orchestrator
2021.10
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
UiPath logo, featuring letters U and I in white
サポート対象外
Orchestrator ユーザー ガイド
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年10月31日

Azure AD 連携を設定する

Azure Active Directory との連携がホスト レベルでアクティブな場合 ([ログイン] ページで Azure AD がオプションとして表示されている場合)、テナント レベルで設定することはできません。

概要

会社で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、Orchestrator の組織を Azure AD のテナントに直接接続して、UiPath 環境の既存のディレクトリ アカウントやグループを表示できます。

Azure AD との連携を使用すると、ローカルのユーザー モデルを利用し続けながら、必要に応じて Azure AD の使用によるメリットも活かして組織の能力を高めることができます。

組織で Azure AD を採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

ヒント: Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロール アウトを段階的に進めることができます。

前提条件

Azure AD との連携を設定するには、以下が必要です。

  • Orchestrator と Azure AD の両方の管理者権限 (Azure での管理者権限がない場合は、Azure の管理者と協力してセットアップ プロセスを完了してください)。
  • Azure AD ユーザーと同じメール アドレスを使用する組織管理者の UiPath アカウント。Azure AD ユーザーは Azure での管理者権限は不要です。
  • UiPath Studio および Assistant バージョン 2020.10.3 以降。
  • UiPath Studio と Assistant が推奨されるデプロイを使用している。
  • 以前にローカル ユーザー アカウントを使用した場合は、すべての Azure AD ユーザーのメール アドレスが Mail フィールドにあることを確認してください。メール アドレスが User Principle Name (UPN) フィールドに入力されているだけでは不十分です。Azure AD との連携では、メール アドレスが一致する場合、ディレクトリ ユーザー アカウントをローカル ユーザー アカウントにリンクします。これにより、ユーザーはローカル ユーザー アカウントでのサインインから Azure AD ディレクトリ ユーザー アカウントに移行するときに、権限を保持できます。

連携が可能になるよう Azure を設定する

権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウド アプリケーション管理者、アプリケーション管理者

Azure テナントを設定するには、Azure Portal で以下の手順を実行します。

  1. Automation Suite のアプリケーションの登録を作成します。
    登録時には [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI]https://{baseURL}/identity_/signin-oidc に設定します。
    注: Automation Suite の登録済みアプリケーションが既に存在する場合は、新しく作成する必要はありませんが、上記の説明に従って設定されていることを確認してください。
  2. アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。


  3. アプリケーションの [認証] ページに移動します。
    1. [リダイレクト URI] 下部の [URI の追加] をクリックして、新しいエントリを追加します。
    2. [リダイレクト URI] のリストに https://{baseURL}/portal_/testconnection を追加します。
    3. 下部の [ID トークン] チェック ボックスを選択します。
    4. 上部の [保存] をクリックします。


  4. [トークン構成] ページに移動します。
  5. [省略可能な要求を追加] を選択します。
  6. [トークンの種類] として [ID] を選択します。
  7. family_namegiven_nameupn のチェックボックスを選択して、これらを省略可能な要求に追加します。


  8. [API のアクセス許可] ページに移動します。
  9. [アクセス許可の追加] をクリックして、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。
    • OpenId 権限 - emailopenidoffline_accessprofile
    • グループ メンバー権限 - GroupMember.Read.All
    • ユーザー権限 - User.ReadUser.ReadBasic.AllUser.Read.All (管理者の同意が必要)
    docs image

    アクセス許可

    許可される操作

    ユーザーが実行する操作

    emailopenidprofileoffline_accessUser.ReadAAD がシステム アプリケーションにユーザー トークンを発行できるようにします。ユーザーが AAD ログインを使用してシステムにログインできるようにします。これにより、ユーザー オブジェクトを最新の状態に保ち、属性の一貫性を確保できます。
    User.ReadBasic.Allログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザーの基本プロパティを読み取ります。ユーザーがディレクトリ内の他のユーザーにリソースへのアクセス許可を割り当てると、ユーザーがリソースを検索できます。アクセス管理/承認の機能は、システムのユーザー エクスペリエンスにあります。
    User.Read.All (管理者の同意が必要) ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザー プロパティを読み取れるようにします。管理者は、これらの追加のユーザー プロパティをインポートして、アクセス許可を設定したり、システム サービス内のカスタム情報を表示したりできます。AAD から属性の完全なセットを取得しようとしている Automation Hub ユーザーは、アプリに User.Read.All の権限を付与する必要があります。
    GroupMember.Read.Allサインインしているユーザーがアクセスできるすべてのユーザーのグループ メンバーシップを読み取ります。組織がグループを使用してシステム内のアクセス許可を管理している場合、プラットフォームはすべてのグループを一覧表示し、グループのメンバーを検出できる必要があります。これにより、グループに割り当てられたアクセス許可の管理と適用の両方が可能になります。

    これらの権限による UiPath のアクセス権の詳細については、暗号化に関するドキュメントをご覧ください。

  10. [管理者の同意を与えます] チェック ボックスを選択します。
    注: テナントの Active Directory のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーが同意を求められることはありません。
    アクセス許可と同意の詳細については、Azure AD のドキュメントをご覧ください。
  11. [証明書とシークレット] のページに移動します。
  12. 新しいクライアント シークレットを作成します
  13. クライアント シークレットの [値] をコピーして、後で使用するために保存しておきます。


  14. Automation Suite の Organization Administrator が Automation Suite の設定を進められるように、ディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を伝えます。

Orchestrator に連携をデプロイする

Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。

ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。

権限: このセクションの作業を実行するには、Orchestrator の管理者である必要があります。

非アクティブ ユーザーをクリーンアップする

非アクティブなメール アドレスを組織で再利用しない場合は、以下の手順を省略できます。

連携をアクティブ化して Orchestrator を Azure AD に接続すると、メール アドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath のアカウントと同じ権限が付与されます。

重要: アカウントのリンクが適切に行われるように、すべての Azure AD ユーザーのメール アドレスが Azure の [メール] フィールドにあることを確認してください。メール アドレスが [User Principle Name (UPN)] フィールドに入力されているだけでは不十分です。

組織でメール アドレスを再利用する習慣がある場合、つまり、過去に使用されていたメール アドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。

かつて、メール アドレスが john.doe@example.com である従業員がいたとします。この従業員は UiPath のアカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメール アドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。
同じジョン・ドウという名前の新しい従業員が入社した場合、同じメール アドレス john.doe@example.com が割り当てられます。このような場合、Orchestrator と Azure AD との連携が可能なようにアカウントがリンクされると、ジョン・ドウは組織管理者の権限も継承します。

こうした状況が発生するのを防ぐため、次の手順に進む前に、アクティブでなくなったアカウントが Orchestrator からすべて削除されていることを確認してください。

Azure AD との連携をアクティブ化する

はじめる前に

  • 前述の「連携が可能になるよう Azure を設定する」の説明に従って Azure が構成されていることを、確認します。
  • Azure の管理者から、Orchestrator アプリケーションの登録に必要な、Azure のディレクトリ (テナント) IDアプリケーション (クライアント) IDクライアント シークレットの値を入手します。

Azure AD との連携をアクティブ化するには、Orchestrator で以下の手順を実行します。

  1. 管理ポータル (https://OrchestratorUR:/identity/management) にシステム管理者としてログインします。
  2. [アカウントとグループ] ページで [認証設定] タブを選択します。
  3. [外部プロバイダー] セクションで、[Azure Active Directory][設定] をクリックします。


    ウィンドウの右側に [Azure Active Directory を構成] パネルが開きます。

  4. Azure 管理者から提供された情報をフィールドに入力します。
  5. チェック ボックスをオンにします。

    変更の保存後に、対応するアカウントが自動的にリンクされるからです。

  6. [保存] をクリックします。

    組織で連携がアクティブ化されました。

テナントの URL (https://{baseURL}/tenant/) に移動し、ログイン ボックスの下部にある [Enterprise SSO で続行] をクリックすることで、Azure AD のアカウントを使用してサインインできるようになりました。


また、リンク先の Azure AD テナント内のユーザーおよびグループを操作できるようにもなりました。

検索機能を使用すると、Azure AD のユーザーやグループを見つけることができます (たとえば、Orchestrator のローカル グループにユーザーを追加する場合など)。ただし、それらのユーザーやグループは [ユーザー] ページまたは [グループ] ページのリストには表示されません。

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、UiPath のアカウントと同じ権限を付与されます。

UiPath のユーザー アカウントをまだ削除していなければ、引き続き UiPath のアカウントによるサインインも可能です。どちらの方法も使用できます。

Azure AD のアカウントを使用するには、組織固有の Orchestrator (https://{baseURL}/myOrganization/ の形式) に移動するか、メイン ログイン ページで [Enterprise SSO] を選択する必要があります。

ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。

各アカウントには何のロールが割り当てられているか?

Azure AD アカウント: ユーザーが Azure AD アカウントでサインインした場合、ユーザーは自分の UiPath アカウントで持つすべてのロールと、UiPath 内で Azure AD アカウントまたはユーザーが属する Azure AD グループに割り当てられたすべてのロールの機能をすぐに使用することができます。これらのロールは、Orchestrator グループに属する Azure AD ユーザーまたは Azure AD グループ、あるいは Azure AD ユーザーまたは Azure AD グループにロールが割り当てられた Orchestrator などの他のサービスから継承されます。

UiPath アカウント: Azure AD との連携がアクティブな場合、UiPath アカウントに割り当てられるロールは以下の条件によって異なります。

  • ユーザーが自分の Azure AD アカウントで 1 度もサインインしていない場合、そのユーザーは UiPath アカウントのロールしか持っていません。
  • 以前に Azure AD アカウントで少なくとも 1 度はサインインした場合、UiPath アカウントは、UiPath 内で Azure AD ユーザーが持つロール (明示的に割り当てられたロール、または Orchestrator グループ メンバーシップから継承したロール) も持ちます。UiPath アカウントでは、Azure AD アカウントが属している Azure AD グループに割り当てられたいずれのロールの機能も使用できません。
Azure AD のアカウントに対して権限を再適用する必要がありますか。

いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、UiPath のアカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。

Azure AD との連携をテストする

Orchestrator からの連携が機能していることを確認するには、Azure AD アカウントで管理者としてサインインし、Orchestrator の [ロールを割り当て] ページなどの関連するページで Azure AD のユーザーやグループを検索してみてください ([アクセス権を管理] > [ロールを割り当て] > [ロールを割り当て])。

  • Azure AD で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。

    注: Azure AD のユーザーとグループは [ユーザー] ページまたは [グループ] ページのリストに表示されず、検索を通じてのみ利用可能です。
  • ユーザーの検索を試して、下の図の例のようなエラーが発生した場合は、Azure での設定に何らかの問題があります。Azure の管理者に連絡して、「連携が可能になるよう Azure を設定する」の説明に従って Azure が設定されているかどうかの確認を依頼してください。

    ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

Azure AD への移行を完了する

連携をアクティブ化したら、このセクションの手順に従って、作成したユーザーと割り当てられたグループが Azure AD に移行されていることを確認するようお勧めします。この方法により、既存の ID とアクセス管理インフラストラクチャを基盤として、Orchestrator 組織のリソースに対する、より簡単なガバナンスとアクセス管理制御を実現できます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に Orchestrator やその他のサービスに設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを Orchestrator で割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Orchestrator の既存のユーザー グループを Azure AD の新規または既存のグループにマップできます。その方法は、Azure AD でのグループの使用方法に応じていくつかあります。

  • Orchestrator 内で同じロールを持つユーザーが Azure AD の同じグループに既に存在する場合、Organization Administrator は、これらのユーザーが属していた Orchestrator ユーザー グループに、これらの Azure AD グループを追加できます。これによって、それらのユーザーが確実に同じ権限とロボットの設定を持つようになります。
  • それ以外の場合は、Azure の管理者が Orchestrator のグループに対応するグループを Azure AD 内に新たに作成して、Orchestrator のユーザー グループと同じユーザーを追加します。その後、Organization Administrator が新しい Azure AD グループを既存のユーザー グループに追加すると、同じユーザーが確実に同じロールを持つようになります。

いずれの場合も、ユーザーに明示的に割り当てられたロールの確認を忘れないでください。可能であれば、明示的に割り当てられたロールを持つグループにこれらのユーザーを追加して、明示的なロール割り当ての手間を省けるようにします。

: Orchestrator の Administrators グループに、ユーザー Roger、Tom、Jerry が属しているとします。これらのユーザーは admins という名前の Azure AD のグループにも属しています。Organization Administrator は、admins グループを Orchestrator の Administrators グループに追加できます。そうすれば、Roger、Tom、Jerry は、Azure AD グループ admins のメンバーとして Administrators グループのロールのすべての機能を利用できるようになります。

adminsAdministrators グループの一部になったため、新しい管理者のオンボードが必要になった場合、Azure 管理者はその新しいユーザーを Azure の admins グループに追加できます。そのため、Orchestrator での変更は一切なしで、Orchestrator での管理権限をユーザーに付与できます。

Azure AD のグループ割り当ての変更は、ユーザーが Azure AD のアカウントでログインしたときに Orchestrator に適用されます。既にログイン済みだった場合は、1 時間以内に適用されます。

既存のユーザーを移行する

初期サインイン - Azure AD のユーザーやグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回はサインインする必要があります。連携が開始された後に、UiPath のアカウントからサインアウトして Azure AD のアカウントでサインインし直すよう、すべてのユーザーに指示することをお勧めします。Azure AD のアカウントでのサインインは、次の手順で実行できます。

  • 組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。

    注: URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例: https://{baseURL}/orgID/)。
  • メイン ログイン ページで [Enterprise SSO] を選択します。

    注: 必ず Orchestrator 用の組織固有の URL をすべてのユーザーに提供してください。Orchestrator でこの情報が表示されるのは Organization Administrator だけです。

移行されたユーザーは、直接割り当てられた権限、または Azure AD のグループから継承された権限、あるいはその両方を使用できます。

ユーザー向けに Studio と Assistant を設定する: これらの製品を Azure AD のアカウントに接続できるように設定するには、以下の手順を実行します。

  1. Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
  2. [サインアウト] をクリックします。
  3. 接続の種類として [サービス URL] を選択します。
  4. [サービス URL] フィールドに組織固有の URL を入力します。
    注: URL は組織 ID を含んでいて、スラッシュで終わっている必要があります (例: https://{baseURL}/orgID/)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
  5. Azure AD のアカウントに再度サインインします。
重要: Azure AD のグループから継承された権限は、クラシック フォルダーからのオートメーションまたは、マシン キーを使用して接続されたロボットには影響しません。グループに基づく権限で動作させるには、オートメーションをモダン フォルダーで設定し、UiPath Assistant または Studio への接続にサービス URL を使用してください。

ローカル アカウントの使用を中止する (任意)

必須ではありませんが、Orchestrator と Azure AD 間の完全な連携がもたらすコア コンプライアンスと効率のメリットを最大限に活かすために、ローカル アカウントの使用は中止することをお勧めします。

すべてのユーザーの移行が完了したら、[ユーザー] タブより、個人のローカル アカウントを使用しているユーザーを削除し、今後 UiPath アカウントではサインインできないようにします。そのようなアカウントには、ユーザー アイコンが表示されています。

Orchestrator サービスなどの UiPath サービス内の権限を個別にクリーンアップしたり、Orchestrator グループからユーザーを個別に削除したりして、権限が Azure AD のグループ メンバーシップだけに基づいて付与されるようにすることもできます。

Exception

ローカル アカウントの使用を中止する場合は、組織の認証設定を更新する必要が生じた場合に使用するために、組織管理者のロールを持つローカル アカウントを少なくとも 1 つ保持しておくことをお勧めします。そうしないと、[認証設定] オプションは有効化されません。

ベスト プラクティス

これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。

Orchestrator へのアクセスを制限する

Azure AD との連携は Azure テナントのレベルで実行されるため、既定ではすべての Azure AD ユーザーが Orchestrator 組織にアクセスできます。Azure AD ユーザーが Orchestrator に初めてサインインすると、そのユーザーは Orchestrator グループ Everyone に自動的に属し、ユーザーの組織レベルのロールが付与されます。

特定のユーザーにのみ Orchestrator 組織へのアクセスを許可する場合、Azure での Orchestrator アプリの登録時のユーザーの割り当てをアクティブ化できます。これによって、ユーザーはアプリ (Orchestrator) に明示的に割り当てられないと、そのアプリにアクセスできなくなります。手順については、Azure AD ドキュメントのこちらのページをご覧ください。

アクセスを信頼できるネットワークまたはデバイスのみに制限する

ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ Orchestrator にアクセスできるようにする場合は、Azure AD の条件付きアクセス機能を使用できます。

Azure AD の Orchestrator グループのガバナンス

上記の「権限とロボット用にグループを設定する」で説明したように、Azure AD にグループを作成して、Azure AD から直接簡単に Orchestrator のオンボードを行えるようにした場合、これらのグループに対する Privileged Identity Management (PIM) の高度なセキュリティ オプションを使用して、Orchestrator グループへのアクセス要求を制御できます。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.