Automation Suite admin guide

最終更新日時 2025年2月24日

認証モデルについて

ローカルアカウントモデル

Local user accounts represent each user's account and are internal to Automation Suite. In this model, an organization administrator adds new users to the organization. It's suitable for scenarios where you want complete control over user management within Automation Suite.

UiPath では、SSO 設定はホストレベルと組織レベルの両方で実装可能な規定です。

ホストレベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。ホストレベルで管理できる SSO 設定には、基本サインイン、Google SSO、Azure AD SSO、Active Directory、SAML SSO があります。基本サインインなどの特定の設定は、組織レベルで上書きできます。

注:

このモデルは、ディレクトリアカウントモデルに対応しています。

ディレクトリアカウントモデル

ディレクトリアカウントモデルは、UiPath Platform と連携するサードパーティディレクトリに依存します。これにより、会社で確立された ID スキーマを再利用できます。ディレクトリアカウントは UiPath Platform の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。

UiPath では、ディレクトリ連携モデルはホストレベルと組織レベルの両方で構成できます。

ホストレベルでは、ディレクトリ連携オプションには SAML 2.0 と Active Directory があります。ここでの設定は、ホスト配下のすべての組織に一貫して適用されます。
組織レベルでは、UiPath では、組織管理者が SAML 2.0 と Azure Active Directory (AAD) の統合を使用してホストレベルの設定を上書きできます。

Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。

UiPath のディレクトリモデルでは、ホストレベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。

認証設定を構成する

Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。ディレクトリ連携を設定すると、お使いの ID プロバイダー (IDP) がユーザー ID の信頼できる唯一の情報源として機能します。

組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザーアカウントとグループアカウントの作成および管理方法に影響を及ぼします。Automation Suite では、管理者は認証および関連するセキュリティの設定を選択して、全組織を対象として一度にグローバルに適用することも、組織ごとに適用することもできます。

	Azure AD ホストレベル	Azure AD 組織レベル	SAML ホストレベル	SAML 組織レベル
ディレクトリとの連携	いいえ	はい	いいえ	はい
自動プロビジョニング	はい	はい	いいえ	はい
グループの自動プロビジョニング	いいえ	いいえ	いいえ	はい

認証のグローバル設定 (ホストレベル)

Automation Suite allows you to configure an external identity provider to control how your users sign in. Settings here apply to all organizations.

以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。

認証	ディレクトリ検索	管理者のプロビジョニング
管理者は、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。	管理者は、Active Directory からユーザーを検索できます。	ユーザーがログインできるようにするために、ユーザーまたはユーザーが属するグループを UiPath プラットフォームに追加しておく必要があります。Active Directory のユーザーとグループは、ディレクトリ検索を使用して UiPath プラットフォームで利用できます。
管理者は OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。	サポート対象外	ユーザーは、Azure AD アカウントと同一のメールアドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。
ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。	サポート対象外	ユーザーは、Google アカウントと同一のメールアドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。	サポート対象外	ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダーキー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。

注: Azure AD のホストレベル連携と組織レベル連携の違い: ホストレベルの機能では、SSO 機能のみ使用できます。組織レベルの AAD 連携の場合は、SSO、ディレクトリ検索、ユーザーの自動プロビジョニングを使用できます。

組織の認証

Azure Active Directory モデル

The integration with Azure Active Directory (Azure AD) offers scalable user and access management for your organization, allowing for compliance across all the internal applications used by your employees. If your organization is using Azure AD or Office 365, you can connect your Automation Suite directly to your Azure AD tenant to obtain the following benefits:

ユーザーの自動オンボードとシームレスな移行

All users and groups from Azure AD are readily available for any service to assign permissions, without the need to invite and manage Azure AD users in the organization directory.
You can provide SSO for users whose corporate username differs from their email address, which is not possible with the invitation model.
UiPath® のユーザーアカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。

サインインの簡素化

Users do not have to accept an invitation or create a UiPath user account to access the organization as in the default model. They sign in with their Azure AD account by selecting the Enterprise SSO option or using their organization-specific URL.

ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
UiPath Assistant and Studio versions 20.10.3 and higher can be preconfigured to use a custom Automation SuiteURL, which leads to the same seamless connection experience.

既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理

Azure AD security groups or Office 365 groups, also known as directory groups, allow you to leverage your existing organizational structure to manage permissions at scale. You no longer need to configure permissions in Automation Suite services for each user.
You can combine multiple directory groups into one Automation Suite group if you need to manage them together.
Auditing Automation Suite access is simple. After you've configured permissions in all Orchestrator services using Azure AD groups, you utilize your existing validation processes associated with Azure AD group membership.

注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。

Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「」の手順に従ってください。

SAML モデル

This model allows you to connect Automation Suite to your chosen identity provider (IdP) so that:

your users can benefit from SSO and
you can manage existing accounts from your directory in Automation Suite, without having to re-create identities.

Automation Suite can connect to any external identity provider that uses the SAML 2.0 standard to obtain the following benefits:

ユーザーの自動オンボーディング

SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。

ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。

ユーザーの管理

ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメールアドレスを入力します。

Typically, administrators manage local accounts from Admin > organization > Accounts & Groups > Users tab. But SAML users are directory accounts, so they are not visible on this page.

ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。

属性マッピング

If you use UiPath Automation Hub, you can define custom attribute mapping to propagate attributes from your identity provider into Automation Suite. For example, when an account is first added to Automation Hub, the first name, last name, email address, job title, and department of the user are already populated.