- 概要
- データのセキュリティとコンプライアンス
- 組織
- テナント
- ライセンス
- アカウントとロール
- 外部アプリケーション
- ログ
- クラウドに移行する
認証設定
Automation Cloud™ では、認証の種類としていくつかのオプションを提供しているので、ユーザーが認証の種類を選択できます。
認証設定は、[ 管理] > [セキュリティ設定 ] > [認証設定] でカスタマイズできます。
ローカル ユーザー アカウントは、Automation Cloud™ の内部にある各ユーザーの UiPath® アカウントを表します。
ローカル アカウント モデルは、自己完結型の認証アプローチを提供します。新規ユーザーが参加するには、組織管理者からの招待が必要です。プラットフォーム内のユーザー管理を完全に制御する必要がある場合に適しています。利用可能な認証方法には、Google、Microsoft、および基本認証 (自分のメール アドレスとパスワード) があります。
-
利用可能なすべての認証方法 (Google、Microsoft、基本認証) を使用できるようにして柔軟性を最大限に高めるには、[利用可能なすべての方法] オプションを選択します。
-
認証方法を Google のみに制限するには、[Google サインイン] オプションを選択します。
-
認証方法を Microsoft のみに制限するには、[Microsoft サインイン] オプションを選択します。
このモデルは、既定ですべての新しい組織に適用されます。使いやすく、迅速に設定でき、ユーザーにとっては便利です。
ユーザーを作成するためのプロセスは次のとおりです。
- 組織管理者は、ユーザーのメール アドレスを入手してから、そのアドレスを使用して各ユーザーを招待し、組織に参加させる必要があります。この作業は、一括して行えます。
-
招待された各従業員は、招待メールに記載されたリンクにアクセスして招待を受諾し、UiPath のユーザー アカウントを作成します。以下に、その方法を示します。
- 招待されたメール アドレスをユーザー名として使用し、パスワードを作成します。
-
既に所有している Microsoft (個人、Azure AD リンク済み、Office 365) または Google (個人、Google Workspace) のアカウント、あるいは個人の LinkedIn のアカウントを使用して、UiPath のユーザー アカウントにサインインします (またはフェデレーション方式でサインインします)。
これらいずれかのプロバイダーのアカウントを使用できることで、余計なパスワードを覚えずに済むため、ユーザーにとっては便利です。また、組織が所有する Azure AD または Google Workspace のアカウントを使用することで、組織のサインイン ポリシーを徹底することができます。
このモデルでは、招待ベースのモデルと同じ方法でユーザーを作成します。メール アドレスに招待を発行し、ユーザーは UiPath アカウントを作成する必要があります。違いは、以下のいずれかを使用したサインインの適用を選択できることです。
- Google または
- Microsoft
ユーザーには、すべてのサインイン オプションが表示されるのではなく、管理者が選択したサインイン オプションだけが表示されます。
たとえば、Microsoft でのサインインを適用する場合にユーザーに表示される情報は以下のようになります。
ユーザーは引き続き、自分の UiPath アカウントを使用してサインインします。アカウントには、招待メールの送信先のメール アドレスを使用する必要があります。
ディレクトリ アカウント モデルは、Automation Cloud と連携するサードパーティ ディレクトリに依存しています。 これにより、所属する企業内で使用されている ID スキーマをそのまま使用できます。
- Azure Active Directory: Microsoft Azure または Office 365 のサブスクリプションを契約している場合は、Azure を Automation Cloud と連携させて、Automation Cloud 内で Azure Active Directory の既存のユーザーとグループを使用できます。
- SAML 2.0: Automation Cloud と選択した ID プロバイダー (IdP) を連携できます。 これにより、ユーザーは IdP に登録済みのアカウントを使用して、シングル サインオン (SSO) で Automation Cloud に接続できます。
ディレクトリ ユーザー アカウントは Automation Cloud の外部のディレクトリ内で作成・管理されます。ディレクトリ アカウントは Automation Cloud で参照先としてのみ利用され、ユーザーの ID として使用されます。
招待ベースのモデルとの併用
引き続き、招待ベースのモデルのすべての機能をディレクトリ モデルと組み合わせて使用できます。ただし、ディレクトリ モデルのメリットを最大限に活かすには、統合されたディレクトリからの一元化されたアカウント管理のみを使用することをお勧めします。
Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Automation Cloud の組織を Azure AD のテナントに直接接続できるため、以下を使用できます。
-
ユーザーの自動オンボードとシームレスな移行
- Automation Cloud サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Automation Cloud の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待ベースのモデルでは不可能なことです。
- UiPath のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
-
サインインの簡素化
- ユーザーは Automation Cloud の組織にアクセスするために、招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。 ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
-
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Cloud サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Cloud グループに統合できます。
-
Automation Cloud のアクセスの監査は簡単です。すべての Automation Cloud サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。
Azure AD モデルを使用する場合、[API アクセス] オプション ([管理] > テナント) は利用できません。
[API アクセス] ウィンドウの情報を使用して UiPath サービスへの API 呼び出しを認証するプロセスがある場合は、認可に OAuth を使用するように切り替える必要があります。そうすれば、API アクセスからの情報が不要になります。
OAuth を使用するには、外部アプリケーションを Automation Cloud に登録する必要があります。
このモデルでは、選択した ID プロバイダー (IdP) に Automation Cloud を接続できるため、以下が可能になります。
- ユーザーはシングル サインオン (SSO) を利用できます。
- ID を再作成することなく、Automation Cloud でディレクトリから既存のアカウントを管理できます。
Automation Cloud は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。
メリット
-
Automation Cloud へのユーザーの自動オンボーディング: SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で Automation Cloud にサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Automation Cloud の組織にサインインできます。
- それらのユーザーは、追加の設定なしに Everyone ユーザー グループのメンバーとなり、既定で User 組織ロールが付与されます。Automation Cloud を使用するには、ユーザーの役割に適したロールとライセンスが必要です。
-
アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Automation Cloud へのアクセスを許可するユーザーのセットを定義できます。
-
ユーザーの管理: ユーザーは、Automation Cloud のグループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、組織管理者は [管理者] タブ> [ アカウントとグループ ] > [ ユーザー ] タブでローカル アカウントを管理します。 ですが、Automation Cloud では SAML ユーザーは ディレクトリ アカウント であるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると自動的に Everyone グループに追加され、Automation Cloud のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
- 属性マッピング: UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Cloud に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。
クラウド ID と認証の詳細ユーザーの ID は、Automation Cloud で、より正確には Cloud Portal で組織のディレクトリに基づいて検証されます。 ここから、ロールとグループを通じて割り当てられたユーザー権限に基づいて、たった 1 セットの資格情報ですべての UiPath クラウド サービスにアクセスできます。下の図は、2 つの ID モデルの概要と、これらのモデルが各種ユーザー ID とどのように連携し、またどのようにフェデレーションが実現されるかを示します。招待ベースのモデルの場合、ID の管理は組織ディレクトリ内のユーザー参照に対して行いますが、ユーザーは引き続きアカウントによって管理されます。 ただし、Azure Active Directory (Azure AD) と連携している場合は、Azure AD のテナント ディレクトリの内容を確認するだけの簡単な作業になります (下の図の橙色の矢印部分)。
Automation Cloud 組織の認証設定を選択するときに考慮する必要のあることは以下のとおりです。
|
要素 |
招待ベース |
オプションが適用される招待ベース |
Azure Active Directory |
SAML |
|---|---|---|---|---|
|
Community ライセンス |
利用可能 |
利用可能 |
利用できません。 |
利用できません。 |
|
Enterprise ライセンス |
利用可能 |
利用可能 |
利用可能 |
利用可能 |
|
ローカル アカウントのサポート (UiPath アカウント) |
利用可能 |
利用可能 |
利用可能 |
利用可能 |
|
ディレクトリ アカウントのサポート |
利用できません。 |
利用できません。 |
利用可能 |
利用可能 |
|
ユーザー アカウントの管理 |
Automation Cloud の組織管理者 |
Automation Cloud の組織管理者 |
Azure AD 管理者 |
ID プロバイダーの管理者 |
|
ユーザー アクセスの管理 |
Automation Cloud の組織管理者 |
Automation Cloud の組織管理者 |
Automation Cloud のユーザー管理は、Azure AD に完全に委任可能 |
Automation Cloud の組織管理者 |
|
シングル サインオン |
利用可能 (Google、Microsoft、または LinkedIn を使用) |
利用可能 (Google または Microsoft を使用) |
利用可能 (Azure AD アカウントを使用) |
利用可能 (IdP アカウントを使用) |
|
複雑なパスワードのポリシーを適用 |
利用できません。 |
利用可能 (IdP から適用される場合) |
利用可能 (AAD から適用される場合) |
利用可能 (IdP から適用される場合) |
|
多要素認証 |
利用できません。 |
利用可能 (IdP から適用される場合) |
利用可能 (AAD から適用される場合) |
利用可能 (IdP から適用される場合) |
|
所属企業の既存の ID を再利用 |
利用できません。 |
利用できません。 |
利用可能 |
利用可能 |
|
大規模なユーザー オンボード |
利用不可 (すべてのユーザーを招待する必要あり) |
利用不可 (すべてのユーザーを招待する必要あり) |
利用可能 (Just-In-Time アカウントのプロビジョニング) |
利用可能 (Just-In-Time アカウントのプロビジョニング) |
|
企業外のコラボレーターのアクセス |
利用可能 (招待を通じて) |
利用可能 (適用される IdP のアカウントの招待を通じて) |
利用可能 |
利用可能 (IdP によって許可されている場合) |
|
企業ネットワーク内からのアクセスを制限 |
利用できません。 |
利用できません。 |
利用可能 |
利用可能 (IdP から適用される場合) |
|
アクセスを信頼できるデバイスに制限 | 利用できません。 |
利用できません。 |
利用可能 |
利用可能 (IdP から適用される場合) |
以下の表は、所属企業がすでにディレクトリを使用して従業員のアカウントを管理している場合に、より便利な認証オプションを決定する際に役立ちます。
|
要素 | 招待ベース | オプションが適用される招待ベース | Azure Active Directory | SAML |
|---|---|---|---|---|
|
ID プロバイダーとして Google Workspace を既に使用している場合 |
ユーザーには UiPath アカウントが必要。ただし、SSO も可能 |
ユーザーに UiPath アカウントが必要。ただし、Google を使用して SSO も適用可能 |
N/A |
N/A |
|
ID プロバイダーと組み合わせて Office 365 を既に使用している場合 |
ユーザーに UiPath アカウントが必要 |
ユーザーに UiPath アカウントが必要 |
既存のユーザー アカウントに Automation Cloud へのアクセス権を付与可能 |
既存のユーザー アカウントに Automation Cloud へのアクセス権を付与可能 |
|
ID プロバイダーとして Azure AD を既に使用している場合 |
ユーザーに UiPath アカウントが必要 |
ユーザーに UiPath アカウントが必要 |
既存のユーザー アカウントに Automation Cloud へのアクセス権を付与可能 |
SAML 連携の代わりに AAD 連携を使用することをお勧めします。 |
|
別の ID プロバイダーを既に使用している場合 |
ユーザーに UiPath アカウントが必要 |
ユーザーに UiPath アカウントが必要 |
既存のユーザー アカウントに Automation Cloud へのアクセス権を付与可能 |
既存のユーザー アカウントに Automation Cloud へのアクセス権を付与可能 |
