- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
- Automation Cloud™ に移行する
OAuth アプリ
外部 OAuth アプリケーションは UiPath プラットフォームの外部に存在し、UiPath® Platform と連携して機能を拡張します。 外部アプリは、これらの外部エンティティに認可を委任できる OAuth フレームワークを介して、ユーザーが資格情報を共有することなく UiPath のリソースに安全にアクセスできます。
外部アプリを UiPath に登録すると、ユーザーは API 呼び出しを実行して UiPath リソースにアクセスできるようになります。
UiPath では、OAuth 外部アプリケーションを機密と非機密の 2 つの主要なカテゴリに分類しています。 アプリの種類によって、その認証フロー、リソースへのアクセス レベル、UiPath Identity Server との通信方法が決まります。
-
アプリケーション スコープを持つ機密アプリ: アプリケーション スコープを持つ機密アプリは、アプリケーションが資格情報を安全に保存できる場合に使用することを目的としています。 たとえば、パスワードをボールトに格納するプログラムなどです。
-
ユーザー スコープを持つ社外秘アプリ: ユーザー スコープを持つ社外秘アプリは、アプリケーションが資格情報を安全に保存し、ユーザーの代理として動作できる場合に使用することを目的としています。 たとえば、Orchestrator にキュー アイテムを作成する CRM アプリケーションなどです。 これはユーザーの代わりに行われますが、使用する資格情報もデータベースに格納します。
-
ユーザー スコープを持つ非機密アプリ: 非機密アプリは、安全に保存された資格情報に依存しません。 代わりに、ユーザーがアプリケーションに対して認証し、一時的な資格情報を介してアプリへのアクセスを委任することに依存します。 資格情報の有効期間は短く、ユーザーはアプリを定期的に再認証する必要がある場合があります。 これらは、有人オートメーションや、ユーザーがアプリを再認証できるオートメーションに最適です。 たとえば、ユーザーが持っていて、そのオートメーションが Office 365 アクティビティを使用して SharePoint にアクセスするとします。 初めて実行するときに、アプリ (オートメーション) を認可するようユーザーに求めます。 定期的に、ユーザーは資格情報の有効期限が切れた後にアプリケーションを再承認する必要がある場合があります。
外部アプリケーションが UiPath と連携できるよう設定されている場合、「スコープ」と呼ばれる特定の権限やアクセスがそのアプリケーションに割り当てられます。 基本的に、スコープは、アプリケーションが UiPath 内で実行できる操作やアクセスできない操作を定義します。
外部アプリケーションへのアクセスを許可する場合は、アプリが機能するために必要な最小限の権限を常に付与してください。 この対策は、不正アクセスの可能性を低くすることで、潜在的な損害を制限するのに役立ちます。
Service.Resource.Accesslevel または Service.Resourceの形式で定義されます。 たとえば、 OR.Machines.Readを使用すると、外部アプリケーションは組織内のすべてのフォルダーとテナントにわたって Orchestrator 内のマシンに対する読み取りアクセス権を持ちます。 OR.Machinesを使用すると、外部アプリは組織内のすべてのフォルダーとテナントにわたって読み取り/書き込みアクセス権を持ちます。
機密アプリケーションの場合、UiPath では、Orchestrator のリソースに特に適用される、きめ細かいスコープを割り当てることができます。 これらの特定の権限を持つ管理者は、テナント フォルダー レベルに至るまでアクセスを制御およびカスタマイズできます。
きめ細かい割り当ては、組織の管理者が外部の機密アプリを特定のテナントまたは Orchestrator のフォルダーに割り当て、特定のロールに関連付けるときに発生します。
スコープは、ユーザー (ユーザー スコープ) またはアプリ自体 (アプリケーション スコープ) のいずれかに設定されます。
-
アプリケーション スコープは、スタンドアロン エンティティとして機能を実行するアプリ独自の ID をアプリに付与します。
-
ユーザー スコープでは、アプリは認証されたユーザーに代わって機能を実行するため、アクションはユーザーのアクセス許可によって制限されます。 たとえば、アプリは、ユーザーがアクセスを許可されているアセットにのみアクセスできます。
UiPath 外部アプリの使用プロセスは、管理者による作成と設定から、開発者による連携と使用まで、さまざまな段階に分けられます。
A. 管理者による作成とセットアップ
-
外部アプリの登録: 最初の手順では 、外部アプリを組織に追加します。 管理者は、名前、リダイレクト URL などの詳細を設定し、適切なアプリケーションの種類を選択します。 スコープを持つアプリを管理者レベルで作成すると、組織レベルで権限を獲得できます。 管理者は社外秘のアプリに Orchestrator のテナント レベルおよびフォルダー レベルでロールを割り当てることで、アプリに対してきめ細かい権限を設定できます 。
-
ユーザーの割り当て: 非機密アプリやユーザー スコープを持つ機密アプリの場合、管理者はユーザーに組織、テナント、フォルダー レベルでロールを割り当てて、アプリを使用する必要があるユーザーがシステムにアクセスできることを確認する必要があります。
-
アプリケーションの詳細の保存: セットアップの完了後、管理者はアプリケーション ID などのアプリケーションの詳細を取得します。 機密アプリの場合は、アプリケーション シークレットも生成されます。 管理者はこれらの詳細を安全に保存し、後で開発者と共有します。
B. 開発者による統合と使用
-
認証と認可: 開発者は、管理者から提供されたアプリケーション ID (機密アプリの場合はシークレット) を使用して、UiPath Identity Server に対する OAuth 2.0 アクセス トークン要求を開始します。 その際、開発者は必要なスコープを要求に含めます。 OAuth 2.0 フローは、サーバーがアプリケーションの ID、シークレット (機密アプリの場合) を検証し、指定されたスコープを承認すると成功します。
注:ユーザー スコープを持つ外部アプリの場合、ユーザー ID の検証も実行されます。 これは、要求が認証および承認されたユーザーから合法的に送信されていることを保証する追加のセキュリティレイヤーです。
-
アクセストークンの生成: サーバーがアプリケーションとスコープの認証に成功すると、アクセス トークンが開発者に返されます。 このアクセス トークンは、指定されたスコープにアクセスするためのアプリケーションの承認を表します。
-
外部アプリを連携する 開発者は、受け取ったアクセス トークンを UiPath に対して行った API 呼び出しのヘッダーで使用します。 これにより、要求されたリソースに対して指定したレベルのアクセス権が付与され、外部アプリケーションが UiPath リソースと連携されます。
開発者として外部アプリを認証および認可する方法について詳しくは、『API ガイド』の「外部アプリケーション (OAuth)」をご覧ください。
