認証モデルについて

ローカルアカウントモデル (招待ベース)

ローカルユーザーアカウントは各ユーザーのアカウントを表し、UiPath Platform の内部にあります。

ローカルアカウントモデルは、自己完結型の認証アプローチを提供します。新規ユーザーが参加するには、組織管理者からの招待が必要です。プラットフォーム内のユーザー管理を完全に制御する必要がある場合に適しています。

注: このモデルは、ディレクトリアカウントモデルに対応しています。ディレクトリモデルを使用する場合でも、引き続き招待ベースのモデルを使用してユーザーを作成できます。

ユーザーを作成するためのプロセスは次のとおりです。

組織管理者は、ユーザーのメールアドレスを入手してから、そのアドレスを使用して各ユーザーを招待し、組織に参加させる必要があります。この作業は、一括して行えます。
招待された各従業員は、招待メールに記載されたリンクにアクセスして招待を受諾し、UiPath のユーザーアカウントを作成します。

ディレクトリアカウントモデル

ディレクトリアカウントモデルは、UiPath Platform と連携するサードパーティディレクトリに依存しています。これにより、所属する企業内で使用されている ID スキーマをそのまま UiPath で使用できます。

Azure Active Directory: Microsoft Azure または Office 365 のサブスクリプションを契約している場合は、Azure を UiPath Platform と連携させて、UiPath 内で Azure Active Directory の既存のユーザーとグループを使用できます。
SAML 2.0: UiPath Platform と選択した ID プロバイダー (IdP) を連携できます。これにより、ユーザーは IdP に登録済みのアカウントを使用して、シングルサインオン (SSO) で UiPath に接続できます。

ディレクトリユーザーアカウントは UiPath の外部のディレクトリ内で作成・管理されます。ディレクトリアカウントは UiPath Platform で参照先としてのみ利用され、ユーザーの ID として使用されます。

Azure Active Directory

重要: この機能は、Enterprise ライセンスプランでのみ利用できます。

Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、組織を Azure AD のテナントに直接接続できるため、以下の機能を使用できます。

ユーザーの自動オンボードとシームレスな移行
- UiPath Platform のサービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。組織のディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメールアドレスとは異なるユーザーでもシングルサインオンが可能です。これは、招待ベースのモデルでは不可能なことです。
- ローカルの UiPath アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化
- ユーザーは組織にアクセスするために、招待を受諾したり UiPath のユーザーアカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。ユーザーがすでに Azure AD または Office 365 にサインインしている場合は、自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティグループまたは Office 365 のグループ (すなわち、ディレクトリグループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとにサービス内の権限を設定する必要がなくなります。
- 複数のディレクトリグループをまとめて管理する必要がある場合は、それらを 1 つのグループに統合できます。
- アクセスの監査は簡単です。UiPath Platform のすべてのサービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループメンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。

SAML 2.0

重要: この機能は、Enterprise ライセンスプランでのみ利用できます。

このモデルでは、選択した ID プロバイダー (IdP) に UiPath Platform を接続できるため、以下が可能になります。

ユーザーはシングルサインオン (SSO) を利用できます。
ID を再作成することなく、UiPath Platform でディレクトリから既存のアカウントを管理できます。

UiPath Platform は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。

メリット

UiPath Platform へのユーザーの自動オンボーディング: SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で UiPath 組織にサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で UiPath 組織にサインインできます。
- それらのユーザーは、追加の設定なしに Everyone ユーザーグループのメンバーとなり、既定で User 組織ロールが付与されます。UiPath Platform を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
- アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで UiPath Platform へのアクセスを許可するユーザーのセットを定義できます。
ユーザーの管理: ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメールアドレスを入力します。

通常、組織管理者は [管理] > [アカウントとグループ] > [ユーザー] タブでローカルアカウントを管理します。ですが、UiPath のエコシステムでは SAML ユーザーはディレクトリアカウントであるため、このページには表示されません。

ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、UiPath のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング: UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を UiPath Platform に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メールアドレス、役職、部門はすでに入力されています。

認証の仕組み

ユーザーの ID は、組織ディレクトリに基づいて検証されます。その後、ロールやグループによって割り当てられたユーザー権限に基づき、各ユーザーは一式の資格情報だけですべての UiPath クラウドサービスにアクセスできます。下の図は、2 つの ID モデルの概要と、これらのモデルが各種ユーザー ID とどのように連携し、またどのようにフェデレーションが実現されるかを示します。招待ベースのモデルの場合、ID の管理は組織ディレクトリ内のユーザー参照に対して行いますが、ユーザーは引き続きアカウントによって管理されます。ただし、Azure Active Directory (Azure AD) と連携している場合は、Azure AD のテナントディレクトリの内容を確認するだけの簡単な作業になります (下の図の橙色の矢印部分)。