- 基本情報
- ホストの管理
- 組織
- テナントとサービス
- 認証とセキュリティ
- ライセンス
- アカウントとロール
- 外部アプリケーション
- 組織でのテスト
- 通知
- ログ
- トラブルシューティング
UiPath Automation Suite 管理ガイド
ローカル ユーザー アカウントは各ユーザーのアカウントを表し、 Automation Suite の内部アカウントです。このモデルでは、組織管理者が新しいユーザーを組織に追加します。Automation Suite 内のユーザー管理を完全に制御する必要がある場合に適しています。
UiPath では、SSO 設定はホスト レベルと組織レベルの両方で実装可能な規定です。
ホスト レベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。
ホスト レベルで管理できる SSO 設定には、基本サインイン、Google SSO、Microsoft Entra ID、SSO、Active Directory、SAML SSO があります。基本サインインなどの特定の設定は、組織レベルで上書きできます。
このモデルは、ディレクトリ アカウント モデルに対応しています。
ディレクトリ アカウント モデルは、 Automation Suite と連携するサードパーティ ディレクトリに依存しています。これにより、所属する企業内で使用されている ID スキーマをそのまま使用できます。ディレクトリ アカウントは Automation Suite の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。
UiPath では、ディレクトリ連携モデルはホスト レベルと組織レベルの両方で構成できます。
-
ホスト レベルでは、ディレクトリ統合オプションに Active Directory が含まれます。 ここでの設定は、ホスト配下のすべての組織に一貫して適用されます。
-
組織レベルでは、UiPath では、組織管理者が Azure Active Directory (AAD) との連携を使用してホスト レベルの設定を上書きできます。
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。 ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。
UiPath のディレクトリ モデルでは、ホスト レベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。 これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。Automation Suite では、管理者は認証および関連するセキュリティの設定を選択して、全組織を対象として一度にグローバル (ホスト レベル) にするか、組織ごとに選択することができます。
-
認証のグローバル設定 (ホスト レベル): システム管理者は、インストールの認証設定および関連する既定のセキュリティ設定をホスト レベルで選択できます。 これらはホスト認証およびセキュリティ設定と呼ばれ、既定ですべての組織に継承されます。 ホスト認証とセキュリティ設定の構成について詳しくは、こちらをご覧ください。
- 認証の組織レベル設定: 組織管理者は、組織の認証および関連するセキュリティ設定を選択できます。 一部の設定はホスト レベルから継承されますが、組織に異なる設定を適用する必要がある場合は上書きできます。 組織レベルの認証とセキュリティ設定の構成については、こちらをご覧ください。
以下の表では、すべての組織について一度に、または各組織のホスト レベルの認証および関連するセキュリティ設定について説明します。
| 認証設定 | Microsoft Entra ID のホスト レベル | Microsoft Entra ID 組織レベル | SAML ホスト レベル | SAML 組織レベル |
|---|---|---|---|---|
| シングル サインオン | はい | はい | はい | はい |
| Just-In-Time ユーザーの自動プロビジョニング | いいえ | はい | いいえ | はい |
| Just-In-Time 要求ベースの自動プロビジョニング規則 | いいえ | いいえ | いいえ | はい |
| ユーザーとグループを検索するためのディレクトリ連携 | いいえ | はい | いいえ | いいえ |
認証のグローバル設定 (ホスト レベル)
Automation Suite では、ユーザーのサインイン方法を管理するために外部 ID プロバイダーを設定できます。これらの設定は、すべての組織に適用されます。
以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
|
連携する外部プロバイダー |
認証 |
ディレクトリ検索 |
管理者のプロビジョニング |
|---|---|---|---|
|
Active Directory と Windows 認証 |
管理者は、Kerberos プロトコルを用いた Windows 認証による SSO を使用できます。 |
管理者は、Active Directory からユーザーを検索できます。 |
ユーザーがログインできるようにするために、ユーザーまたはユーザーが属するグループを UiPath プラットフォームに追加しておく必要があります。Active Directory のユーザーとグループは、ディレクトリ検索を使用して UiPath プラットフォームで利用できます。 |
|
Microsoft Entra ID |
管理者は、OpenID Connect プロトコルを用いた Microsoft Entra ID による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Microsoft Entra ID アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
|
ユーザーは OpenID Connect プロトコルを用いた Google による SSO を使用できます。 |
サポート対象外 |
ユーザーは、Google アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
|
SAML 2.0 |
ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 |
サポート対象外 |
ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダー キー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
組織の認証
Microsoft Entra ID モデル
Microsoft Entra ID との統合により、組織のスケーラブルなユーザーおよびアクセス管理が提供され、従業員が使用するすべての内部アプリケーション全体でコンプライアンスを確保できます。組織で Microsoft Entra ID または Office 365 を使用している場合は、 Automation Suite を Microsoft Entra ID テナントに直接接続すると、次のメリットが得られます。
ユーザーの自動オンボードとシームレスな移行
- Microsoft Entra ID のすべてのユーザーとグループは、任意のサービスがアクセス許可を割り当てるときにすぐに使用できます。組織のディレクトリで Microsoft Entra ID ユーザーを招待したり管理したりする必要はありません。
- 企業のユーザー名がメール アドレスと異なるユーザーに SSO を提供できますが、これは招待モデルでは不可能です。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Microsoft Entra ID アカウントに自動的に移行されます。
サインインの簡素化
-
ユーザーは、既定のモデルのように組織にアクセスするために招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Microsoft Entra ID のアカウントでサインインできます。
ユーザーがすでに Microsoft Entra ID または Office 365 にサインインしている場合は、自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、 Automation Suiteのカスタム URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Microsoft Entra ID グループを使用したスケーラブルなガバナンスとアクセス管理
- Microsoft Entra ID のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、 ユーザーごとに Automation Suite サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Automation Suite グループに統合できます。
-
Automation Suite へのアクセスの監査は簡単です。Microsoft Entra ID グループを使用してすべての Orchestrator サービスで権限を設定したら、Microsoft Entra ID グループ メンバーシップに関連付けられている既存の検証プロセスを利用します。
手記: Microsoft Entra ID モデルを使用している間は、引き続き既定のモデルのすべての機能を使用できます。ただし、メリットを最大限に活かすには、Microsoft Entra ID による一元化されたアカウント管理のみを使用することをお勧めします。組織の ID プロバイダーとして Microsoft Entra ID を使用する場合は、「 Microsoft Entra ID 連携を設定する」の手順に従ってください。
SAML モデル
このモデルでは、選択した ID プロバイダー (IdP) に Automation Suite を接続できるため、以下が可能になります。
- ユーザーはSSOと
- Automation Suite のディレクトリにある既存のアカウントを管理でき、ID を再作成する必要はありません。
Automation Suite は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できるため、次のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [ 管理 ] > 組織> [ アカウントとグループ ] > [ユーザー ] タブからローカル アカウントを管理します。 ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Automation Suite に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門はすでに入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
手順については、「」をご覧ください。
Microsoft Entra ID 連携から SAML 連携に移行する
SAML 連携に切り替えると、Microsoft Entra ID 連携は無効化されます。Microsoft Entra ID グループの割り当ては適用されなくなるため、Microsoft Entra ID から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。
