- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
- Automation Cloud™ に移行する
Azure AD 連携を設定する
この機能は Enterprise ライセンス プランで利用できます。
組織で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、組織を Azure AD のテナントに直接接続して、クラウド環境の既存のアカウントとグループを表示できます。
Azure AD との連携を使用すると、ローカル アカウント モデルを活用し続けながら、Azure AD モデルの使用によるメリットも活かして組織の能力を高めることができます。
組織で Azure AD のモデルを採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。
Azure AD との連携を設定するには、以下が必要です。
- Enterprise ライセンスを持つ組織。
- UiPath Platform と Azure AD の両方の管理者権限 (それぞれ別のユーザーであってもよい)。
- 組織管理者は、UiPath のローカル アカウントと同じメール アドレスを使用する Azure AD アカウントが必要です。Azure AD アカウントは連携のテストにのみ必要であるため、その Azure AD ユーザーは Azure での管理者権限は必要としません。
- UiPath Studio と UiPath Assistant バージョン 2020.10.3 以降。
- UiPath Studio と UiPath Assistant が推奨されるデプロイを使用している。
appid
クエリ パラメーターを専用の URL で要求することによってアプリケーションのカスタム キーを使用することはできません。詳しくは、こちらで Microsoft のアクセス トークンに関するドキュメントをご覧ください。
組織では、AD メンバーを参照してアカウント ID を確立できるようにするために、Azure AD のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で組織を Azure AD のテナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。
権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウド アプリケーション管理者、アプリケーション管理者
連携のために Azure テナントを設定する方法は 2 通りあります。
- 下記の手順を実行して、連携のためにアプリケーションの登録を手動で設定します。
- この作業のために UiPath が作成した Azure AD のスクリプト (GitHub から入手可能) を使用します。この configAzureADconnection.ps1 スクリプトは、このセクションで説明するすべての操作を実行して、アプリケーションの登録に必要な詳細情報を返します。その後、testAzureADappRegistration.ps1 スクリプトを実行すれば、アプリケーションの登録が成功したことを確認できます。
Azure テナントを手動で設定するには、Azure Portal で以下の手順を実行します。
Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。
ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。
このセクションの作業を実行するには、Organization Administrator である必要があります。
連携をアクティブ化して Azure AD に接続すると、メール アドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath のアカウント (ローカル アカウント) と同じ権限が付与されます。
組織でメール アドレスを再利用する習慣がある場合、つまり、過去に使用されていたメール アドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。
例
john.doe@example.com
である従業員がいたとします。この従業員はローカル アカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメール アドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。
john.doe@example.com
が割り当てられます。このような場合、アカウントが Azure AD との連携の一部としてリンクされると、ジョン・ドウは Organization Administrator の権限を継承してしまいます。
こうした状況が発生するのを防ぐため、次の手順に進む前に、アクティブでなくなったユーザーが UiPath の組織からすべて削除されていることを確認してください。
はじめる前に
- Azure の設定 が完了していることを確認します。
- Azure の管理者から、アプリケーションの登録に必要な、Azure のディレクトリ (テナント) ID、アプリケーション (クライアント) ID、クライアント シークレットの値を入手します。
これで、リンク先のテナントの Azure AD 内のユーザーとグループを操作できます。検索機能を使用すると、たとえばグループにユーザーを追加するために、Azure AD のユーザーやグループを検索できます。連携をアクティブ化した後の変化について詳しくは、以下の「よくある質問」をご覧ください。
連携が機能していることを確認するには、Azure AD アカウントで組織管理者としてサインインし、UiPath Platform の [グループを編集] パネル ([管理] > [アカウントとグループ] > [グループ] > [編集]) などの関連するページで Azure AD のユーザーやグループを検索してみてください。
-
Azure AD で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。
注: Azure AD のユーザーとグループは [ユーザー] ページまたは [グループ] ページのリストに表示されず、検索を通じてのみ利用可能です。 -
ユーザーの検索を試して、下の図の例のようなエラーが発生した場合は、Azure での設定に何らかの問題があります。Azure の管理者に連絡して、前述の「連携が可能になるよう Azure を設定する」セクションの説明に従って Azure が設定されているかどうかの確認を依頼してください。
ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。
トラブルシューティング
Azure 管理者は、GitHub で提供されている UiPath Azure AD テスト スクリプト testAzureADappRegistration.ps1 を使用して、以下のような、原因が明確ではない設定の問題を見つけて修正することができます。
連携をアクティブ化したら、このセクションの手順に従って、作成したユーザーと割り当てられたグループが Azure AD に移行されていることを確認するようお勧めします。この方法により、既存の ID とアクセス管理インフラストラクチャを基盤として、UiPath のリソースに対する、より簡単なガバナンスとアクセス管理制御を実現できます。
グループを設定すると、Azure の管理者も、連携前に設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。
UiPath Platform の既存のユーザー グループを Azure AD の新規または既存のグループにマップできます。その方法は、Azure AD でのグループの使用方法に応じていくつかあります。
- UiPath Platform 内で同じロールを持つユーザーが Azure AD の同じグループにすでに存在する場合、Organization Administrator は、これらのユーザーが属していた Orchestrator ユーザー グループに、これらの Azure AD グループを追加できます。これによって、それらのユーザーが確実に同じ権限とロボットの設定を持つようになります。
- それ以外の場合は、Azure の管理者が UiPath Platform のグループに対応するグループを Azure AD 内に新たに作成して、Orchestrator のユーザー グループと同じユーザーを追加します。その後、Organization Administrator が新しい Azure AD グループを既存のユーザー グループに追加すると、同じユーザーが確実に同じロールを持つようになります。
いずれの場合も、ユーザーに明示的に割り当てられたロールの確認を忘れないでください。可能であれば、明示的に割り当てられたロールを持つグループにこれらのユーザーを追加して、明示的なロール割り当ての手間を省けるようにします。
例: UiPath Platform の Administrators グループに、ユーザー Roger、Tom、Jerry が属しているとします。これらのユーザーは admins という名前の Azure AD のグループにも属しています。Organization Administrator は、admins グループを Administrators グループに追加できます。そうすれば、Roger、Tom、Jerry は、Azure AD グループ admins のメンバーとして Administrators グループのロールのすべての機能を利用できるようになります。
admins は Administrators グループの一部になったため、新しい管理者のオンボードが必要になった場合、Azure 管理者はその新しいユーザーを Azure の admins グループに追加できます。そのため、UiPath Platform での変更は一切なしで、UiPath Platform での管理権限をユーザーに付与できます。
Azure AD のグループ割り当ての変更は、ユーザーが Azure AD のアカウントでログインしたときに UiPath Platform に適用されます。すでにログイン済みだった場合は、1 時間以内に適用されます。
初期サインイン - Azure AD のユーザーやグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回はサインインする必要があります。連携が確立された後に、ローカル アカウントからサインアウトして Azure AD のアカウントでサインインし直すよう、すべてのユーザーに指示することをお勧めします。Azure AD のアカウントでのサインインは、次の手順で実行できます。
-
組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。
注: URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例:https://cloud.uipath.com/orgID/
)。 -
メイン ログイン ページで [Enterprise SSO] を選択します。
注: 必ず Automation CloudTM 用の組織固有の URL をすべてのユーザーに提供してください。Automation CloudTM でこの情報が表示されるのは Organization Administrator だけです。
移行されたユーザーは、直接割り当てられた権限、または Azure AD のグループから継承された権限、あるいはその両方を使用できます。
ユーザー向けに Studio と Assistant を設定する: これらの製品を Azure AD のアカウントに接続できるように設定するには、以下の手順を実行します。
- Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
- [サインアウト] をクリックします。
- 接続の種類として [サービス URL] を選択します。
-
[サービス URL] フィールドに組織固有の URL を入力します。
注: URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例:https://cloud.uipath.com/orgID/
)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。 - Azure AD のアカウントに再度サインインします。
必須ではありませんが、UiPath Platform と Azure AD 間の完全な連携がもたらすコア コンプライアンスと効率のメリットを最大限に活かすために、ローカル アカウントの使用は中止することをお勧めします。
すべてのユーザーの移行が完了したら、[ユーザー] タブより、非管理者ユーザーを削除し、今後ローカル アカウントではサインインできないようにします。そのようなアカウントには、ユーザー アカウントのアイコンが表示されています。
Orchestrator サービスなどの UiPath クラウド サービス内の権限を個別にクリーンアップしたり、グループからユーザーを個別に削除したりして、権限が Azure AD のグループ メンバーシップだけに基づいて付与されるようにすることもできます。
例外
ローカル アカウントの使用を中止する場合は、次の点に注意してください。
-
API アクセス: サービスへの API 呼び出しを行うときに [API アクセス] ([管理] > [テナント] ページ) をクリックして取得した情報を使用するプロセスがある場合は、ローカル アカウントが必要です。Azure AD アカウントでログインするとこのボタンを使用できないからです。
代替策として、OAuth による認可に切り替えれば、API アクセスによる情報は不要になります。
これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。
Azure AD との連携は Azure テナントのレベルで実行されるため、既定ではすべての Azure AD ユーザーが UiPath Platform にアクセスできます。Azure AD ユーザーが UiPath 組織に初めてサインインすると、そのユーザーは UiPath のグループ Everyone に自動的に属し、ユーザーの組織レベルのロールが付与されます。
特定のユーザーにのみ組織へのアクセスを許可する場合、Azure での UiPath アプリの登録時のユーザーの割り当てをアクティブ化できます。これによって、ユーザーはアプリに明示的に割り当てられないと、そのアプリにアクセスできなくなります。手順については、Azure AD ドキュメントのこちらのページをご覧ください。
ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ UiPath Platform にアクセスできるようにする場合は、Azure AD の条件付きアクセス機能を使用できます。
「権限とロボット用にグループを設定する」で説明したように、Azure AD にグループを作成して、Azure AD から直接簡単に UiPath のオンボードを行えるようにした場合、これらのグループに対する Privileged Identity Management (PIM) の高度なセキュリティ オプションを使用して、UiPath グループへのアクセス要求を制御できます。
連携をアクティブ化したことで、ユーザーにどのような変化がありますか。
ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、ローカル アカウントと同じ権限を付与されます。
ローカル アカウントをまだ削除していなければ、引き続きローカル アカウントによるサインインも可能です。どちらの方法も使用できます。
https://cloud.uipath.com/orgID/
の形式) に移動するか、メイン ログイン ページで [ Enterprise SSO ] を選択する必要があります。
ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。
各アカウントには何のロールが割り当てられているか?
Azure AD アカウント: ユーザーが Azure AD アカウントでサインインした場合、ユーザーは自分のローカル アカウントで持つすべてのロールと、UiPath 内で Azure AD アカウントまたはユーザーが属する Azure AD グループに割り当てられたすべてのロールの機能をすぐに使用することができます。 これらのロールは、グループに属する Azure AD ユーザーまたは Azure AD グループ、あるいは Azure AD ユーザーまたは Azure AD グループにロールが割り当てられた他のサービスから継承されます。
ローカル アカウント: Azure AD との連携がアクティブな場合、ローカル アカウントに割り当てられるロールは以下の条件によって異なります。
- ユーザーが自分の Azure AD アカウントで 1 度もサインインしていない場合、そのユーザーはローカル アカウントのロールのみを持ちます。
- ユーザーが Azure AD のアカウントを使用してログインした場合、ローカル アカウントには、AAD ユーザーが UiPath 内で持つすべてのロール (明示的に割り当てられたロール、またはグループ メンバーシップから継承されたロール) が付与されます。
Azure AD のアカウントに対して権限を再適用する必要がありますか。
いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、ローカル アカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。