通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

認証とセキュリティを構成する

組織管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。

ID プロバイダーを設定する


組織の ID プロバイダーの選択 ([管理] > [セキュリティ設定]) は、ユーザーのサインイン方法、および Automation Suite でのユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。

モデル

Automation Suite のインスタンスへのアクセスを制御するための認証設定はいくつか用意されていますが、それらはすべて 2 つの主要なモデルに基づいています。既定のモデルと、より高度な ID 管理機能を利用できる Azure Active Directory (Azure AD) モデルです。

すべてのユーザーに基本認証を使用したサインインを許可する (既定のモデル)

このモデルを使用して、組織管理者は Automation Suite で従業員のユーザー アカウントを作成し、従業員がログインできるようにします。
The accounts that are created may represent a local account in Automation Suite, or a user in the external directory provider configured at the host level (as documented in Host authentication and security settings.)

Microsoft Azure Active Directory で Enterprise SSO を有効化する (Azure Active Directory モデル)

Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Automation Suite の組織を Azure AD のテナントに直接接続できるため、以下を使用できます。

ユーザーの自動オンボードとシームレスな移行
  • Automation Suite サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Automation Suite の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。

  • 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待モデルでは不可能なことです。

  • UiPath のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。


サインインの簡素化
  • ユーザーは Automation Suite の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。

    ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。

  • UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Automation Suite URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。


既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
  • Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Suite サービス内の権限を設定する必要がなくなります。

  • 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Suite グループに統合できます。

  • Automation Suite のアクセスの監査は簡単です。すべての Automation Suite サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。


📘

注:

Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。

If you would like to use Azure Active Directory as the identity provider for your organization, follow the instructions in Setting up the Azure AD integration.

SAML モデル

このモデルでは、選択した ID プロバイダー (IdP) に Automation Suite を接続できるため、以下が可能になります。

  • ユーザーはシングル サインオン (SSO) を利用できます。
  • ID を再作成することなく、Automation Suite でディレクトリから既存のアカウントを管理できます。

Automation Suite は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。

メリット

Automation Suite へのユーザーの自動オンボーディング

SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で Automation Suite にサインインすることが許可されます。つまり、次のようになります。

  • ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Automation Suite の組織にサインインできます。

  • それらのユーザーは、追加の設定なしに Everyone ユーザー グループのメンバーとなり、既定で User 組織ロールが付与されます。Automation Suite を使用するには、ユーザーの役割に適したロールとライセンスが必要です。

アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Automation Suite へのアクセスを許可するユーザーのセットを定義できます。


ユーザーの管理

ユーザーは、Automation Suite のグループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。

通常、管理者は [管理] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、Automation Suite では SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。

ユーザーがグループに追加されるか、1 回でもサインインすると自動的に Everyone グループに追加され、Automation Suite のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。


属性マッピング

UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Suite に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。


686686

セットアップ

管理者は、[管理] > [セキュリティ設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
For instructions, see Configuring the SAML integration.

Azure AD 連携から SAML 連携へ移行する

SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Automation Suite グループ メンバーシップと権限は考慮されなくなります。

 

基本認証を許可または制限する

Basic authentication refers to signing in with the username and password of a local account.

基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリ アカウントでのみログインできます。制限されていない場合、ユーザーはローカル アカウント (ある場合) とディレクトリ アカウントの両方でログインできます。

Also see Configuration levels and inheritance for more information about this setting.

組織レベルで基本認証を設定する

This setting is only available if an external provider integration is enabled at the host or organization level.

組織レベルで設定した場合、その設定が組織内のすべてのアカウントに適用されます。
例外として、基本認証をアカウント レベルで設定し、この設定を異なる方法で適用することもできます。

組織に対して基本認証を許可または制限するには、以下の手順を実行します。

  1. Log in to the organization-level Management portal at https://<server>/identity/management as an administrator.
  2. [セキュリティ設定] に移動します。
  3. [外部プロバイダー][組織の基本認証を無効化] トグルをクリックして、基本認証を使用するサインインを制限または許可します。
    • オフにした場合 (左のトグル位置、灰色のトグル)、基本認証は許可されます。
    • オンにした場合 (右のトグル位置、青色のトグル)、基本認証は制限されます。制限されている間は、[ホスト管理者の基本認証を許可] トグルを利用できます。
  4. [外部プロバイダー] セクションの右下にある [保存] をクリックして、変更を適用します。

 

セキュリティ オプションを構成する


組織のセキュリティ オプションを設定するには、[管理] > [セキュリティ設定] に移動し、必要に応じてオプションを編集します。

パスワードの複雑さ

📘

[パスワードの複雑さ] の設定を編集しても既存のパスワードには影響しません。

Field

Description

Special characters

Select to force users to include at least one special character in their password.
By default, this checkbox is not selected.

Lowercase characters

Select to force users to include at least one lowercase character in their password.
By default, this checkbox is selected.

Uppercase characters

Select to force users to include at least one uppercase character in their password.
By default, this checkbox is not selected.

Digits

Select to force users to include at least one digit in their password.
By default, this checkbox is selected.

Minimum password length

Specify the minimum number of characters a password should contain.
By default, it is 8. The length cannot be smaller than 1 or greater than 256 characters.

Days before password expiration

Specify the number of days for which the password is available. After this period, the password expires and needs to be changed.
The minimum accepted value is 0 (the password never expires), and the maximum is 1000 days.

Number of times a password can be reused

The minimum accepted value is 0 (never allow reusing a password), while the maximum is 10.

Change password on the first login

If set to Required, users that log in for the first time must change their password before being allowed to access Automation Suite.
If set to Not required, users can log in and continue to use the admin-defined password until it expires.

アカウント ロック

Field

Description

Enabled or Disabled toggle

If enabled, locks the account for a specific amount of seconds after a specific amount of failed login attempts. This also applies to the password change feature.

Account lockout duration

The number of seconds a user needs to wait before being allowed to log in again after exceeding the Consecutive login attempts before lockout.
The default value is 5 minutes. The minimum accepted value is 0 (no lockout duration), and the maximum is 2592000 (1 month).

Consecutive login attempts before lockout

The number of failed login attempts allowed before the account is locked.
The default value is 10 attempts. You can set a value between 2 and 10.

19 日前に更新


認証とセキュリティを構成する


組織管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。