通知を受け取る

UiPath Automation Suite

UiPath Automation Suite ガイド

Azure AD 連携を設定する

概要


会社で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、Automation Suite の組織を Azure AD のテナントに直接接続して、UiPath 環境の既存のユーザー アカウントを表示できます。
The Azure AD integration allows you to continue leveraging local user model, if you want, while bootstrapping your organization with the additional benefits of using Azure AD. For more information about the differences, see Authority over accounts and groups.

組織で Azure AD を採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

👍

ダウンタイムなし

Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロール アウトを段階的に進めることができます。

 

前提条件


Azure AD との連携を設定するには、以下が必要です。

  • Automation Suite と Azure AD の両方の管理者権限 (Azure での管理者権限がない場合は、Azure 管理者と協力してセットアップ プロセスを完了してください)。
  • Azure AD ユーザーと同じメール アドレスを使用する組織管理者の UiPath アカウント。Azure AD ユーザーは Azure での管理者権限は不要です。
  • UiPath Studio および Assistant バージョン 2020.10.3 以降。
  • UiPath Studio and Assistant to use the recommended deployment.
  • if you previously used local user accounts, make sure that all your Azure AD users have the email address in the Mail field; having the email address in the User Principle Name (UPN) field alone is not enough. The Azure AD integration links directory user accounts with the local user accounts if the email addresses match. This allows users to retain permissions when they transition from signing in with their local user account to the Azure AD directory user account.

 

連携が可能になるよう Azure を設定する


権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウド アプリケーション管理者、アプリケーション管理者

Azure テナントを設定するには、Azure Portal で以下の手順を実行します。

  1. Automation Suite のアプリケーションの登録を作成します。
    During registration, select Accounts in this organizational directory only and set the Redirect URI to https://{baseURL}/identity_/signin-oidc です。
    Automation Suite の登録済みアプリケーションがある場合は、新しく作成する必要はありませんが、上記の説明に従って設定されていることを確認してください。
  2. アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。
498498
  1. アプリケーションの [認証] ページに移動します。
    a. [リダイレクト URI] 下部の [URI の追加] をクリックして、新しいエントリを追加します。
    b. Add https://{baseURL}/portal_/testconnection to the Redirect URIs list.
    c. 下部の [ID トークン] チェック ボックスを選択します。
    d. 上部の [保存] をクリックします。
13161316
  1. [トークン構成] ページに移動します。
  2. [省略可能な要求を追加] を選択します。
  3. [トークンの種類] として [ID] を選択します。
  4. family_namegiven_nameupn のチェックボックスを選択して、これらを省略可能な要求に追加します。
598598
  1. [API のアクセス許可] ページに移動します。
  2. [アクセス許可の追加] をクリックして、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。
    • OpenId 権限 - email、openid、profile
    • グループ メンバー権限 - GroupMember.Read.All;
    • ユーザー権限 - User.Read, User.ReadBasic.All.

The above API permissions allow the app (Automation Suite) to read all user profiles and groups in the organization.

910910
  1. [管理者の同意を与えます] チェック ボックスを選択します。
    テナント アクティブ ディレクトリ内のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーに同意を求めるプロンプトが表示されなくなります。
    アクセス許可と同意の詳細については、Azure AD のドキュメントをご覧ください。

  2. [証明書とシークレット] のページに移動します。

  3. 新しいクライアント シークレットを作成します。

  4. クライアント シークレットの [値] をコピーして、後で使用するために保存しておきます。

10711071
  1. Automation Suite の Organization Administrator が Automation Suite の設定を進められるように、ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を伝えます。

 

Automation Suite との連携のデプロイ


Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。
ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。

権限: このセクションの作業を実行するには、Automation Suite の組織管理者である必要があります。

非アクティブ ユーザーをクリーンアップする

連携をアクティブ化して Automation Suite を Azure AD に接続すると、メール アドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath のアカウントと同じ権限が付与されます。
For account linking to work properly, make sure that all your Azure AD users have the email address added in the Mail field in Azure; having the email address in the User Principle Name (UPN) field alone is not enough.

組織でメール アドレスを再利用する習慣がある場合、つまり、過去に使用されていたメール アドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。
If inactive email addresses are not reused in your organization, you can skip this step.

詳細情報

かつて、メール アドレスが「email protected」である従業員がいたとします。この従業員は UiPath のアカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメール アドレスは非アクティブ化されました。しかし、Automation Suite からはユーザーが削除されていませんでした。
同じジョン・ドウという名前の新しい従業員が入社した場合、同じメール アドレス `[email protected]` が割り当てられます。このような場合、アカウントがリンクされ、Automation Suite と Azure AD との連携が可能になると、ジョン・ドウは Organization Administrator の権限を継承してしまいます。


こうした状況が発生するのを防ぐため、次の手順に進む前に、アクティブでなくなったユーザーが Automation Suite からすべて削除されていることを確認してください。

Azure AD との連携をアクティブ化する

はじめる前に

  • Make sure that Azure configuration is complete.
  • Azure の管理者から、Automation Suite アプリケーションの登録に必要な、Azure の ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を入手します。

Azure AD との連携をアクティブ化するには、Automation Suite で以下の手順を実行します。

  1. Go to Admin > Security Settings tab.
  2. [外部プロバイダー] セクションで、[Azure Active Directory][設定] をクリックします。
920920

ウィンドウの右側に [Azure Active Directory を構成] パネルが開きます。

  1. Azure 管理者から提供された情報をフィールドに入力します。
  2. チェック ボックスをオンにします。
    変更の保存後に、対応するアカウントが自動的にリンクされるからです。
  3. [テスト接続] をクリックします。
  4. プロンプトが表示されたら、Azure AD のアカウントでサインインします。
    サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
  5. [保存] をクリックします。
    組織で連携がアクティブ化されました。
  6. [管理] > [組織設定] に移動し、組織の [URL] をメモします。
  7. サインアウトします。
  8. Navigate to the URL for your organization (https://{baseURL}/orgID/) and sign in using your Azure AD account by clicking Continue with Enterprise SSO.

Now you can work with the users and groups in the linked Azure AD tenant. You can find Azure AD users and groups using search, for example to add a user to an Automation Suite group.
Directory accounts and groups are not listed in either the Users or Groups pages under Admin > Accounts & Groups, you can only find them through search.

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、UiPath のアカウントと同じ権限を付与されます。

UiPath のユーザー アカウントをまだ削除していなければ、引き続き UiPath のアカウントによるサインインも可能です。どちらの方法も使用できます。

To use their Azure AD account, they must navigate to your organization-specific Automation Suite URL, which is of the form https://{baseURL}/myOrganization/, or select Enterprise SSO on the main login page.
ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。


各アカウントには何のロールが割り当てられているか?

Azure ADアカウント: ユーザーが Azure AD アカウントでサインインした場合、ユーザーは自分の UiPath アカウントで持つすべてのロールと、UiPath 内で Azure AD アカウントまたはユーザーが属する Azure AD グループに割り当てられたすべてのロールの機能をすぐに使用することができます。これらのロールは、Automation Suite グループに属する Azure AD ユーザーまたは Azure AD グループ、あるいは Azure AD ユーザーまたは Azure AD グループにロールが割り当てられた Orchestrator などの他のサービスから継承されます。

UiPath アカウント: Azure AD との連携がアクティブな場合、UiPath アカウントに割り当てられるロールは以下の条件によって異なります。

  • ユーザーが自分の Azure AD アカウントで 1 度もサインインしていない場合、そのユーザーは UiPath アカウントのロールしか持っていません。
  • 以前に Azure AD アカウントで少なくとも 1 度はサインインした場合、UiPath アカウントは、UiPath 内で Azure AD ユーザーが持つロール (明示的に割り当てられたロール、または Automation Suite グループ メンバーシップから継承したロール) も持ちます。UiPath アカウントでは、Azure AD アカウントが属している Azure AD グループに割り当てられたいずれのロールの機能も使用できません。

Azure AD のアカウントに対して権限を再適用する必要がありますか。

いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、UiPath のアカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。


Azure AD との連携をテストする

Automation Suite からの連携が機能していることを確認するには、Azure AD アカウントで組織管理者としてサインインし、Automation Suite の [グループを編集] パネル ([管理] > [アカウントおよびグループ] > [グループ] > [編集]) などの関連するページで Azure AD のユーザーやグループを検索してみてください。

  • If you can search for users and groups that originate in Azure AD, it means the integration is running. You can tell the type of user or group by its icon.

📘

注:

Azure AD のユーザーとグループは [ユーザー] ページまたは [グループ] ページにリスト表示されず、検索を通じてのみ使用できます。

  • If you encounter an error while trying to search for users, as shown in the example below, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described in Configuring Azure for the Integration.

👍

チェック:

Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

 

Azure AD への移行を完了する


連携をアクティブ化したら、このセクションの手順に従って、作成したユーザーと割り当てられたグループが Azure AD に移行されていることを確認するようお勧めします。この方法により、既存の ID とアクセス管理インフラストラクチャを基盤として、Automation Suite 組織のリソースに対する、より簡単なガバナンスとアクセス管理制御を実現できます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に Automation Suite やその他のサービスに設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを Automation Suite で割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Automation Suite の既存のユーザー グループを Azure AD の新規または既存のグループにマッピングできます。その方法は、Azure AD でのグループの使用方法に応じていくつかあります。

  • Automation Suite 内で同じロールを持つユーザーが Azure AD の同じグループに既に存在する場合、組織管理者は、これらのユーザーが属していた Automation Suite ユーザー グループに、これらの Azure AD グループを追加できます。これによって、それらのユーザーが確実に同じ権限とロボットの設定を持つようになります。
  • それ以外の場合は、Azure の管理者が Automation Suite のグループに対応するグループを Azure AD 内に新たに作成して、Automation Suite のユーザー グループと同じユーザーを追加します。その後、組織管理者が新しい Azure AD グループを既存のユーザー グループに追加すると、同じユーザーが確実に同じロールを持つようになります。

In either case, make sure you check for any roles that were assigned to accounts. If possible, eliminate the explicit role assignments by adding these users to groups that have the roles that were explicitly assigned.

: Automation Suite の Administrators グループに、ユーザー Roger、Tom、Jerry が属しているとします。これらのユーザーは admins という名前の Azure AD のグループにも属しています。Organization Administrator は、admins グループを Automation Suite の Administrators グループに追加できます。そうすれば、Roger、Tom、Jerry は、Azure AD グループ admins のメンバーとして Administrators グループのロールのすべての機能を利用できるようになります。
adminsAdministrators グループの一部になったため、新しい管理者のオンボードが必要になった場合、Azure 管理者はその新しいユーザーを Azure の admins グループに追加できます。そのため、Automation Suite での変更なしで、Automation Suite での管理権限をユーザーに付与できます。

Changes to Azure AD group assignments apply in Automation Suite when the user logs in with their Azure AD account, or if already logged in, within an hour.

既存のユーザーを移行する

初期サインイン - Azure AD のユーザーやグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回はサインインする必要があります。連携が開始された後に、UiPath のアカウントからサインアウトして Azure AD のアカウントでサインインし直すよう、すべてのユーザーに指示することをお勧めします。Azure AD のアカウントでのサインインは、次の手順で実行できます。

  • 組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。
    The URL must include the organization ID and end in a forward slash, such as https://{baseURL}/orgID/ です。
  • メイン ログイン ページで [Enterprise SSO] を選択します。
    Make sure you provide your organization-specific URL for Automation Suite to all your users. Only organization administrators can see this information in Automation Suite.

移行されたユーザーは、直接割り当てられた権限、または Azure AD のグループから継承された権限、あるいはその両方を使用できます。

ユーザー向けに Studio と Assistant を設定する: これらの製品を Azure AD のアカウントに接続できるように設定するには、以下の手順を実行します。

  1. Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
  2. [サインアウト] をクリックします。
  3. 接続の種類として [サービス URL] を選択します。
  4. [サービス URL] フィールドに組織固有の URL を入力します。
    The URL must include the organization ID and end in a forward slash, such as https://{baseURL}/orgID/. Otherwise the connection fails saying that the user does not belong to any organization.
  5. Azure AD のアカウントに再度サインインします。

Permissions from Azure AD groups don't influence the automations from classic folders or the robots that are connected using the machine key. To operate under group-based permissions, configure the automations in modern folders and use the Service URL option to connect to UiPath Assistant or Studio.

ローカル アカウントの使用を中止する (任意)

必須ではありませんが、Automation Suite と Azure AD 間の完全な連携がもたらすコア コンプライアンスと効率のメリットを最大限に活かすために、UiPath アカウントの使用は中止することをお勧めします。

After all users have been migrated, you can remove the users which are based on personal local accounts from the Users tab, so that your users won't be able to sign in using their UiPath accounts anymore. You can find these accounts based on their user icons.

Orchestrator サービスなどの UiPath サービス内の権限を個別にクリーンアップしたり、Automation Suite グループからユーザーを個別に削除したりして、権限が Azure AD のグループ メンバーシップだけに基づいて付与されるようにすることもできます。

ベスト プラクティス


これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。

Automation Suite へのアクセスを制限する

Because the integration with Azure AD is performed at the level of the Azure tenant, by default all Azure AD users can access the Automation Suite organization. The first time an Azure AD user signs in to Automation Suite, they are automatically included in the Automation Suite group Everyone, which grants them the User organization-level role.

If you want to only allow certain users to access your Automation Suite organization, you can activate user assignment for the Automation Suite app registration in Azure. This way, users need to be explicitly assigned to the app (Automation Suite) to be able to access it. For instructions, see this article in the Azure AD documentation.

アクセスを信頼できるネットワークまたはデバイスのみに制限する

If you want to only allow your users to access Automation Suite from a trusted network or a trusted device, you can use the Azure AD Conditional Access feature.

Azure AD の Automation Suite グループのガバナンス

If you have created groups in Azure AD for easy Automation Suite onboarding directly from Azure AD, as described in Configure groups for permissions and robots, you can use the advanced security options of Privileged Identity Management (PIM) for these groups to govern access requests for Automation Suite groups.

2 か月前に更新


Azure AD 連携を設定する


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。