- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
アカウントとグループ
[アカウントおよびグループ] ページでは、組織のローカル ユーザー アカウント、ロボット アカウント、およびローカル グループを定義できます。
アクセス権のレベルやユーザーが実行できる操作は、次の 2 つの要素を使用して制御できます。
- アカウント - ユーザーの ID を確立し、UiPath® アプリケーションへのログインに使用されます。
- ロール - UiPath エコシステム内で特定の権限を付与するために、アカウントに割り当てられます。
アカウントは Orchestrator で作成または管理されません。Orchestrator では、ロールとその割り当てのみを管理できます。
UiPath Platform では、ユーザー アカウントとロボット アカウントを作成できます。
個人の識別に使用する種類のアカウントです。これらのアカウントにはライセンスやロールを割り当てることができるとともに、アカウントをグループに追加できます。
ユーザー アカウントには次の 2 種類があります。
- ローカル ユーザー: これらのアカウントは UiPath アカウントにリンクされています。この種類のアカウントは UiPath のスタンドアロン製品のインストール内で作成され、そこで組織管理者によって管理されます。アカウント自体はユーザーが所有しますが、組織管理者はアカウントを参照して、アカウントのロールとグループ メンバーシップを編集、削除、または管理できます。
- ディレクトリ ユーザー: これらのアカウントは、UiPath Platform の外部の、Azure Active Directory などのクラウド アクティブ ディレクトリで定義されます。この種類のアカウントを使用するには、ディレクトリを UiPath Platform にリンクする必要があります。そうすれば、UiPath はディレクトリ ユーザーを検索して参照できるようになり、ユーザーはディレクトリ ユーザーを表示して、ロールを割り当てたり、UiPath グループに追加したりできます。この方法の利点は、これらの ID を 2 回定義する必要がないことです。ディレクトリで 1 回定義すれば、それを UiPath でも使用できます。
詳細については、「アカウントとグループに対する権限」をご覧ください。
ロボット アカウントは、特定のユーザーの責任ではないバックオフィスの無人プロセスを実行する必要があるときに役立ちます。これらは、サービス アカウントに相当する RPA 固有のアカウントです。Windows サービスが OAuth モデルのアプリケーション ID として実行するアカウントと同様に、無人プロセスの実行に使用される、非ユーザー アイデンティティです。
ロボット アカウントを操作する
ロボット アカウントは、権限という観点ではユーザー アカウントと同じように機能します。UiPath Orchestrator では、他のアカウントの場合と同じようにロボット アカウントを追加したり、これらのアカウントの権限を設定したりできます。
ユーザー アカウントとの違いは、以下の点のみです。
- ロボット アカウントでは、対話型プロセス設定は許可されていません。
- ロボット アカウントの作成にメール アドレスは不要です。
ユーザー アカウントとおおむね同様に、ロボット アカウントを検索し操作できます。
-
組織管理者は、[管理] > [アカウントとグループ] ページでロボット アカウントを作成して管理することができます (ただし、[ユーザー] タブではなく、専用の [ロボット アカウント] タブから)。
ロボット アカウントはグループに含めて、グループの一部として管理することもできます。
- Orchestrator でロールを割り当てるときに、アカウントを検索すると、選択できるユーザー、グループ、およびロボット アカウントが表示されます。
クラシック フォルダーの場合、ロボットを Orchestrator に手動でデプロイすると、ロボット エンティティが自動的に作成され、[ロボット] タブに表示されます。
ロボット ユーザーには、既定で Robot ロールが割り当てられます。
サービス アカウントは人間以外のアカウントであり、人間のアカウントが存在する必要がないワークロード (サーバー間認証など) を実行するためのセキュリティ コンテキストを提供する場合に使用します。このような場合、Orchestrator がサービス アカウントの ID を引き受けます。
1 つの Orchestrator インスタンスに対して作成されるサービス アカウントは 1 つのみです。このサービス アカウントはユーザー インターフェイスには表示されず、データベース テーブル内でのみ確認できます。
この種類のアカウントには認証情報が付随しないため、ブラウザーや Cookie を使用して対話型でログインすることはできません。
ワークロードの実行に直接の影響があるため、サービス アカウントを無効化または削除しないことをお勧めします。
グループは、アカウントの管理を簡素化するために使用します。グループとは、まとめて管理を行う、同様のアクセス権、ロボットの設定、ライセンスを必要とするアカウントのコレクションです。
たとえば、グループ内の業務で全員が同じ UiPath 製品の機能を同じ方法で使用する必要があるのが明らかである場合、同じライセンス、ロボット構成、およびロールを持つ、全管理者のグループや会計部門の全従業員のグループを作成できます。対象のユーザー カテゴリでライセンスまたはロールの変更が必要になった場合は、グループを更新するとグループの全メンバーに変更内容が適用されます。
ローカル グループ
グループは、UiPath Platform でネイティブに利用可能です。 [管理] タブ> [アカウントとグループ] > [グループ] タブで作成されたグループは、ローカル グループです。
ディレクトリ グループ
ディレクトリがリンクされていてグループが含まれている場合、ローカル グループの場合と同じ方法で、UiPath Platform 内でそれらのディレクトリ グループを検索し、操作できます。
アカウントがグループのメンバーである間は、そのグループからロール、ライセンス、ロボットの設定を継承します。
ロールの継承
複数のグループに割り当てられているアカウントには、所属するグループに割り当てられているすべての権限の組み合わせが付与されます。
グループ メンバーシップを通じて継承されたロールは、アカウントが接続されている場合にのみ利用可能です。
ディレクトリ アカウントはローカル グループに含めることができます。ディレクトリ グループもローカル グループに含めることができますが、ローカル グループを別のローカル グループに含めることはできません。
これにより、ディレクトリ管理者は、UiPath Platform での追加の操作なしで、必要なロール、ライセンス、ロボットの設定をアカウントに完全にオンボードできます。
このためには、UiPath Platform で完全に設定されたローカル グループにディレクトリ グループを追加します。 その場合、ディレクトリ管理者はそのアカウントをディレクトリ グループに追加するだけで、アカウントは設定を継承して作業を開始できます。
各サービスがアクセスを許可する際には、異なる観点から検討します。
- サービスにアクセスする場合、アクセスはアカウントのグループ メンバーシップに基づいて許可されます。
-
サービス内のリソースにアクセスしたり、そのリソースを使用しようとしたりするときに、そのアクションはアカウントのロールに基づいて許可されます。そのロールはグループから継承するものであるか、アカウントに直接付与された必須のロールです。
ライセンスの継承
グループにライセンス割り当てルールを定義すると、グループのメンバーになるアカウントは、これらのユーザー ライセンスを継承します。
継承は、ユーザー ライセンスの種類に応じて、2 つの方法で行われます。
- Named User ライセンス: アカウントがグループのメンバーになると、利用可能なライセンスのうち 1 つが自動的に割り当てられます。Named User ライセンスはアカウントの ID に関連付けられているため、グループからアカウントを削除するだけではライセンスの割り当てを解除できないことに注意してください。
-
Multiuser ライセンス: Multiuser ライセンスは、別々の時間にライセンスを使用する最大 3 人のグループ メンバーによって共有されます。1 人のメンバーがライセンスを使用すると、他の 2 人はそれを使用できません。
重要: グループ割り当てはライセンスの直接的な割り当てによって上書きされるユーザー ライセンスをアカウントに直接割り当てると、そのアカウントはグループ割り当てから得ていたメリットを受けられなくなります。
- グループの作成または削除、グループ メンバーの追加または削除: 組織管理者は UiPath Platform の [管理] > [アカウントとグループ] > [グループ] タブで、グループを管理したり、グループのアカウントを追加またはアカウントを削除したりできます。
- グループへのライセンスの割り当て: 組織管理者は [管理] > [ライセンス] ページで、グループにライセンス割り当てルールを割り当てることもできます。
- グループのロール: アカウントの場合と同様に、ロールはサービス内から個々のサービスの管理者によってグループに割り当てられます。たとえば、Orchestrator サービスのユーザーおよびユーザー グループについては、こちらをご覧ください。
ユーザー グループを使用しない場合は、サービスレベルのロールを各アカウントに明示的に割り当てることによって、必要なロールを各アカウントに付与します。
既定のグループはすべての UiPath のスタンドアロン製品のインストールの組織で利用可能であり、プラットフォームの機能用の組織レベルのロールと、UiPath サービス用のサービスレベルのロールがあらかじめ設定されています。
既定のグループは、Administrators、Automation Users、Automation Developers、Citizen Developers、Automation Express、Everyone です。
適切なグループにユーザーを追加するだけで、完全に機能する複雑なアクセス スキーマをユーザーに割り当てることができます。各グループに含まれるロールの詳細については、「ロール」をご覧ください。
既定のグループに割り当てられているロールを外すことはできず、またグループを削除することもできません。
さらに制御が必要な場合は、カスタム グループを作成し、独自のロールの組み合わせを割り当てるか、アカウントに直接ロールを割り当てることができます。
アカウント、グループ、ロールを管理するページでは、アカウントの種類やグループの種類を認識しやすくするために、それぞれの種類に対する固有のアイコンが表示されます。
- UiPath ユーザー アカウント: UiPath アカウントに関連付けられ、基本認証を使用してサインインするユーザー アカウントです。
- SSO ユーザー アカウント: SSO を使用してサインインする、UiPath アカウントに関連付けられたユーザー アカウントです。UiPath のユーザー アカウントとディレクトリ アカウントの両方を所有するユーザー アカウントにも、このアイコンが表示されます。
- ディレクトリ ユーザー アカウント: ディレクトリから作成され、Enterprise SSO を使用してサインインするアカウントです。
- ロボット アカウント
UiPath Platform からアカウントまたはグループを作成した場合:
- 組織管理者は、組織に属するアカウントとグループに対して責任を持ち、その管理に必要な権限を持っています。
- アカウントとグループの管理は UiPath のスタンドアロン製品のインストール内で行います。アカウントの作成、編集、削除、アカウントへのライセンス付与、グループへのアカウントの追加と削除ならびにグループの追加と削除ができます。
- ロールは、組織管理者によってサービス内で割り当てられるか、またはサービスレベルの管理者により割り当てられます。
アカウントまたはグループが、インストール済みのスタンドアロンの UiPath 製品にリンクされているディレクトリに作成されている場合は、以下の手順を実行します。
- ディレクトリ管理者は、ディレクトリに属するアカウントとグループに対して責任を持ち、その管理に必要な権限を持っています。
- アカウントとグループの管理はディレクトリ内で行います。管理には、アカウントの作成・編集・削除、グループへのアカウントの追加と削除、グループの追加と削除が含まれます。
- ディレクトリ アカウントとグループは、インストール済みのスタンドアロンの UiPath 製品から個別にライセンスされるか、グループ メンバーシップで一括でライセンスされます。
- ロールは [管理] セクション内で組織管理者またはサービス レベルの管理者によって割り当てられます。ロールは、個別、またはグループ メンバーシップで一括で割り当てられます。
- ディレクトリ アカウントはローカル グループに含めることができます。また、ディレクトリ グループをローカル グループに含めることもできます (ローカル グループを含めることはできません)。