- 初回構成
- ホストの管理
- 組織の管理
- アカウントとロール
- ライセンス
- 通知
認証とセキュリティを構成する
組織管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、および Automation Suite でのユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。
Automation Suite のインスタンスへのアクセスを制御するための認証設定はいくつか用意されていますが、それらはすべて 2 つの主要なモデルに基づいています。既定のモデルと、より高度な ID 管理機能を利用できる Azure Active Directory (Azure AD) モデルです。
すべてのユーザーに基本認証を使用したサインインを許可する (既定のモデル)
このモデルを使用して、組織管理者は Automation Suite で従業員のユーザー アカウントを作成し、従業員がログインできるようにします。
作成されたアカウントは、Automation Suite のローカル アカウント、またはホスト レベルで設定された外部ディレクトリ プロバイダーのユーザーを表します (「ホスト認証とセキュリティ設定」をご覧ください)。
Microsoft Azure Active Directory で Enterprise SSO を有効化する (Azure Active Directory モデル)
Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用する社内アプリケーションのすべてにわたってコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Automation Suite の組織を Azure AD のテナントに直接接続できるため、以下を使用できます。
ユーザーの自動オンボードとシームレスな移行:
- Automation Suite サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Automation Suite の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待モデルでは不可能なことです。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化:
-
ユーザーは Automation Suite の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。
ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Automation Suite URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理:
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Automation Suite サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Suite グループに統合できます。
-
Automation Suite のアクセスの監査は簡単です。すべての Automation Suite サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。
Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「Azure AD 連携を設定する」の手順に従います。
SAML モデル
このモデルでは、選択した ID プロバイダー (IdP) に Automation Suite を接続できるため、以下が可能になります。
- ユーザーはシングル サインオン (SSO) を利用できます。
- ID を再作成することなく、Automation Suite でディレクトリから既存のアカウントを管理できます。
Automation Suite は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。
メリット
Automation Suite へのユーザーの自動オンボーディング:
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で Automation Suite にサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Automation Suite の組織にサインインできます。
-
それらのユーザーは、追加の設定なしに Everyone ユーザー グループのメンバーとなり、既定で User 組織ロールが付与されます。Automation Suite を使用するには、ユーザーの役割に適したロールとライセンスが必要です。
アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Automation Suite へのアクセスを許可するユーザーのセットを定義できます。
ユーザーの管理
ユーザーは、Automation Suite のグループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [管理] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、Automation Suite では SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると自動的に Everyone グループに追加され、Automation Suite のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング:
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Suite に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。
セットアップ
管理者は、組織全体に対して SAML 連携を設定し、有効化できます。
詳しい手順については、「SAML 連携を設定する」をご覧ください。
Azure AD 連携から SAML 連携へ移行する
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Automation Suite グループ メンバーシップと権限は考慮されなくなります。
基本認証または基本サインインとは、ローカル アカウントのユーザー名とパスワードを使用するサインインのことです。
基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリ アカウントでのみログインできます。制限されていない場合、ユーザーはローカル アカウント (ある場合) とディレクトリ アカウントの両方でログインできます。
この設定について詳しくは、「設定レベルと継承」もご覧ください。
組織レベルで基本認証を設定する
組織レベルで設定した場合、その設定が組織内のすべてのアカウントに適用されます。
例外として、基本認証をアカウント レベルで設定し、この設定を異なる方法で適用することもできます。
組織に対して基本認証を許可または制限するには、以下の手順を実行します。
https://<server>/identity/management
で、組織レベルの管理ポータルに組織管理者としてログインします。- [管理] に移動し、左側のペインの上部で組織が選択されていることを確認します。
-
[セキュリティ] をクリックします。
組織の [セキュリティ設定] ページが開き、[認証設定] タブが表示されます。
-
[基本サインイン] トグルをクリックして、基本認証を使用するサインインを制限または許可します。
- オンにした場合 (右のトグル位置、青色のトグル)、基本認証は許可されます。
- オフにした場合 (左のトグル位置、灰色のトグル)、基本認証は制限されます。
- 右下の [保存] をクリックして変更を適用します。
組織内のローカル ユーザーのパスワードの複雑さの設定を構成するには、[組織 >管理 ] > [ セキュリティ ] に移動し、[ 基本サインイン] で [ パスワード ポリシーを編集] をクリックします。
フィールド |
説明 |
---|---|
特殊文字 |
パスワードに 1 つ以上の特殊文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
小文字 |
パスワードに 1 つ以上の小文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
大文字 |
パスワードに 1 つ以上の大文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
数字 |
パスワードに 1 つ以上の数字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
最低限必要なパスワードの長さ |
パスワードの最小文字数を指定します。 既定では 8 文字です。1 ~ 256 文字でなければなりません。 |
パスワードの有効期限までの日数 |
パスワードが有効な期間を日数で指定します。この期間を過ぎると、パスワードが期限切れになり、変更が必要となります。 最小許容値は 0 (パスワードが無期限)、最大許容値は 1000 日です。 |
パスワードが再利用できる回数 |
最小許容値は 0 回 (パスワードの再利用を一切許可しない)、最大許容値は 10 回です。 |
最初のログイン時にパスワードを変更 |
[必須] に設定した場合、初めてログインするユーザーはパスワードを変更してからでないと Automation Suite にアクセスできません。 [必須にしない] に設定すると、ユーザーはそのままログインでき、管理者が定義したパスワードを期限が切れるまで使用し続けることができます。 |
組織内のローカル ユーザーのアカウント ロック設定を構成するには、[組織 >管理 ] > [ セキュリティ ] に移動し、[ 基本サインイン] の [ パスワード ポリシーを編集] をクリックします。
フィールド |
説明 |
---|---|
[有効化] または [無効化] のトグル |
有効化した場合は、ログイン試行に一定の回数失敗したアカウントを、指定された秒数の間ロックします。これは、パスワード変更機能にも適用されます。 |
アカウント ロックアウトの期間 |
[ロックアウトされるまでの連続ログイン試行回数] を超過した後、ユーザーが再度ログインできるようになるまでに待機する必要のある秒数です。 既定値は 5 分です。最小許容値は 0 (ロックアウト期間なし)、最大許容値は 2592000 (1 か月) です。 |
ロックアウトされるまでの連続ログイン試行回数 |
アカウントがロックされるまでに許容されるログイン試行の失敗回数です。 既定値は 10 回です。2 ~ 10 の値を設定できます。 |