automation-cloud

latest

false

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。

Automation Cloud 管理ガイド

Last updated 2024年11月19日

Azure AD 連携を設定する

この機能は Enterprise ライセンスプランで利用できます。

組織で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、 Automation Cloud の組織を Azure AD のテナントに直接接続して、 Automation Cloud 環境の既存のアカウントとグループを表示できます。

Azure AD との連携を使用すると、ローカルアカウントモデルを活用し続けながら、Azure AD モデルの使用によるメリットも活かして組織の能力を高めることができます。 Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロールアウトを段階的に進めることができます。

組織で Azure AD のモデルを採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

前提条件

Azure AD との連携を設定するには、以下が必要です。

Enterprise ライセンスを持つ組織。
Automation Cloudと Azure AD の両方での管理者権限 (異なるユーザーでも構いません)
連携を実行する組織管理者の UiPath ローカルアカウントと同じメールアドレスを持つ Azure AD アカウントこの Azure AD アカウントは連携のテストのみを目的としており、Azure での管理者権限を持っている必要はありません。
UiPath Studio と UiPath Assistant バージョン 2020.10.3 以降。
UiPath Studio と UiPath Assistant が推奨されるデプロイを使用している。

注: UiPath は、Azure AD との連携において OIDC プロトコルに従います。ただし、この連携では、appid クエリパラメーターを専用の URL で要求することによってアプリケーションのカスタムキーを使用することはできません。詳しくは、こちらで Microsoft のアクセストークンに関するドキュメントをご覧ください。

連携が可能になるよう Azure を設定する

組織では、AD メンバーを参照してアカウント ID を確立できるようにするために、Azure AD のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で組織を Azure AD のテナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。

権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウドアプリケーション管理者、アプリケーション管理者

連携のために Azure テナントを設定する方法は 2 通りあります。

下記の手順を実行して、連携のためにアプリケーションの登録を手動で設定します。
この作業のために UiPath が作成した Azure AD のスクリプト (GitHub から入手可能) を使用します。このconfigAzureADconnection.ps1 スクリプトは、このセクションで説明するすべての操作を実行して、アプリケーションの登録に必要な詳細情報を返します。その後、testAzureADappRegistration.ps1 スクリプトを実行して、アプリケーションの登録が成功したことを確認できます。

Azure テナントを手動で設定するには、Azure Portal で以下の手順を実行します。

Create an app registration for Automation Cloud. For details, see Microsoft's documentation about Registering an application.

登録時には [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI] を https://cloud.uipath.com/identity_/signin-oidc に設定します。

注: 組織の登録済みアプリケーションがある場合は、新しく作成する必要はありませんが、上記の説明のとおりに設定されていることを確認してください。
アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID] と [ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。
アプリケーションの [認証] ページに移動します。
1. [リダイレクト URI] 下部の [URI の追加] をクリックして、新しいエントリを追加します。
2. [リダイレクト URI] のリストに https://cloud.uipath.com/portal_/testconnection を追加します。
3. 下部の [ID トークン] チェックボックスを選択します。
4. [保存] をクリックします。
[トークン構成] ページに移動します。
[省略可能な要求を追加] を選択します。
[トークンの種類] として [ID] を選択します。
[family_name]、[ given_name]、[upn] のチェックボックスをオンにして、任意の要求として追加します。
[API のアクセス許可] ページに移動します。

[アクセス許可の追加] をクリックして、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。

OpenId 権限 - email、openid、offline_access、profile
グループメンバー権限 - GroupMember.Read.All
ユーザー権限 - User.Read、User.ReadBasic.All、User.Read.All (管理者の同意が必要)

アクセス許可	許可される操作	ユーザーが実行する操作
`email`、`openid`、`profile`、`offline_access`、`User.Read`	AAD がシステムアプリケーションにユーザートークンを発行できるようにします。	ユーザーが AAD ログインを使用してシステムにログインできるようにします。これにより、ユーザーオブジェクトを最新の状態に保ち、属性の一貫性を確保できます。
`User.ReadBasic.All`	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザーの基本プロパティを読み取ります。	ユーザーがディレクトリ内の他のユーザーにリソースへのアクセス許可を割り当てると、ユーザーがリソースを検索できます。アクセス管理/承認の機能は、システムのユーザーエクスペリエンスにあります。
`User.Read.All` (管理者の同意が必要)	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザープロパティを読み取れるようにします。	管理者は、これらの追加のユーザープロパティをインポートして、アクセス許可を設定したり、システムサービス内のカスタム情報を表示したりできます。AAD から属性の完全なセットを取得しようとしている Automation Hub ユーザーは、アプリに `User.Read.All` の権限を付与する必要があります。
`GroupMember.Read.All`	サインインしているユーザーがアクセスできるすべてのユーザーのグループメンバーシップを読み取ります。	組織がグループを使用してシステム内のアクセス許可を管理している場合、プラットフォームはすべてのグループを一覧表示し、グループのメンバーを検出できる必要があります。これにより、グループに割り当てられたアクセス許可の管理と適用の両方が可能になります。

これらの権限による UiPath のアクセス権の詳細については、暗号化に関するドキュメントをご覧ください。

[管理者の同意を与えます] チェックボックスを選択します。

手記：テナントの Active Directory のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーが同意を求められることはありません。権限と同意の詳細については、Microsoft の Azure AD ドキュメントをご覧ください。
[証明書とシークレット] のページに移動します。
新しいクライアントシークレットを作成します。詳細については、新しいクライアントシークレットの追加に関する Microsoft のドキュメントをご覧ください。

注: 作成したクライアントシークレットは永続的ではありません。有効期間を過ぎたら更新する必要があります。
クライアントシークレットの [値] をコピーして、後で使用するために保存しておきます。
組織管理者が設定を進められるように、ディレクトリ (テナント) ID、アプリケーション (クライアント) ID、クライアントシークレットの値を共有します。

Automation Cloud との連携をデプロイする

Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。

注:

このセクションのタスクを実行するには、 Automation Cloud の組織管理者である必要があります。

非アクティブユーザーをクリーンアップする

連携をアクティブ化して Automation Cloud を Azure AD に接続すると、メールアドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath ローカルアカウントと同じ権限が付与されます。

組織でメールアドレスを再利用する習慣がある場合、つまり、過去に使用されていたメールアドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。

かつて、メールアドレスが john.doe@example.com である従業員がいたとします。この従業員はローカルアカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメールアドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。

同じジョン・ドウという名前の新しい従業員が入社した場合、同じメールアドレス john.doe@example.com が割り当てられます。このような場合、アカウントが Azure AD との連携の一部としてリンクされると、ジョン・ドウは Organization Administrator の権限を継承してしまいます。

このような状況を防ぐには、次の手順に進む前に、アクティブでなくなったすべてのユーザーを Automation Cloud の組織から削除してください。非アクティブなメールアドレスを組織で再利用しない場合は、この手順を省略できます。

Azure AD との連携をアクティブ化する

注:

はじめる前に

Azure の設定が完了していることを確認します。
Azure の管理者から、 Automation Cloud アプリの登録に必要な、Azure の ディレクトリ (テナント) ID 、アプリケーション (クライアント) ID 、クライアントシークレットの値を入手します。

Azure AD 連携をアクティブ化するには、Automation Cloud で以下の手順に従います

[ 管理 ] に移動し、選択されていない場合は、左側のペインの上部にある組織名を選択します
[ セキュリティ ] を選択して、セキュリティ設定を開きます。
[ 認証設定 ] タブで、[ SSO を構成] を選択します。
SSO 構成パネルから [ Azure Active Directory ] を選択します。
Azure 管理者から提供された情報をフィールドに入力します。
[ I understand & accept added users] チェックボックスをオンにすると、メールアドレスが一致する Azure AD ユーザーのアカウントがリンクされます。 変更を保存すると、対応するアカウントが自動的にリンクされます。
[ テスト接続 ] を選択して、連携が正しく設定されていることを確認します。
プロンプトが表示されたら、Azure AD のアカウントでサインインします。
サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
[ 保存 ] を選択して、組織の連携をアクティブ化します。
サインアウトします。
組織の URL (https://cloud.uipath.com/organizationID/) に移動し、Azure AD のアカウントを使用してサインインします。

これで、リンク先のテナントの Azure AD 内のユーザーとグループを操作できます。ディレクトリアカウントとグループは [管理] > [アカウントとグループ] の [ユーザー] ページまたは [グループ] ページに表示されず、検索を通じてのみ確認できます。

Azure AD との連携をテストする

連携が機能していることを確認するには、Azure AD アカウントで組織管理者としてサインインし、 Automation Cloud の[グループを編集] パネル ([管理者] > [ グループとグループ] >> [ 編集]) などの関連するページで Azure AD のユーザーやグループ を検索してみてください。

Azure AD で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。

ユーザーの検索を試して、下の図の例のようなエラーが発生した場合は、Azure での設定に何らかの問題があります。 Azure の管理者に連絡して、「 連携が可能になるよう Azure を設定する」で前述した手順に従って Azure が設定されているかどうかの確認を依頼してください。

ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

Azure 管理者は、GitHub で提供されている UiPath Azure AD テストスクリプト testAzureADappRegistration.ps1を使用して、原因が明確ではない設定の問題を見つけて修正することができます。

Azure AD への移行を完了する

統合がアクティブ化されたら、このセクションの手順に従って、ユーザーの作成とグループの割り当てが Azure AD に確実に引き渡されるようにすることをお勧めします。これにより、既存の ID およびアクセス管理インフラストラクチャを基盤として構築し、 Automation Cloud の UiPath リソースに対するガバナンスとアクセス管理による制御を容易に行うことができます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Automation Cloud の既存のユーザーグループを Azure AD の新規または既存のグループにマッピングできます。これは、Azure AD でのグループの使用方法に応じて、いくつかの方法で行うことができます。

Automation Cloud で同じロールを持つユーザーが既に Azure AD の同じグループに属している場合、組織管理者はこれらの Azure AD グループを、これらのユーザーが属していたユーザーグループに追加できます。これにより、ユーザーは同じ権限とロボットの設定を維持できます。
それ以外の場合、Azure 管理者は Automation Cloud のグループと一致する新しいグループを Azure AD に作成し、UiPath ユーザーグループと同じユーザーを追加できます。その後、組織管理者は新しい Azure AD グループを既存のユーザーグループに追加して、同じユーザーが同じロールを持つようにすることができます。

すべての場合において、ユーザーに具体的に割り当てられているロールを確認してください。可能な場合は、これらのロールの直接割り当てを削除し、これらのロールが既に割り当てられているグループにこれらのユーザーを追加します。

たとえば、 Automation Cloud の Administrators グループに、ユーザー Anna、Tom、John が属しているとします。これらの同じユーザーは、 admins という名前の Azure AD のグループにも属しています。 Organization Administrator は、 admins Azure グループを Automation Cloud の Administrators グループに追加できます。これにより、Anna、Tom、John は、Azure AD グループ admins のメンバーとして Automation Cloud の Administrators グループのロールのすべての機能を利用できるようになります。

管理者が Administrators グループに含まれるようになったため、新しい管理者をオンボードする必要がある場合、Azure 管理者は新しいユーザーを Azure の admins グループに追加できます。これにより、 Automation Cloud で変更を加えることなく、 Automation Cloud での管理権限を付与できます。

注:

Azure AD のグループ割り当ての変更は、ユーザーが Azure AD のアカウントでログインしたときに Automation Cloud に適用されます。既にログイン済みだった場合は、1 時間以内に適用されます。

既存のユーザーを移行する

Azure AD のユーザーとグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回サインインする必要があります。連携の実行後は、すべてのユーザーにローカルアカウントからサインアウトし、Azure AD アカウントで再度サインインするよう連絡することをお勧めします。次の方法で、Azure AD アカウントでサインインできます。

Automation Cloud の組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://cloud.uipath.com/orgID/)。
メインログインページで [Enterprise SSO ] を選択する。必ず Automation Cloud 用の組織固有の URL をすべてのユーザーに提供してください。

Migrated users receive the combined permissions directly assigned to them in Automation Cloud along with those from their Azure AD groups.

Studio と Assistant が Azure AD アカウントに接続するよう設定するには、以下の手順を実行します。

Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
[ サインアウト] を選択します。
接続の種類として [サービス URL] を選択します。
[ サービス URL ] フィールドに組織固有の URL を追加します。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://cloud.uipath.com/orgID/)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
Azure AD のアカウントに再度サインインします。

重要: Azure AD のグループから継承された権限は、クラシックフォルダーからのオートメーションまたは、マシンキーを使用して接続されたロボットには影響しません。グループに基づく権限で動作させるには、オートメーションをモダンフォルダーで設定し、UiPath Assistant または Studio への接続にサービス URL を使用してください。

UiPath のローカルアカウントの使用を中止する (任意)

Automation Cloud と Azure AD 間の完全な連携がもたらすコアコンプライアンスと効率のメリットを最大限に活かすために、ローカルアカウントの使用は中止することをお勧めします。

重要: 管理者以外のアカウントのみを削除します。後から認証設定を変更できるようにするには、少なくとも 1 つの組織管理者のローカルアカウントを保持しておくことをお勧めします。

すべてのユーザーの移行が完了したら、[ ユーザー ] タブより、非管理者ユーザーを削除し、今後ローカルアカウントではサインインできないようにします。そのようなアカウントには、ユーザーアイコンが表示されています。

また、Orchestrator サービスなどの UiPath サービス内の個々の権限をクリーンアップし、グループから個々のユーザーを削除して、権限が Azure AD のグループメンバーシップにのみ依存するようにすることもできます。

例外

If you decide to discontinue use of local accounts, keep in mind that if you have processes in place that rely on API key authentication (Admin > Tenants page) to make API calls to a service, you need a local account because the button is not available when logged in with an Azure AD account.

Support for API Key authentication will end March 2025. We recommend you switch to using OAuth or personal access tokens for authorization, in which case the information from API Access is no longer required.

高度な機能

これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。

組織へのアクセスを制限する

Azure AD との連携は Azure テナントのレベルで実行されるため、既定ではすべての Azure AD ユーザーが Automation Cloud にアクセスできます。 Azure AD ユーザーが UiPath 組織に初めてサインインすると、そのユーザーは UiPath グループ Everyone に自動的に属し、UiPath エコシステム内で基本レベルのアクセス権を提供する組織のユーザーロールが付与されます。

特定のユーザーにのみ組織へのアクセスを許可する場合、Azure での UiPath アプリの登録時のユーザーの割り当てをアクティブ化できます。この方法によって、ユーザーはアプリに明示的に割り当てられないと、そのアプリにアクセスできなくなります。手順については、Microsoft の Azure AD ドキュメントの「アプリを一連のユーザーに制限する方法」をご覧ください。

アクセスを信頼できるネットワークまたはデバイスのみに制限する

ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ Automation Cloud にアクセスできるようにする場合は、 Azure AD の条件付きアクセス機能を使用できます。

Azure AD のグループのガバナンス

前述の「権限とロボット用にグループを設定する」で説明したように、Azure AD にグループを作成して、Azure AD から直接簡単に UiPath のオンボードを行えるようにした場合、これらのグループに対する特権 ID 管理 (PIM) の高度なセキュリティオプションを使用して、UiPath グループへのアクセスリクエストを制御できます。詳細については、 PIM に関する Microsoft のドキュメントをご覧ください。

よくある質問

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、ローカルアカウントと同じ権限を付与されます。

ローカルアカウントをまだ削除していなければ、引き続きローカルアカウントによるサインインも可能です。どちらの方法も使用できます。

Azure AD のアカウントを使用するには、組織固有の URL (https://cloud.uipath.com/orgID/の形式) に移動するか、メインログインページで [ Enterprise SSO ] を選択する必要があります。

ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。

各アカウントには何のロールが割り当てられているか?

Azure AD アカウント: ユーザーが Azure AD アカウントでサインインした場合、ユーザーは自分のローカルアカウントで持つすべてのロールと、UiPath 内で Azure AD アカウントまたはユーザーが属する Azure AD グループに割り当てられたすべてのロールの機能をすぐに使用することができます。これらのロールは、グループに属する Azure AD ユーザーまたは Azure AD グループ、あるいは Azure AD ユーザーまたは Azure AD グループにロールが割り当てられた他のサービスから継承されます。

ローカルアカウント: Azure AD との連携がアクティブな場合、ローカルアカウントに割り当てられるロールは以下の条件によって異なります。

ユーザーが自分の Azure AD アカウントで 1 度もサインインしていない場合、そのユーザーはローカルアカウントのロールのみを持ちます。
ユーザーが Azure AD のアカウントを使用してログインした場合、ローカルアカウントには、AAD ユーザーが UiPath 内で持つすべてのロール (明示的に割り当てられたロール、またはグループメンバーシップから継承されたロール) が付与されます。

Azure AD のアカウントに対して権限を再適用する必要がありますか。

いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、ローカルアカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。