- 基本情報
- ホストの管理
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- 外部アプリケーション
- 通知
- ログ
- トラブルシューティング
UiPath Automation Suite 管理ガイド
認証モデルについて
ローカル ユーザー アカウントは、 Automation Suite の内部にある各ユーザーのアカウントを表します。 このモデルでは、組織管理者が新しいユーザーを組織に追加します。 Automation Suite 内のユーザー管理を完全に制御する必要がある場合に適しています。
UiPath では、SSO 設定はホスト レベルと組織レベルの両方で実装可能な規定です。
ホスト レベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。 つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。 ホスト レベルで管理できる SSO 設定には、基本サインイン、Google SSO、Azure AD SSO、Active Directory、SAML SSO があります。 基本サインインなどの特定の設定は、組織レベルで上書きできます。
このモデルは、ディレクトリ アカウント モデルに対応しています。
ディレクトリ アカウント モデルは、UiPath Platform と連携するサードパーティ ディレクトリに依存します。 これにより、会社で確立された ID スキーマを再利用できます。 ディレクトリ アカウントは UiPath Platform の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。
UiPath では、ディレクトリ連携モデルはホスト レベルと組織レベルの両方で構成できます。
-
ホスト レベルでは、ディレクトリ連携オプションには SAML 2.0 と Active Directory があります。 ここでの設定は、ホスト配下のすべての組織に一貫して適用されます。
-
組織レベルでは、UiPath では、組織管理者が SAML 2.0 と Azure Active Directory (AAD) の統合を使用してホスト レベルの設定を上書きできます。
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。 ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。
UiPath のディレクトリ モデルでは、ホスト レベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。 これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。 Automation Suite では、管理者は認証および関連するセキュリティの設定を選択して、すべての組織を対象として一度にグローバル (ホスト レベル) にするか、組織ごとに選択することができます。
-
認証のグローバル設定 (ホスト レベル): システム管理者は、インストールの認証設定および関連する既定のセキュリティ設定をホスト レベルで選択できます。 これらはホスト認証およびセキュリティ設定と呼ばれ、既定ですべての組織に継承されます。 ホスト認証とセキュリティ設定の構成について詳しくは、こちらをご覧ください。
- 認証の組織レベル設定: 組織管理者は、組織の認証および関連するセキュリティ設定を選択できます。 一部の設定はホスト レベルから継承されますが、組織に異なる設定を適用する必要がある場合は上書きできます。 組織レベルの認証とセキュリティ設定の構成については、こちらをご覧ください。
以下の表では、すべての組織について一度に、または各組織のホスト レベルの認証および関連するセキュリティ設定について説明します。
|
Azure AD ホスト レベル |
Azure AD 組織レベル |
SAML ホスト レベル |
SAML 組織レベル | |
|
ディレクトリとの連携 |
いいえ |
はい |
いいえ |
はい |
|
自動プロビジョニング |
はい |
はい |
いいえ |
はい |
|
グループの自動プロビジョニング |
いいえ |
いいえ |
いいえ |
はい |
Automation Suite では、外部 ID プロバイダーを設定して、ユーザーのサインイン方法を制御できます。 ここでの設定は、すべての組織に適用されます。
以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
|
連携する外部プロバイダー |
認証 |
ディレクトリ検索 |
管理者のプロビジョニング |
|---|---|---|---|
|
|
管理者は、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。 |
管理者は、Active Directory からユーザーを検索できます。 |
ユーザーがログインできるようにするために、ユーザーまたはユーザーが属するグループを UiPath プラットフォームに追加しておく必要があります。Active Directory のユーザーとグループは、ディレクトリ検索を使用して UiPath プラットフォームで利用できます。 |
|
|
管理者は OpenID Connect プロトコルを用いた Azure AD による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Azure AD アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
|
ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Google アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
|
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 |
サポート対象外 |
ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダー キー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
Azure Active Directory モデル
Azure Active Directory (Azure AD) との統合により、組織のスケーラブルなユーザーおよびアクセス管理が提供され、従業員が使用するすべての内部アプリケーション全体でコンプライアンスを確保できます。 組織で Azure AD または Office 365 を使用している場合は、 Automation Suite を Azure AD のテナントに直接接続すると、次のメリットが得られます。
ユーザーの自動オンボードとシームレスな移行
- Azure AD のすべてのユーザーとグループは、組織のディレクトリで Azure AD ユーザーを招待して管理する必要なく、どのサービスでもすぐにアクセス許可を割り当てることができます。
- 企業のユーザー名がメール アドレスと異なるユーザーに SSO を提供できますが、これは招待モデルでは不可能です。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化
-
既定のモデルのように、ユーザーは組織にアクセスするために招待を承諾したり、UiPath ユーザー アカウントを作成したりする必要はありません。 Azure AD のアカウントでサインインするには、[Enterprise SSO] オプションを選択するか、組織固有の URL を使用します。
ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Automation SuiteURL を使用するようにあらかじめ設定しておくことができます。これにより、同じようにシームレスな接続を実現できます。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD セキュリティ グループまたは Office 365 グループ (ディレクトリ グループとも呼ばれます) を使用すると、既存の組織構造を活用して大規模なアクセス許可を管理できます。 Automation Suite サービスでユーザーごとに権限を設定する必要がなくなりました。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、複数のディレクトリ グループを 1 つの Automation Suite グループに結合できます。
-
Automation Suite へのアクセスの監査は簡単です。Azure AD グループを使用してすべての Orchestrator サービスで権限を設定したら、Azure AD グループ メンバーシップに関連付けられている既存の検証プロセスを利用します。
注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「 」の手順に従ってください。
SAML モデル
このモデルを使用すると、 Automation Suite を選択した ID プロバイダー (IdP) に接続できるため、以下の操作を実行できます。
- ユーザーはSSOと
- Automation Suite のディレクトリから既存のアカウントを管理できるので、ID を再作成する必要はありません。
Automation Suite は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できるため、次のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [ 管理 ] > 組織> [ アカウントとグループ ] > [ユーザー ] タブからローカル アカウントを管理します。 ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Suite に反映できます。 たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
手順については、「」をご覧ください。
Azure AD 連携から SAML 連携へ移行する
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。
