- 基本情報
- ホストの管理
- 組織
- テナントとサービス
- 認証とセキュリティ
- ライセンス
- アカウントとロール
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
UiPath Automation Suite 管理ガイド
認証モデルについて
ローカル ユーザー アカウントは、UiPath Platform の内部にある各ユーザーのアカウントを表します。 このモデルでは、組織管理者が新しいユーザーを組織に追加します。 UiPath Platform 内のユーザー管理を完全に制御する必要がある場合に適しています。
UiPath では、SSO 設定はホスト レベルと組織レベルの両方で実装可能な規定です。
ホスト レベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。 つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。 ホスト レベルで管理できる SSO 設定には、基本サインイン、Google SSO、Azure AD SSO、Active Directory、SAML SSO があります。 基本サインインなどの特定の設定は、組織レベルで上書きできます。
このモデルは、ディレクトリ アカウント モデルに対応しています。
ディレクトリ アカウント モデルは、UiPath Platform と連携するサードパーティ ディレクトリに依存します。 これにより、会社で確立された ID スキーマを再利用できます。 ディレクトリ アカウントは UiPath Platform の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。
UiPath では、ディレクトリ連携モデルはホスト レベルと組織レベルの両方で構成できます。
-
At the host level, directory integration options include SAML 2.0 and Active Directory. Settings here are applied consistently to all organizations under the host.
-
At the organization level, UiPath allows organization admins to override the host-level settings using either SAML 2.0 and Azure Active Directory (AAD) integration.
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。 ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。
UiPath のディレクトリ モデルでは、ホスト レベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。 これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。ディレクトリ連携を設定すると、お使いの ID プロバイダー (IDP) がユーザー ID の信頼できる唯一の情報源として機能します。
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。Automation Suite では、管理者は認証および関連するセキュリティの設定を選択して、全組織を対象として一度にグローバルに適用することも、組織ごとに適用することもできます。
|
| Azure AD ホスト レベル | Azure AD 組織レベル | SAML ホスト レベル | SAML 組織レベル |
|---|---|---|---|---|
|
ディレクトリとの連携 |
いいえ |
はい |
いいえ |
はい |
|
自動プロビジョニング |
はい |
はい |
いいえ |
はい |
|
グループの自動プロビジョニング |
いいえ |
いいえ |
いいえ |
はい |
このプラットフォームでは、ユーザーのサインイン方法を制御する外部 ID プロバイダーを設定できます。 ここでの設定は、すべての組織に適用されます。
以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
|
連携する外部プロバイダー |
認証 |
ディレクトリ検索 |
管理者のプロビジョニング |
|---|---|---|---|
|
|
管理者は、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。 |
管理者は、Active Directory からユーザーを検索できます。 |
ユーザーがログインできるようにするために、ユーザーまたはユーザーが属するグループを UiPath プラットフォームに追加しておく必要があります。Active Directory のユーザーとグループは、ディレクトリ検索を使用して UiPath プラットフォームで利用できます。 |
|
|
管理者は OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Azure AD アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
|
ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Google アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
|
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 |
サポート対象外 |
ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダー キー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
Azure Active Directory モデル
Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用するすべての社内アプリケーションでコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Orchestrator の組織を Azure AD のテナントに直接接続できるため、以下の機能を使用できます。
ユーザーの自動オンボードとシームレスな移行
- Orchestrator サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Orchestrator の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待モデルでは不可能なことです。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化
-
ユーザーは Orchestrator の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。
ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Orchestrator サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Orchestrator グループに統合できます。
-
Orchestrator のアクセスの監査は簡単です。すべての Orchestrator サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。
注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「 」の手順に従ってください。
SAML モデル
このモデルでは、選択した ID プロバイダー (IdP) に Orchestrator を接続できるため、以下が可能になります。
- ユーザーはシングル サインオン (SSO) を利用できます。
- ID を再作成することなく、Orchestrator でディレクトリから既存のアカウントを管理できます。
SAML 2.0 標準を使用する任意の外部 ID プロバイダーに Orchestrator を接続すると、以下のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [管理] > [組織] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Orchestrator に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
手順については、以下をご覧ください。
Azure AD 連携から SAML 連携へ移行する
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。
