Automation Suite

2022.4

偽

UiPath Automation Suite 管理ガイド

最終更新日 2024年3月25日

組織の認証とセキュリティを構成する

組織管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホストレベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。

注:

このページでは、組織レベルの設定 (1 つの組織に適用される設定) を構成する手順を、段階を追って説明します。認証とセキュリティのグローバルな設定を構成する場合は、ホストの認証設定に関するドキュメントをご覧ください。

組織レベルの構成とホストレベルの構成の概要については、こちらをご覧ください。

ID プロバイダーを設定する

組織の ID プロバイダーの選択 ([管理] > [セキュリティ設定]) は、ユーザーのサインイン方法、および Automation Suite でのユーザーアカウントとグループアカウントの作成および管理方法に影響を及ぼします。

モデル

Automation Suite のインスタンスへのアクセスを制御するための認証設定はいくつか用意されていますが、それらはすべて 2 つの主要なモデルに基づいています。既定のモデルと、より高度な ID 管理機能を利用できる Azure Active Directory (Azure AD) モデルです。

すべてのユーザーに基本認証を使用したサインインを許可する (既定のモデル)

このモデルを使用して、組織管理者は Automation Suite で従業員のユーザーアカウントを作成し、従業員がログインできるようにします。

作成されたアカウントは、Automation Suite のローカルアカウント、またはホストレベルで設定された外部ディレクトリプロバイダーのユーザーを表します (「ホスト認証とセキュリティ設定」をご覧ください)。

Microsoft Azure Active Directory で Enterprise SSO を有効化する (Azure Active Directory モデル)

Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Automation Suite の組織を Azure AD のテナントに直接接続できるため、以下を使用できます。

ユーザーの自動オンボードとシームレスな移行:

Automation Suite サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Automation Suite の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
社内のユーザー名がメールアドレスとは異なるユーザーでもシングルサインオンが可能です。これは、招待モデルでは不可能なことです。
UiPath のユーザーアカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。

サインインの簡素化:

ユーザーは Automation Suite の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザーアカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Automation Suite URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。

既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理:

Azure AD のセキュリティグループまたは Office 365 のグループ (すなわち、ディレクトリグループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Suite サービス内の権限を設定する必要がなくなります。
複数のディレクトリグループをまとめて管理する必要がある場合は、それらを 1 つの Automation Suite グループに統合できます。
Automation Suite のアクセスの監査は簡単です。すべての Automation Suite サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループメンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。

注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。

Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「Azure AD 連携を設定する」の手順に従います。

SAML モデル

このモデルでは、選択した ID プロバイダー (IdP) に Automation Suite を接続できるため、以下が可能になります。

ユーザーはシングルサインオン (SSO) を利用できます。
ID を再作成することなく、Automation Suite でディレクトリから既存のアカウントを管理できます。

Automation Suite は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。

メリット

Automation Suite へのユーザーの自動オンボーディング:

SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で Automation Suite にサインインすることが許可されます。つまり、次のようになります。

ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Automation Suite の組織にサインインできます。
それらのユーザーは、追加の設定なしに Everyone ユーザーグループのメンバーとなり、既定で User 組織ロールが付与されます。Automation Suite を使用するには、ユーザーの役割に適したロールとライセンスが必要です。

アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Automation Suite へのアクセスを許可するユーザーのセットを定義できます。

ユーザーの管理

ユーザーは、Automation Suite のグループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメールアドレスを入力します。

通常、管理者は [管理] > [アカウントとグループ] > [ユーザー] タブでローカルアカウントを管理します。ですが、Automation Suite では SAML ユーザーはディレクトリアカウントであるため、このページには表示されません。

ユーザーがグループに追加されるか、1 回でもサインインすると自動的に Everyone グループに追加され、Automation Suite のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。

属性マッピング:

UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Suite に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メールアドレス、役職、部門は既に入力されています。

セットアップ

管理者は、[管理] > [セキュリティ設定] で、組織全体に対して SAML 連携を設定し、有効化できます。

詳しい手順については、「SAML 連携を設定する」をご覧ください。

Azure AD 連携から SAML 連携へ移行する

SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Automation Suite グループメンバーシップと権限は考慮されなくなります。

基本認証を許可または制限する

基本認証とは、<> のユーザー名とパスワードを使用するサインインのことです。

基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリアカウントでのみログインできます。制限されていない場合、ユーザーはローカルアカウント (ある場合) とディレクトリアカウントの両方でログインできます。

この設定について詳しくは、「設定レベルと継承」もご覧ください。

組織レベルで基本認証を設定する

注: この設定は、外部プロバイダーとの連携がホストレベルまたは組織レベルで有効化されている場合にのみ使用できます。

組織レベルで設定した場合、その設定が組織内のすべてのアカウントに適用されます。

例外として、基本認証をアカウントレベルで設定し、この設定を異なる方法で適用することもできます。

組織に対して基本認証を許可または制限するには、以下の手順を実行します。

https://<server>/identity/management で、組織レベルの管理ポータルに管理者としてログインします。
[セキュリティ設定] に移動します。
[外部プロバイダー] で [組織の基本認証を無効化] トグルをクリックして、基本認証を使用するサインインを制限または許可します。
- オフにした場合 (左のトグル位置、灰色のトグル)、基本認証は許可されます。
- オンにした場合 (右のトグル位置、青色のトグル)、基本認証は制限されます。制限されている間は、[ホスト管理者の基本認証を許可] トグルを利用できます。
[外部プロバイダー] セクションの右下にある [保存] をクリックして、変更を適用します。

セキュリティオプションを設定する

組織のセキュリティオプションを設定するには、[管理] > [セキュリティ設定] に移動し、必要に応じてオプションを編集します。

パスワードの複雑さ

注: [パスワードの複雑さ] の設定を編集しても既存のパスワードには影響しません。

フィールド	説明
特殊文字	パスワードに 1 つ以上の特殊文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオフになっています。
小文字	パスワードに 1 つ以上の小文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオンになっています。
大文字	パスワードに 1 つ以上の大文字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオフになっています。
数字	パスワードに 1 つ以上の数字を含めるようにユーザーに強制する場合に選択します。既定では、このチェックボックスはオンになっています。
最低限必要なパスワードの長さ	パスワードの最小文字数を指定します。既定では 8 文字です。1 ～ 256 文字でなければなりません。
パスワードの有効期限までの日数	パスワードが有効な期間を日数で指定します。この期間を過ぎると、パスワードが期限切れになり、変更が必要となります。最小許容値は 0 (パスワードが無期限)、最大許容値は 1000 日です。
パスワードが再利用できる回数	最小許容値は 0 回 (パスワードの再利用を一切許可しない)、最大許容値は 10 回です。
最初のログイン時にパスワードを変更	[必須] に設定した場合、初めてログインするユーザーはパスワードを変更してからでないと Automation Suite にアクセスできません。 [必須にしない] に設定すると、ユーザーはそのままログインでき、管理者が定義したパスワードを期限が切れるまで使用し続けることができます。

アカウントロック

フィールド	説明
[有効化] または [無効化] のトグル	有効化した場合は、ログイン試行に一定の回数失敗したアカウントを、指定された秒数の間ロックします。これは、パスワード変更機能にも適用されます。
アカウントロックアウトの期間	[ロックアウトされるまでの連続ログイン試行回数] を超過した後、ユーザーが再度ログインできるようになるまでに待機する必要のある秒数です。既定値は 5 分です。最小許容値は 0 (ロックアウト期間なし)、最大許容値は 2592000 (1 か月) です。
ロックアウトされるまでの連続ログイン試行回数	アカウントがロックされるまでに許容されるログイン試行の失敗回数です。既定値は 10 回です。2 ～ 10 の値を設定できます。