- 概要
- データのセキュリティとコンプライアンス
- 組織
- テナント
- ライセンス
- アカウントとロール
- アカウントとグループについて
- アクセス権を管理する
- 外部アプリケーション
- ログ
- クラウドに移行する
アクセス権を管理する
ロールは権限の集合であり、グループを通じたアクセス権限の維持というより広い範囲のオプションに次ぐ、ユーザー アクセスをより細かく管理するためのレイヤーです。ロールは、グループに追加してすべてのメンバー アカウントが継承できるようにするか、個々のアカウントに追加できます。
ロールには、組織レベルまたはサービス レベルで複数の権限を含めることができます。したがって次のロールがあります。
- 組織レベルのロール: これらのロールは、アカウントが組織全体のオプションに対して持つ権限を制御します。Automation Cloud™ ポータルでは既定で利用可能になっており、ユーザーが変更したり、新しいロールを追加したりすることはできません。
- サービスレベルのロール: このロールでは、所有する各 UiPath® サービスでアカウントが実行できるアクセス権とアクションを制御します。これらは各サービス内から管理され、変更できない既定のロールや、サービス内で作成・管理するカスタム ロールを含めることができます。
通常、アカウントとグループには 1 つの組織レベルのロールと、1 つ以上のサービスレベルのロールが割り当てられます。
以下の表は、アカウントがグループに追加されるときに、それらのアカウントに割り当てられるロールを示しています。たとえば、既定の Administrators グループにアカウントを追加すると、それらのアカウントに組織の組織管理者のロールとサービス内の Administrator ロールが付与されます。そのためこのユーザーは、サービス レベルのロールを管理できるとともに、 [管理] > [アカウントとグループ] から組織レベルのロールも管理できます。
|
グループ メンバーシップ |
組織レベルのロール |
Orchestrator のサービス レベルのロール |
|---|---|---|
|
Administrators |
組織管理者 | |
|
Automation Users |
ユーザー (User) |
フォルダー レベル 1 での Automation User テナント レベルでの Allow to be Automation User |
|
Automation Developers |
ユーザー (User) |
フォルダー レベル 1 での Automation User フォルダー レベル 1 での Folder Administrator テナント レベルでの Allow to be Automation User テナント レベルでの Allow to be Folder Administrator |
|
Everyone |
ユーザー (User) |
ロールはありません。 |
|
Automation Express |
ユーザー (User) |
テナント レベルでの Allow to be Automation User |
|
[カスタム グループ] |
ユーザー (User) |
既定ではロールはありませんが、必要に応じてグループにロールを追加できます。 |
1 ロールはモダン フォルダー (Shared) に割り当てられます (存在する場合)。
アカウントが持つことのできる組織レベルのロールは 1 つのみです。このロールは、[管理者] ページに表示されるタブや [ホーム] および [管理者] ページで利用可能なオプションなど、Automation Cloud のポータル領域内のオプションに対してアカウントが持つアクセス権を制御します。
組織レベルで利用可能なロールは、Organization Administrator と User です。
これらのロールを変更したり、組織レベルで新しいロールを追加したりすることはできません。
組織管理者
このロールでは、組織レベル、および組織内のサービス レベルのすべての機能に対するアクセス権が付与されます。このロールを持つアカウントは、組織に対するすべての管理操作 (テナントの作成・更新、アカウントの管理、組織の監査ログの表示など) を実行できます。このロールは複数のアカウントに割り当てることができます。
組織が作成されると、指定した任意の組織の最初の組織管理者が任命されます。
このロールを他のユーザーに付与するには、組織管理者が既定のグループの 1 つである Administrators グループにユーザー アカウントを追加します。
組織管理者ロールの組織レベルの権限は以下のとおりです。この権限を変更することはできません。
| 表示 | 編集 | 作成 | 削除する | |
|---|---|---|---|---|
|
使用状況のチャートとグラフ |
|
|
|
|
|
テナント |
|
|
|
|
|
アカウントとグループ |
|
|
|
|
|
セキュリティ設定 |
|
|
|
|
|
外部アプリケーション |
|
|
|
|
|
ライセンス |
|
| ||
|
API キー |
|
|
|
|
|
リソース センター (ヘルプ) |
| |||
|
監査ログ |
| |||
|
組織設定 |
|
|
ユーザー (User)
これは、UiPath エコシステム内の基本的なレベルのアクセス権です。ローカル ユーザー アカウントは自動的に Everyone グループのメンバーになり、ユーザー ロールが付与されます。
このロールは、既定のグループである@「Everyone」、「Automation Users」、および「 Automation Developers」内のすべてのアカウントに付与されます。
このロールは、[ホーム] ページや [リソース センター] (使用可能な場合) など、一部の Automation Cloud のページへの読み取り専用アクセス権を付与します。
ユーザーは、現在のテナントにプロビジョニングされたサービスを確認し、アクセスできます。ただし、確認できるコンテンツや各サービス内で実行できる操作は、アカウントに割り当てられたサービス レベルのロールによって異なります。
サービスレベルのロールは、Orchestrator サービスや Data Service など、各 UiPath サービス内のアクセス権および許可されるアクションを制御します。 各サービスに対する権限は、Automation Cloud の [管理者 ] ページからではなく、サービス自体の内部で管理されます。
あるサービスに対する権限をアカウントに付与するには、以下の操作を実行します。
- サービスレベルのロールをグループに割り当てて、そのロールをすべてのメンバー アカウントに付与する - この操作はサービス内で実行します。
- 既に必要なサービス レベルのロールを持っているグループにアカウントを追加する - この操作は、[管理] > [アカウントとグループ] から実行します。
- ロールをアカウントに割り当てる - この操作はサービス内で実行します。
サービスレベルのロールの管理と割り当ては、各サービス内で実行できます。また、サービス内では適切な権限が必要です。
たとえば、Orchestrator 内で Administrator ロールを持つユーザーは、ロールの作成、編集、割り当てを実行できます。
アカウントにロールを割り当てる方法は 2 つあります。
- 直接プロビジョニングは、Automation Cloud 内で既存のアカウントに手動でロールを割り当てることを意味します。割り当ては、グループにアカウントを追加するか、サービス レベルのロールをアカウントに直接割り当てるか、両方を組み合わせることで実行します。
- 自動プロビジョニング が適用されるのは、Automation Cloud の組織が Azure AD (認証設定) などのサードパーティの ID プロバイダー (IdP) と連携している場合のみです。この場合、ID とアクセス管理を外部プロバイダーに完全に引き渡すために、Automation Cloud を設定して、すべてのディレクトリ アカウントが Automation Cloud での操作なしで適切なロールを受け取れるように設定できます。これにより、IdP 管理者は、外部プロバイダー内だけでアカウントを作成および設定することで、Automation Cloud でのユーザーのアクセス権と権限を制御できます。
組織レベルのロールを割り当てる
組織レベルのロールはあらかじめ定義されたものであり、変更できません。
組織管理者は、[管理] > [アカウントとグループ] からアカウントを既定のグループまたはカスタム グループに追加することによって、組織レベルのロールを個々のアカウントに割り当てることができます。
それぞれの種類のグループに関連付けられている組織レベルのロールの詳細については、こちらをご覧ください。
Automation Cloud 組織が Azure Active Directory (Azure AD) などのディレクトリにリンクされている場合、組織レベルのロールを、アカウントと同様にグループに追加して、ディレクトリ グループに割り当てることもできます。これは、ローカル グループではできません。グループの種類については、こちらをご覧ください。
サービス レベルのロールを管理する
サービスレベルのロールの管理および割り当ては、サービス内で行います。ロールは、グループ (推奨) や、Automation Cloud に既に追加されているアカウントに割り当てることができます。
詳細と手順については、該当するドキュメントをご覧ください。
|
サービス |
詳細 |
|---|---|
|
Orchestrator |
Orchestrator から管理されます。 詳細情報と手順については、『Orchestrator ガイド』のロールに関するこちらのページをご覧ください。 |
|
アクション |
Orchestrator から管理されます。 |
|
プロセス |
Orchestrator から管理されます。 |
|
Automation Hub |
Automation Hub から管理します。 必要なロールや、そのロールの割り当て手順の詳細については、『Automation Hub ガイド』の「ロールの説明とマトリックス」をご覧ください。 |
|
Automation Store |
Automation Hub から管理します。 必要なロールや、そのロールの割り当て手順の詳細については、『Automation Hub ガイド』の「ロールの説明とマトリックス」をご覧ください。 |
|
AI Center |
Orchestrator から管理されます。 AI Center の使用に必要なロールの詳細については、『AI Center ガイド』の「AI Center のアクセス制御」をご覧ください。 |
|
Data Service |
Data Service から管理されます。 |
|
Task Mining |
Automation Cloud の組織レベルのロールを使用して管理されます。
|
|
Test Manager |
Test Manager から管理されます。 詳細情報と手順については、『Test Manager ガイド』の「ユーザーとグループのアクセス管理」をご覧ください。 |
アカウントにロールを割り当てる
特定のアカウントが持つ、サービス内のアクセス権を細かく制御するときに、新しいロールをグループ全体に追加したくない場合は、そのサービスに明示的にアカウントを追加し、1 つまたは複数のサービスレベルのロールをそのアカウントに直接割り当てることができます。たとえば、Orchestrator サービスにアカウントを追加できます。
利用可能なロールと手順の詳細については、前述のターゲット サービスのドキュメントをご覧ください。
自動プロビジョニングにより、外部 ID プロバイダー (IdP) から直接、ディレクトリ アカウントが Automation Cloud にアクセスし、使用するための権限を設定できます。
自動プロビジョニングは、サードパーティの IdP との連携を有効化した後に、1 回設定する必要があります。手順については、以下をご覧ください。
- Azure AD: 権限とロボット用にグループを設定する
- SAML 連携を使用して接続されている他の IDP: プロビジョニング ルールを設定する
