- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
公的機関向け Automation Cloud 管理ガイド
認証モデルについて
ローカル ユーザー アカウントは各ユーザーのアカウントを表し、UiPath Platform の内部にあります。
ローカル アカウント モデルは、自己完結型の認証アプローチを提供します。新規ユーザーが参加するには、組織管理者からの招待が必要です。プラットフォーム内のユーザー管理を完全に制御する必要がある場合に適しています。
ユーザーを作成するためのプロセスは次のとおりです。
- 組織管理者は、ユーザーのメール アドレスを入手してから、そのアドレスを使用して各ユーザーを招待し、組織に参加させる必要があります。この作業は、一括して行えます。
-
招待された各従業員は、招待メールに記載されたリンクにアクセスして招待を受諾し、UiPath のユーザー アカウントを作成します。
ディレクトリ アカウント モデルは、UiPath Platform と連携するサードパーティ ディレクトリに依存しています。これにより、所属する企業内で使用されている ID スキーマをそのまま UiPath で使用できます。
- Azure Active Directory: Microsoft Azure または Office 365 のサブスクリプションを契約している場合は、Azure を UiPath Platform と連携させて、UiPath 内で Azure Active Directory の既存のユーザーとグループを使用できます。
- SAML 2.0: UiPath Platform と選択した ID プロバイダー (IdP) を連携できます。これにより、ユーザーは IdP に登録済みのアカウントを使用して、シングル サインオン (SSO) で UiPath に接続できます。
ディレクトリ ユーザー アカウントは UiPath の外部のディレクトリ内で作成・管理されます。ディレクトリ アカウントは UiPath Platform で参照先としてのみ利用され、ユーザーの ID として使用されます。
Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、組織を Azure AD のテナントに直接接続できるため、以下の機能を使用できます。
-
ユーザーの自動オンボードとシームレスな移行
- UiPath Platform のサービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。組織のディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待ベースのモデルでは不可能なことです。
- ローカルの UiPath アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
-
サインインの簡素化
- ユーザーは組織にアクセスするために、招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。ユーザーがすでに Azure AD または Office 365 にサインインしている場合は、自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
-
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとにサービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つのグループに統合できます。
-
アクセスの監査は簡単です。UiPath Platform のすべてのサービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。
このモデルでは、選択した ID プロバイダー (IdP) に UiPath Platform を接続できるため、以下が可能になります。
- ユーザーはシングル サインオン (SSO) を利用できます。
- ID を再作成することなく、UiPath Platform でディレクトリから既存のアカウントを管理できます。
UiPath Platform は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。
メリット
-
UiPath Platform へのユーザーの自動オンボーディング: SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で UiPath 組織にサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で UiPath 組織にサインインできます。
- それらのユーザーは、追加の設定なしに Everyone ユーザー グループのメンバーとなり、既定で User 組織ロールが付与されます。UiPath Platform を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
-
アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで UiPath Platform へのアクセスを許可するユーザーのセットを定義できます。
-
ユーザーの管理: ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、組織管理者は [管理] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、UiPath のエコシステムでは SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、UiPath のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
- 属性マッピング: UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を UiPath Platform に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門はすでに入力されています。
ユーザーの ID は、組織ディレクトリに基づいて検証されます。その後、ロールやグループによって割り当てられたユーザー権限に基づき、各ユーザーは一式の資格情報だけですべての UiPath クラウド サービスにアクセスできます。下の図は、2 つの ID モデルの概要と、これらのモデルが各種ユーザー ID とどのように連携し、またどのようにフェデレーションが実現されるかを示します。招待ベースのモデルの場合、ID の管理は組織ディレクトリ内のユーザー参照に対して行いますが、ユーザーは引き続きアカウントによって管理されます。ただし、Azure Active Directory (Azure AD) と連携している場合は、Azure AD のテナント ディレクトリの内容を確認するだけの簡単な作業になります (下の図の橙色の矢印部分)。