Apps をオンプレミスの Orchestrator インスタンスに接続する

UiPath^® Apps の Automation Suite インスタンスでは、オンプレミスでデプロイされた UiPath^® Orchestrator (19.10 以降) と接続する手段を提供しています。Orchestrator と接続することで、アプリの豊富な機能を RPA の自動化プロセスと組み合わせて有効活用できます。

Apps と Orchestrator の間のデータフローの詳細については、「ハイブリッドデータフローのダイアグラム」をご覧ください。

連携のワークフロー

Orchestrator への接続はすべて、単一の場所 (Apps Service アプリケーション) から行われます。
Orchestrator への呼び出しはすべて、Orchestrator によって公開されるセキュリティモデルと一致し、認証されています。「認証」のセクションをご覧ください。
Orchestrator と通信するためにユーザーから取得する資格情報は、デザイン時にアプリを認証する際、および実行時にアプリを実行する際の両方で、Orchestrator とのすべての通信に使用されます。アプリを設計または実行しているユーザーの ID 自体は、ここでは使用されません。
- 最初にアプリデザイナーから資格情報を取得すると、資格情報が Apps のバックエンドに暗号化された状態で保存されます。このため、アプリのすべてのユーザーに対して、デザイン時・実行時共にシームレスで中断のないユーザーエクスペリエンスが実現します。
App Service は、セキュリティで保護された、http 上で動作する Webhook コールバックを設定します。これはプロセスのライフサイクルイベント (プロセスの開始、停止、エラーアウトなど) を検出するのに役立ちます。この方法は、「Webhook について」のページに記載されたベストプラクティスに従っています。
プロセスに関連するデータは、Apps のバックエンドには保存されません。保持される情報は、特定のアプリで使用されているプロセスの ID に関するメタデータのみです。
アプリは有人・無人の両方の Orchestrator プロセスを呼び出すことができます。アプリデザイナーでは、接続した Orchestrator を経由してプロセスを実行するか、アプリケーションが実行されているローカルコンピューターで、UiPath^® RobotJS を使用して直接プロセスを実行するかを選択できます。

ローカルのロボットを使用したシナリオでは、プロセスの実行はブラウザーからローカルで実行中のロボットに対して呼び出され、通信の範囲はコンピューターの境界を超えません。
Orchestrator 経由でプロセスを実行するオプションでは、プロセスのライフサイクル全体が Orchestrator によって管理されます。このため、UiPath^® Apps は Webhook コールバックを使用してプロセスのライフサイクルイベントをリッスンするだけです。

UiPath^® Apps にオンプレミス版 Orchestrator へのアクセスを許可する

Apps Service では、すべての外部通信に以下の発信 IP を使用します。

20.103.103.104/30
20.82.230.132/30
52.226.216.100/30
52.149.31.132/30
20.103.172.28/30
20.82.205.104/30
20.92.155.132/30
20.70.73.28/30
20.116.168.240/30
52.229.69.80/30
20.63.171.100/30
104.215.23.28/30
52.175.22.152/30
20.198.201.136/30

この IP からのトラフィックは、組織の DMZ ファイアウォール、および Orchestrator アプリケーションがホストされているコンピューター上のファイアウォールを含むその他の中間ファイアウォールで許可される必要があります。

Orchestrator アプリケーションがホストされている関連ポートは、関連するすべてのファイアウォールで DMZ を経由して公開される必要があります (上述の説明をご覧ください)。
関連プロセスの読み取り・実行アクセス権を持つ Orchestrator ユーザーの資格情報が UiPath^® Apps から取得され、Orchestrator との対話に使用されます。
Robotjs を用いてローカルのロボットでプロセスを実行する場合、Robotjs が「RobotJS」で示された手順に従って適切に設定されていることを確認してください。

ベストプラクティス

オンプレミスでホストされる Orchestrator には、セキュリティで保護された https チャネルを通じてのみアクセスできるようにします。
目的のプロセス/フォルダーのみに対して読み取りおよび実行アクセス権だけを持つ、特権の低いユーザーを Orchestrator に作成し、そのユーザーを連携に使用します。

構成を確認する

Apps のデザイナーパネルで Orchestrator に接続できない旨を示すエラーが表示される

UiPath^® Apps の発信 IP は許可リストに登録されていますか?
Orchestrator のポートは許可リストに登録されていますか?
[Orchestrator URL] フィールドでは、ポートを含む適切な URL が使用されていますか?
Orchestrator への接続に使用される資格情報が適切なものであることを確認しましたか?
指定した資格情報には、フォルダーやプロセスをリスト/実行する権限が設定されていますか?

Apps のデザイナーパネルでプロセスが表示されない、または誤ったプロセスが表示される

アプリのデザイン時に資格情報を設定したユーザーには、目的のプロセスが存在するフォルダーへのアクセス権がありますか?

アプリのプレビュー時、および/またはアプリの実行時やプロセスの呼び出し時にエラーが発生する

UiPath^® Apps の発信 IP は現在も許可リストに登録されていますか?
Orchestrator のポートは現在も許可リストに登録されていますか?
アプリのデザイン時に資格情報を設定したユーザーは現在も存在しますか?
アプリのデザイン中に資格情報を設定したユーザーは、現在も同一の資格情報を保持していますか?
実行対象と全く同じバージョンのプロセスは、Orchestrator の同じフォルダーに現在も存在しますか? あるいは、何か変更がありましたか?
ローカルでプロセスを実行する場合、Robotjs は正しく構成され、ロボットと適切にハンドシェイクを行える状態ですか?
アプリケーションを介してプロセスを実行する前に、ローカルロボットで実行される同一のプロセスがロボットにダウンロードされていますか?
アプリのデザイン時に資格情報を設定したユーザーには、プロセスの実行アクセス権がありますか?

サポートされていないシナリオ

カスタムの自己署名証明書を使用して、UiPath^® Apps を On-premise Orchestrator に接続することはできません。

相互認証を適切に機能させるには、UiPath^® Apps と Orchestrator 間にセキュリティで保護された接続 (HTTPS) が必要です。このセキュリティで保護された接続を実現するには、UiPath Apps と Orchestrator がお互いの証明書を信頼する必要があります。そのためには、以下の条件のいずれかを満たす必要があります。

両者に Google、VeriSign、その他の標準の証明機関 (CA) から取得した証明書があることが必要です。UiPath^® のクラウド製品にはすでにこの証明書があるため、改めて取得する必要はありません。オンプレミス製品のデプロイでは、この証明書の取得が必要です。
オンプレミスのデプロイで内部証明書または自己署名証明書が使用されている場合、接続は機能しません。そのため、相手側の信頼できるルートに証明書を追加する必要があります。UiPath^® クラウド製品に対してこの操作を実行することはできません。UiPath^® クラウドシステムにはカスタム証明書を追加できないからです。