- 基本情報
- ベスト プラクティス
- テナント
- Cloud ロボット
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- リソース カタログ サービス
- Integrations
- トラブルシューティング
アクセス制御
Orchestrator では、ユーザー、グループ、ロボット アカウント、外部アプリのアクセス レベルをロールを使用して制御できます。このページでは、アクセス制御方法を効率的に計画して実装するために理解しておく必要のある概念について説明します。
- アカウントとアプリ (例: ユーザー アカウント、ロボット アカウント、外部アプリ) - Orchestrator リソースへのアクセスに使用される ID を表します。
- ロール - UiPath エコシステム内で明示的な権限を付与するために、アカウントに割り当てられます。
- グループ - 複数のユーザー アカウントに同じアクセス権を付与することで、アカウントの管理を簡素化するために使用します。
Orchestrator ではアカウントは作成および管理されず、その Orchestrator のロールと割り当てのみが作成および管理されます。アカウントは組織管理者によって作成され、作成されると、Orchestrator のフォルダーまたはテナントに割り当てることができます。
Orchestrator では、ロールと権限に基づくアクセス管理メカニズムを使用します。ロールとは権限の集合です。つまり、Orchestrator の特定のエンティティを使用するために必要な複数の権限がロールに割り当てられます。
ロールと権限、ならびにユーザーとロールの組み合わせにより、Orchestrator に対して一定レベルのアクセスを許可できます。ユーザーは、1 つまたは複数のロールによって、特定の操作を実行するために必要な権限を得られます。権限はユーザーに直接割り当てられるのではなく、ロールを通じてのみ取得できるため、権限の管理では、ユーザーに適切なロールを割り当てるという作業が伴います。
権限には、次の 2 種類があります。
- テナントの権限では、リソースへのユーザーのアクセスをテナント レベルで定義します。
- フォルダーの権限では、ユーザーが何にアクセスしてどのような操作を行えるかを、ユーザーが割り当てられているフォルダーごとに定義します。
- フォルダーの権限 (テナントが対象範囲):
- テナント全体のすべてのフォルダーの作成、編集、削除をユーザーに許可します。
- 通常は、管理者、または組織の管理を担当するユーザーに付与されます。
- サブフォルダーの権限 (フォルダーが対象範囲):
- 自身に割り当てられている特定のフォルダーと、その下層にあるすべてのサブフォルダーの作成、編集、削除をユーザーに許可します。
- よりきめ細かい制御が可能です。ユーザーは特定のフォルダーを管理できますが、テナント内の他のフォルダーは制御できません。
ロールに含まれる権限に基づいて、次の 3 つの種類のロールがあります。
- テナント ロール - テナントの権限が含まれ、テナント レベルで作業を行うために必要になります。
- フォルダー ロール - フォルダー内で作業を行うための権限が含まれます。
- 混合ロール - 両方の種類の権限が含まれます。
混合ロールの場合、グローバル操作では、ユーザーのテナントの権限のみが考慮されます。フォルダー固有の操作では、カスタム ロールが定義されている場合はフォルダーの権限は、存在するすべてのテナントの権限を優先して適用されます。
注: 混合ロールはサポートされなくなりました。新規の混合ロールを作成することはできません。混合ロールがある場合は、テナント ロールとフォルダー ロールの組み合わせに置き換えて、必要な権限を付与することをお勧めします。
割り当てられたロールの種類に応じて、ユーザーは以下のリソースを利用できます。
|
テナント リソース |
フォルダーのリソース |
|---|---|
|
|
通常、任意の権限に対して、利用可能なすべての権限 (表示、編集、作成、削除) を選択できますが、以下の権限はリスト内の権限に対する効力を持たないため、編集できません。
|
権限の種類 |
権限 |
利用できない権限 |
|---|---|---|
|
テナント |
アラート |
|
|
監査 |
| |
|
フォルダー |
実行メディア |
|
|
ログ |
| |
|
監視 |
|
これは、たとえば、システム生成ログを編集することはできないためです。
各ロールは複数の権限を組み合わせたものであり、そのロールを持つアカウントがアクセスできるプログラムの領域とアクションを制御します。
例: Infra という名前のロールがあり、これはオートメーションに使用する仮想マシンを管理するユーザーを対象としています。このロールには、マシン - 表示、マシン - 編集、マシン - 作成、マシン - 削除などの権限と、そのジョブに関連する他の権限を含めることができます。
ロールを作成または編集する場合は、利用可能な権限のリストを確認した上で、どの権限を含めるかを決定する必要があります。 以下のようなアプローチを試してみることができます。
- 既定のロールから開始する: Orchestrator には、Administrator ロール、Automation User など、最も一般的な種類のオートメーション ユーザー用の既定のロールが用意されています。これらのロールを使用することも、必要なロールに最も近いロールを複製してカスタマイズすることもできます。
- カスタム ロールを作成する: ロールを作成する際に、ロールの種類に応じてテナント レベルまたはフォルダー レベルで利用可能な全権限のリストが表示され、どの権限を含めるかを決定する必要があります。
権限の情報を表示する
ロールの作成または編集時に権限のチェックボックスにホバーすると、その権限によってアクセスが許可される Orchestrator のページを確認できます。この情報は、権限を含めるかどうかを大まかに判断するのに役立ちます。
- 権限の機能は、ページに対するアクセス権や、ページのコンテキスト内で実行できる機能を制御するだけではなく、もっと複雑です。タスクに必要な権限がわからない場合は、そのタスクのドキュメントで権限の要件を詳しく確認してください。上級ユーザー向けに、各操作に必要な権限に関する情報が記載された Orchestrator API Swagger も用意されています。手順については、「Swagger ファイルにアクセスする」をご覧ください。
- 各権限に表示される情報は Orchestrator のページにのみ対応しています。他の UiPath サービスのページやアクションには対応していません。
たとえば、[ML スキル] 権限によってブロックされているページがないことがわかりますが、これは、Orchestrator ページへのアクセスに関して、この権限が何の効果もないことを意味します。しかし、UiPath AI CenterTM を利用するには、ML スキルの権限を付与する必要があります。この場合、ML スキルの権限について、AI Center のドキュメントを確認する必要があります。
