- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- ホストの管理
- Identity Server
- 認証
- 組織管理者
- その他の構成
- Integrations
- クラシック ロボット
- トラブルシューティング
組織の認証設定を構成する
管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。
組織の ID プロバイダーの選択 ([管理] > [ユーザーとグループ] > [認証設定]) は、ユーザーのサインイン方法、および Orchestrator でのユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。
Azure Active Directory モデル
Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用するすべての社内アプリケーションでコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Orchestrator の組織を Azure AD のテナントに直接接続できるため、以下の機能を使用できます。
ユーザーの自動オンボードとシームレスな移行
- Orchestrator サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Orchestrator の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
- 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待モデルでは不可能なことです。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。
サインインの簡素化
-
ユーザーは Orchestrator の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。
ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理
- Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Orchestrator サービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Orchestrator グループに統合できます。
-
Orchestrator のアクセスの監査は簡単です。すべての Orchestrator サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。
注: Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。Azure Active Directory を組織の ID プロバイダーとして使用する場合は、「Azure AD 連携を設定する」の手順に従います。
SAML モデル
このモデルでは、選択した ID プロバイダー (IdP) に Orchestrator を接続できるため、以下が可能になります。
- ユーザーはシングル サインオン (SSO) を利用できます。
- ID を再作成することなく、Orchestrator でディレクトリから既存のアカウントを管理できます。
SAML 2.0 標準を使用する任意の外部 ID プロバイダーに Orchestrator を接続すると、以下のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [管理] > [組織] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Orchestrator に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
詳しい手順については、「SAML 連携を設定する」をご覧ください。
Azure AD 連携から SAML 連携へ移行する
SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。
基本認証とは、<> のユーザー名とパスワードを使用するサインインのことです。
基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリ アカウントでのみログインできます。制限されていない場合、ユーザーはローカル アカウント (ある場合) とディレクトリ アカウントの両方でログインできます。
この設定について詳しくは、「設定レベルと継承」もご覧ください。
組織レベルで基本認証を設定する
組織レベルで設定した場合、その設定が組織内のすべてのアカウントに適用されます。
例外として、基本認証をアカウント レベルで設定し、この設定を異なる方法で適用することもできます。
組織に対して基本認証を許可または制限するには、以下の手順を実行します。
組織のセキュリティ オプションを設定するには、[管理者] > [アカウントとグループ] > [認証設定] に移動し、必要に応じてオプションを編集します。
フィールド |
説明 |
---|---|
特殊文字 |
パスワードに 1 つ以上の特殊文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
小文字 |
パスワードに 1 つ以上の小文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
大文字 |
パスワードに 1 つ以上の大文字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオフになっています。 |
数字 |
パスワードに 1 つ以上の数字を含めるようにユーザーに強制する場合に選択します。 既定では、このチェックボックスはオンになっています。 |
最低限必要なパスワードの長さ |
パスワードの最小文字数を指定します。 既定では 8 文字です。1 ~ 256 文字でなければなりません。 |
パスワードの有効期限までの日数 |
パスワードが有効な期間を日数で指定します。この期間を過ぎると、パスワードが期限切れになり、変更が必要となります。 最小許容値は 0 (パスワードが無期限)、最大許容値は 1000 日です。 |
パスワードが再利用できる回数 |
最小許容値は 0 回 (パスワードの再利用を一切許可しない)、最大許容値は 10 回です。 |
最初のログイン時にパスワードを変更 |
[必須] に設定した場合、初めてログインするユーザーはパスワードを変更してからでないと Orchestrator にアクセスできません。 [必須にしない] に設定すると、ユーザーはそのままログインでき、管理者が定義したパスワードを期限が切れるまで使用し続けることができます。 |
フィールド |
説明 |
---|---|
[有効化] または [無効化] のトグル |
有効化した場合は、ログイン試行に一定の回数失敗したアカウントを、指定された秒数の間ロックします。これは、パスワード変更機能にも適用されます。 |
アカウント ロックアウトの期間 |
[ロックアウトされるまでの連続ログイン試行回数] を超過した後、ユーザーが再度ログインできるようになるまでに待機する必要のある秒数です。 既定値は 5 分です。最小許容値は 0 (ロックアウト期間なし)、最大許容値は 2592000 (1 か月) です。 |
ロックアウトされるまでの連続ログイン試行回数 |
アカウントがロックされるまでに許容されるログイン試行の失敗回数です。 既定値は 10 回です。2 ~ 10 の値を設定できます。 |