- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
- Automation Cloud (専有型) に移行する
Automation Cloud (専有型) 管理ガイド
認証モデルについて
ローカル ユーザー アカウントは各ユーザーのアカウントを表し、 Automation Cloud (専有型) の内部アカウントです。このモデルでは、組織管理者が新しいユーザーを組織に追加します。Automation Cloud (専有型) 内でのユーザー管理を完全に制御する必要がある場合に適しています。
UiPath では、SSO 設定はホスト レベルと組織レベルの両方で実装可能な規定です。
ホスト レベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。
ホスト レベルで管理できる SSO 設定には、基本サインイン、Azure AD SS、SAML SSO があります。基本サインインなどの特定の設定は、組織レベルで上書きできます。
このモデルは、ディレクトリ アカウント モデルに対応しています。
ディレクトリ アカウント モデルは、UiPath Platform と連携するサードパーティ ディレクトリに依存します。 これにより、会社で確立された ID スキーマを再利用できます。 ディレクトリ アカウントは UiPath Platform の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。
UiPath では、ディレクトリ連携モデルはホスト レベルと組織レベルの両方で構成できます。
-
ホスト レベルでは、ディレクトリ連携オプションには SAML 2.0 と Active Directory があります。これらの設定は、ホストの下にあるすべての組織に一貫して適用されます。
-
組織レベルでは、UiPath では、組織管理者が SAML 2.0 と Azure Active Directory (AAD) の統合を使用してホスト レベルの設定を上書きできます。
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。 ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。
UiPath のディレクトリ モデルでは、ホスト レベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。 これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。Automation Cloud (専有型) では、管理者は認証および関連するセキュリティの設定を選択して、全組織を対象として一度にグローバル (ホスト レベル) にするか、組織ごとに選択することができます。
-
認証のグローバル設定 (ホスト レベル): システム管理者は、インストールの認証設定および関連する既定のセキュリティ設定をホスト レベルで選択できます。これらはホスト認証およびセキュリティ設定と呼ばれ、既定ですべての組織に継承されます。ホスト認証とセキュリティ設定の構成について詳しくは、こちらをご覧ください。
- 認証の組織レベル設定: 組織管理者は、組織の認証および関連するセキュリティ設定を選択できます。 一部の設定はホスト レベルから継承されますが、組織に異なる設定を適用する必要がある場合は上書きできます。 組織レベルの認証とセキュリティ設定の構成については、こちらをご覧ください。
以下の表では、すべての組織について一度に、または各組織のホスト レベルの認証および関連するセキュリティ設定について説明します。
|
Azure AD ホスト レベル |
Azure AD 組織レベル |
SAML ホスト レベル |
SAML 組織レベル | |
|
ディレクトリとの連携 |
いいえ |
はい |
いいえ |
はい |
|
自動プロビジョニング |
はい |
はい |
いいえ |
はい |
|
グループの自動プロビジョニング |
いいえ |
いいえ |
いいえ |
はい |
Automation Cloud (専有型) では、外部 ID プロバイダーを設定して、ユーザーのサインイン方法を制御できます。これらの設定は、すべての組織に適用されます。
以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
|
連携する外部プロバイダー |
認証 |
ディレクトリ検索 |
管理者のプロビジョニング |
|---|---|---|---|
|
Azure Active Directory |
管理者は OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Azure AD アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
SAML 2.0 |
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 |
サポート対象外 |
ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダー キー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
Azure Active Directory モデル
Azure Active Directory (Azure AD) との統合により、組織のスケーラブルなユーザーおよびアクセス管理が提供され、従業員が使用するすべての内部アプリケーション全体でコンプライアンスを確保できます。組織で Azure AD または Office 365 を使用している場合は、 Automation Cloud (専有型) を Azure AD のテナントに直接接続すると、次のメリットが得られます。
ユーザーの自動オンボードとシームレスな移行
- Azure AD のすべてのユーザーとグループは、組織のディレクトリで Azure AD ユーザーを招待して管理する必要なく、どのサービスでもすぐにアクセス許可を割り当てることができます。
- 企業のユーザー名がメール アドレスと異なるユーザーに SSO を提供できますが、これは招待モデルでは不可能です。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化
-
既定のモデルのように、ユーザーは組織にアクセスするために招待を承諾したり、UiPath ユーザー アカウントを作成したりする必要はありません。 Azure AD のアカウントでサインインするには、[Enterprise SSO] オプションを選択するか、組織固有の URL を使用します。
ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Automation Cloud (専有型) URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Cloud (専有型) サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Cloud (専有型) グループに統合できます。
-
Automation Cloud (専有型) アクセスの監査は簡単です。Azure AD グループを使用してすべての Orchestrator サービスで権限を設定したら、Azure AD グループ メンバーシップに関連付けられている既存の検証プロセスを利用します。
注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「 」の手順に従ってください。
SAML モデル
このモデルでは、Automation Cloud (専有型) を選択した ID プロバイダー (IdP) に接続できるため、以下の操作を実行できます。
- ユーザーはSSOと
- Automation Cloud (専有型) のディレクトリにある既存のアカウントを管理でき、ID を再作成する必要はありません。
Automation Cloud (専有型) は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できるため、次のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [ 管理 ] > 組織> [ アカウントとグループ ] > [ユーザー ] タブからローカル アカウントを管理します。 ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Cloud (専有型)に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門はすでに入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
手順については、「」をご覧ください。
Azure AD 連携から SAML 連携へ移行する
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。
