloud サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Automation Cloud の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
    • 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待ベースのモデルでは不可能なことです。
    • UiPath のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
  • サインインの簡素化
    • Users do not have to accept an invitation or create a UiPath user account to access the Automation Cloud organization. They sign in with their Azure AD account by selecting the Enterprise SSO option or using their organization-specific URL. If the user is already signed in to Azure AD or Office 365, they are automatically signed in.
    • UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
  • 既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
    • Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Cloud サービス内の権限を設定する必要がなくなります。
    • 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Cloud グループに統合できます。
    • Automation Cloud のアクセスの監査は簡単です。すべての Automation Cloud サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。

📘

The API Access option (Admin > tenant) is not available when using the Azure AD model.
[API アクセス] ウィンドウの情報を使用して UiPath サービスへの API 呼び出しを認証するプロセスがある場合は、認可に OAuth を使用するように切り替える必要があります。そうすれば、API アクセスからの情報が不要になります。
OAuth を使用するには、 外部アプリケーションを Automation Cloud に登録する必要があります。

 

SAML モデル

🚧

This feature is only available if you are on the Enterprise licensing plan.

このモデルでは、選択した ID プロバイダー (IdP) に Automation Cloud を接続できるため、以下が可能になります。

  • ユーザーはシングル サインオン (SSO) を利用できます。
  • ID を再作成することなく、Automation Cloud でディレクトリから既存のアカウントを管理できます。

Automation Cloud は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。

メリット

686
  • Automatic onboarding of users to Automation Cloud: All users from your external identity provider are authorized to sign in to Automation Cloud with basic rights when the SAML integration is active. What this means is:
    • ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Automation Cloud の組織にサインインできます。

    • Without any further setup, they become members of the Everyone user group, which grants them the User organization role by default. To be able to work in Automation Cloud, users require roles and licenses, as appropriate for their role.
    • アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Automation Cloud へのアクセスを許可するユーザーのセットを定義できます。
  • User management: You can add users by directly assigning them to Automation Cloud groups, to do this all you have to do is enter their email address when adding users to the group.
    Typically, organization administrators manage local accounts from Admin > Accounts & Groups > Users tab. But SAML users are directory accounts in Automation Cloud, so they are not visible on this page.
    ユーザーがグループに追加されるか、1 回でもサインインすると自動的に Everyone グループに追加され、Automation Cloud のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
  • Attribute mapping: If you use UiPath Automation Hub, for example, you can define custom attribute mapping to propagate attributes from your identity provider into Automation Cloud. For example, when an account is first added to Automation Hub, the first name, last name, email address, job title, and department of the user are already populated.

セットアップ

組織管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
For instructions, see Configuring the SAML integration.

Azure AD 連携から SAML 連携へ移行する

SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Automation Cloud グループ メンバーシップと権限は考慮されなくなります。

 

最適なモデルを選ぶには


Automation Cloud 組織の認証設定を選択するときに考慮する必要のあることは以下のとおりです。

FactorInvitation-basedInvitation-based with enforced optionAzure Active DirectorySAML
Community license
Enterprise license
Support for local accounts
(UiPath account)
Support for directory accounts
User account managementAutomation Cloud organization administratorAutomation Cloud organization administratorAzure AD administratorAdministrator of your identity provider
User access managementAutomation Cloud organization administratorAutomation Cloud organization administratorAutomation Cloud user management can be delegated entirely to Azure ADAutomation Cloud organization administrator
Single sign-on (with Google, Microsoft, or LinkedIn) (with Google or Microsoft) (with Azure AD account) (with IdP account)
Enforce a complex password policy (if enforced from the IdP) (if enforced from AAD) (if enforced from the IdP)
Multi-factor authentication (if enforced from the IdP) (if enforced from AAD) (if enforced from the IdP)
Reuse your company's existing identities
Large-scale user onboarding (all users must be invited) (all users must be invited) (just-in-time account provisioning) (just-in-time account provisioning)
Access for collaborators from outside your company (through invitation) (through invitation for account on enforced IdP) (if allowed by the IdP)
Restrict access from inside corpnet (if enforced from the IdP)
Restrict access to trusted devices (if enforced from the IdP)

 

ID ディレクトリを再利用する

以下の表は、所属企業がすでにディレクトリを使用して従業員のアカウントを管理している場合に、より便利な認証オプションを決定する際に役立ちます。

Invitation-basedInvitation-based with enforced optionAzure Active DirectorySAML
Already using Google Workspace as your identity provider?users need a UiPath account, but SSO is also possibleusers need a UiPath account, but enforced SSO with Google is possibleN/AN/A
Already using Office 365 with your identity provider?users need a UiPath accountusers need a UiPath accountyou can grant access to Automation Cloud to existing user accountsyou can grant access to Automation Cloud to existing user accounts
Already using Azure AD as your identity provider?users need a UiPath accountusers need a UiPath accountyou can grant access to Automation Cloud to existing user accountswe recommend using the AAD integration instead of the SAML integration
Already using another identity provider?users need a UiPath accountusers need a UiPath accountyou can grant access to Automation Cloud to existing user accountsyou can grant access to Automation Cloud to existing user accounts

1 日前に更新


認証オプション


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。