通知を受け取る

UiPath Automation Cloud

UiPath Automation Cloud ガイド

Automation Cloud の現在のステータスはこちらからご確認ください。

Setting Up the Azure AD Integration

概要


If your organization is using Azure Active Directory (Azure AD) or Office 365, you can connect your Automation Cloud organization directly to your Azure AD tenant to see existing user accounts in your UiPath cloud environment.
The Azure AD integration allows you to continue leveraging the invitation-based user management model, if you want, while bootstrapping your organization with the additional benefits of using the Azure AD model. For more information about these models, see About Users.

組織で Azure AD のモデルを採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

👍

ダウンタイムなし

Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロール アウトを段階的に進めることができます。

 

前提条件


Azure AD との連携を設定するには、以下が必要です。

  • an Automation Cloud organization with an Enterprise Trial or Enterprise license
  • Admin permissions in both Automation Cloud and Azure AD (if you don't have admin permissions in Azure, collaborate with an Azure administrator to complete the setup process);
  • an organization administrator UiPath account that uses the same email address as an Azure AD user; the Azure AD user does not require admin permissions in Azure;
  • UiPath Studio and Assistant version 2020.10.3 or later;
  • UiPath Studio and Assistant to use the recommended deployment.

 

連携が可能になるよう Azure を設定する


Automation Cloud は、アクティブ ディレクトリのメンバーを参照してユーザー ID を確立できるようにするために、Azure AD のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で Automation Cloud を Azure AD のテナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。

権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の管理者ロールには、必要な権限が付与されています: 全体管理者、クラウド アプリケーション管理者、アプリケーション管理者

連携のために Azure テナントを設定する方法は 2 通りあります。

  • 下記の手順を実行して、連携のために Automation Cloud のアプリケーションの登録を手動で設定します。
  • Use the UiPath Azure AD scripts that we created for this task, which are available on GitHub: The configAzureADconnection.ps1 script performs all the actions described in this section and returns the app registration details. Then you can run the testAzureADappRegistration.ps1 script to make sure the app registration was successful.

Azure テナントを手動で設定するには、Azure Portal で以下の手順を実行します。

  1. Automation Cloud のアプリケーション登録を作成します。
    登録時に [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI]https://cloud.uipath.com/identity_/signin-oidc に設定します。
    Automation Cloud の登録済みアプリケーションがある場合は、新しく作成する必要はありませんが、上記の説明に従って設定されていることを確認してください。
  2. アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。
  1. アプリケーションの [認証] ページに移動します。
    a.[リダイレクト URI][URI の追加] をクリックして、新しいエントリを追加します。
    b. [リダイレクト URI] の一覧に https://cloud.uipath.com/portal_/testconnection を追加します。
    c. 下部の [ID トークン] チェック ボックスを選択します。
    d. 上部の [保存] をクリックします。
  1. [トークン構成] ページに移動します。
  2. [省略可能な要求を追加] を選択します。
  3. [トークンの種類] として [ID] を選択します。
  4. family_namegiven_nameupn のチェックボックスを選択して、これらを省略可能な要求に追加します。
  1. [API のアクセス許可] ページに移動します。
  2. [アクセス許可の追加] をクリックして、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。
    • OpenId 権限 - email、openid、profile
    • グループ権限 - Group.Read.ALL
    • ユーザー権限 - User.Read、User.Read.All

The above API permissions allow the app (Automation Cloud) to read all user profiles and groups in the organization.

  1. [管理者の同意を与えます]チェック ボックスを選択します。
    テナント アクティブ ディレクトリ内のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーに同意を求めるプロンプトが表示されなくなります。
    アクセス許可と同意の詳細については、Azure AD のドキュメントを参照してください。

  2. [証明書とシークレット] のページに移動します。

  3. 新しいクライアント シークレットを作成します。

  4. クライアント シークレットの [値] をコピーして、後で使用するために保存しておきます。

  1. Automation Cloud の Organization Administrator が Automation Cloud の設定を進められるように、ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を伝えます。

 

Automation Cloud との連携のデプロイ


After Azure setup is complete, you can prepare for the integration, activate it, and then clean up old accounts.
The process is broken down in stages so that there is no disruption for your users.

権限: このセクションの作業を実行するには、Automation Cloud の Organization Administrator である必要があります。

非アクティブ ユーザーをクリーンアップする

When you connect Automation Cloud to Azure AD by activating the integration, accounts with matching email addresses are linked so that the Azure AD account benefits from the same permissions as the matching UiPath account.
If your organization practices email recycling, meaning that an email address that was used in the past could be assigned to a new user in the future, this could lead to a risk of elevated access.
If inactive email addresses are not reused in your organization, you can skip this step.

詳細情報

かつて、メール アドレスが `john.doe@example.com` である従業員がいたとします。この従業員は UiPath のアカウントを所有していて、Organization Administrator でしたが、その後退社したため、このメール アドレスは無効にされました。しかし、Automation Cloud からはユーザーが削除されていませんでした。
同じ John Doe という名前の新しい従業員が入社し、同じメール アドレス `john.doe@example.com` を割り当てられました。このような場合、アカウントがリンクされ、Automation Cloud と Azure AD との連携が可能になると、John Doe は Organization Administrator の権限を継承してしまいます。


こうした状況が発生するのを防ぐため、次の手順に進む前に、アクティブでなくなったユーザーが Automation Cloud からすべて削除されていることを確認してください。

Azure AD との連携をアクティブ化する

はじめる前に

  • Make sure that Azure configuration is complete.
  • Azure の管理者から、Automation Cloud アプリケーションの登録に必要な、Azure の ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を入手します。

Azure AD との連携をアクティブ化するには、Automation Cloud で以下の手順を実行します。

  1. [管理] > [ユーザーとグループ] に移動し、[認証設定] タブを選択します。
  2. [Microsoft Azure Active Directory で Enterprise SSO を有効化] を選択します。
  3. Azure 管理者から提供された情報をフィールドに入力します。
  4. チェック ボックスを選択します。
    変更の保存後に、対応するアカウントが自動的にリンクされるからです。
  1. [テスト接続] をクリックします。
  2. プロンプトが表示されたら、Azure AD のアカウントでサインインします。
    サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
  3. [保存] をクリックします。
    組織で連携がアクティブ化されました。
  4. [管理] > [組織設定] に移動し、組織の [サイト URL] をメモします。
  5. サインアウトします。
  6. Navigate to the site URL for your organization (https://cloud.uipath.com/orgID/) and sign in using your Azure AD account.

Now you can work with the users and groups in the linked tenant's Azure AD. You can find Azure AD users and groups using search, for example to add a user to an Automation Cloud group, but they are not listed in either the Users or Groups pages.

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、UiPath のアカウントと同じ権限を付与されます。

If you have not removed their UiPath user accounts, users can also continue to sign in with their UiPath account, both methods work.

Azure AD のアカウントを使用するには、組織固有の Automation Cloud URL (https:/cloud.uipath.com/myOrganization/ の形式) に移動するか、メイン ログイン ページで [Enterprise SSO] を選択する必要があります。
ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。


What roles does each account have?

Azure AD account: When a user signs in with their Azure AD account, they immediately benefit from all the roles they had on their UiPath account, plus any roles assigned within UiPath to the Azure AD account or to the Azure AD groups to which they belong. These roles can come from the Azure AD user or the Azure AD group being included in Automation Cloud groups, or from other services such as Orchestrator where roles were assigned to the Azure AD user or Azure AD group.

UiPath account: With the Azure AD integration active, for UiPath accounts it depends:

  • If the user hasn't signed in at least once with their Azure AD account, they have only the roles of the UiPath account.
  • If they have previously signed in with the Azure AD account at least once, the UiPath account also has any roles that the Azure AD user has within UiPath, either explicitly assigned, or inherited from Automation Cloud group memberships. The UiPath account does not benefit from any of the roles assigned to Azure AD groups that the Azure AD account is in.

Azure AD のアカウントに対して権限を再適用する必要がありますか。

いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、UiPath のアカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。


Azure AD との連携をテストする

To check that the integration is running from Automation Cloud, sign in as an organization administrator with an Azure AD account and try to search for Azure AD users and groups on any related page, such as the Edit Group panel in Automation Cloud (Admin > Users and Groups > Groups > Edit).

  • If you can search for users and groups that originate in Azure AD, it means the integration is running. You can tell the type of user or group by its icon.

📘

注:

Users and groups from Azure AD are not listed in the Users page or the Groups page, they are only available through search.

  • If you encounter an error while trying to search for users, as shown in the example below, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described in Configuring Azure for the Integration.

👍

Check:

Ask your Azure administrator to confirm that they selected the Grant admin consent check box during Azure configuration. This is a common cause why the integration fails.

トラブルシューティング

Azure administrators can use the UiPath Azure AD test script testAzureADappRegistration.ps1, which is available on GitHub, to find and fix any configuration issues when the cause is not clear, as in the case below:

 

Azure AD への移行を完了する


連携をアクティブ化したら、このセクションの手順に従って、作成したユーザーと割り当てられたグループが Azure AD に移行されていることを確認するようお勧めします。この方法により、既存の ID とアクセス管理インフラストラクチャを基盤として、Automation Cloud のリソースに対する、より簡単なガバナンスとアクセス管理制御を実現できます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に Automation Cloud やその他のサービスに設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを Automation Cloud で割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Automation Cloud の既存のユーザー グループを Azure AD の新規または既存のグループにマッピングできます。その方法は、Azure AD でのグループの使用方法に応じていくつかあります。

  • If users with the same roles in Automation Cloud are already in the same groups in Azure AD, the organization administrator can add these Azure AD groups to the Automation Cloud user groups that these users were in. This ensures that users keep the same permissions and robot setup.
  • Otherwise, the Azure administrator can create new groups in Azure AD to match the ones in Automation Cloud and add the same users that are in the Automation Cloud user groups. Then the organization administrator can add the new Azure AD groups to the existing user groups to ensure the same users have the same roles.

In either case, make sure you check for any roles that were explicitly assigned to users. If possible, eliminate the explicit role assignments by adding these users to groups that have the roles that were explicitly assigned.

Example: Let's say the Administrators group in Automation Cloud includes the users Roger, Tom, and Jerry. These same users are also in a group in Azure AD called admins. The organization administrator can add the admins group to the Administrators group in Automation Cloud. This way, Roger, Tom, and Jerry, as members of the admins Azure AD group, all benefit from the roles of the Administrators group.
Because admins is now part of the Administrators group, when you need to onboard a new administrator, the Azure administrator can add the new user to the admins group in Azure, thus granting them administration permissions in Automation Cloud without having to make any changes in Automation Cloud.

Changes to Azure AD group assignments apply in Automation Cloud when the user logs in with their Azure AD account, or if already logged in, within an hour.

既存のユーザーを移行する

初期サインイン - Azure AD のユーザーやグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回はサインインする必要があります。連携が開始された後に、UiPath のアカウントからサインアウトして Azure AD のアカウントでサインインし直すよう、すべてのユーザーに指示することをお勧めします。Azure AD のアカウントでのサインインは、次の手順で実行できます。

  • navigating to the organization-specific URL, in which case the sign in type is already selected;
    The URL must include the organization ID and end in a forward slash, such as https://cloud.uipath.com/orgID/.
  • by selecting Enterprise SSO on the main login page.
    Make sure you provide your organization-specific URL for Automation Cloud to all your users. Only organization administrators can see this information in Automation Cloud.

移行されたユーザーは、直接割り当てられた権限、または Azure AD のグループから継承された権限、あるいはその両方を使用できます。

ユーザー向けに Studio と Assistant を設定する: これらの製品を Azure AD のアカウントに接続できるように設定するには、以下の手順を実行します。

  1. In Assistant, open Preferences and select the Orchestrator Connection tab.
  2. [サインアウト] をクリックします。
  3. 接続の種類として [サービス URL] を選択します。
  4. In the Service URL field, add the organization-specific URL
    The URL must include the organization ID and end in a forward slash, such as https://cloud.uipath.com/orgID/. Otherwise the connection fails saying that the user does not belong to any organization.
  5. Azure AD のアカウントに再度サインインします。

Permissions from Azure AD groups don't influence the automations from classic folders or the robots that are connected using the machine key. To operate under group-based permissions, configure the automations in modern folders and use the Service URL option to connect to UiPath Assistant or Studio.

UiPath のアカウントの使用を中止する (オプション)

必須ではありませんが、Automation Cloud と Azure AD 間の完全な連携がもたらすコア コンプライアンスと効率のメリットを最大限に活かすために、UiPath アカウントの使用は中止することをお勧めします。

After all users have been migrated, you can remove the users which are based on personal UiPath accounts from the Users tab, so that your users won't be able to sign in using their UiPath accounts anymore. You can find these accounts based on their user icons.

Orchestrator サービスなどの UiPath クラウド サービス内の権限を個別にクリーンアップしたり、Automation Cloud グループからユーザーを個別に削除したりして、権限が Azure AD のグループ メンバーシップだけに基づいて付与されるようにすることもできます。

例外

ただし、UiPath アカウントの使用を中止することにした場合も、次のような状況に備えていくつか残しておくことをお勧めします。

  • Managing Authentication Settings in Automation Cloud: To revert to the invitation-based model or update the Azure AD application secret, a UiPath user account with the organization administrator role is required. The Authentication Settings options are not active otherwise.
  • API Access: If you have processes in place that rely on the information obtained by clicking API Access (Admin > Tenants page) to make API calls to a service, you need a UiPath account because the button is not available when logged in with an Azure AD account.
    Alternatively, you can switch to using OAuth for authorization, in which case the information from API Access is no longer required.

ベスト プラクティス


Here are a few useful pointers for advanced features you can leverage now that you have the Azure AD integration set up.

Restrict Access to Automation Cloud

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access Automation Cloud. The first time an Azure AD user signs in to Automation Cloud, they are automatically included in the Automation Cloud group Everyone, which grants them the User organization-level role.

If you want to only allow certain users to access Automation Cloud, you can activate user assignment for the Automation Cloud app registration in Azure. This way, users need to be explicitly assigned to the app (Automation Cloud) to be able to access it. For instructions, see this article in the Azure AD documentation.

Restrict Access to Trusted Networks or Devices

If you want to only allow your users to access Automation Cloud from a trusted network or a trusted device, you can use the Azure AD Conditional Access feature.

Governance for Automation Cloud Groups in Azure AD

If you have created groups in Azure AD for easy Automation Cloud onboarding directly from Azure AD, as described in Configure Groups for Permissions and Robots, you can use the advanced security options of Privileged Identity Management (PIM) for these groups to govern access requests for Automation Cloud groups.

約 1 か月前に更新


Setting Up the Azure AD Integration


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。