orchestrator

2023.4

false

基本情報
- はじめに
- ユーザーオプション
- Orchestrator にログインする
- パスワードをリセットする
- ロボット
  - ロボットのステータス
  - ロボットの設定
- クライアントコンポーネントを自動更新する
- Orchestrator の構成チェックリスト
ベストプラクティス
- Orchestrator の組織モデリング
- 大規模なデプロイを管理する
- オートメーションのベストプラクティス
- マシンテンプレートを使用して無人インフラストラクチャを最適化する
- 無人オートメーション
  - 無人オートメーションに役立つ概念
  - 無人オートメーションの実行方法
- タグを使用してリソースを整理する
- Orchestrator の読み取り専用レプリカ
- グリッドをバックグラウンドでエクスポートする
テナント
- テナントコンテキストについて
- テナント内でリソースを検索する
- ロボット
- フォルダー
- 監視
- アクセス権とオートメーションの機能を管理する
- マシン
- パッケージ
- 監査
- 資格情報ストア
  - 資格情報ストアを管理する
  - 資格情報ストアを連携する
- Webhook
  - イベントの種類
  - Webhook を管理する
- ライセンス
  - ライセンスを管理する
- アラート
- 設定 - テナントレベル
リソースカタログサービス
- リソースカタログサービスについて
フォルダーコンテキスト
- フォルダーコンテキストについて
- ホーム
自動化
- オートメーションについて
プロセス
- プロセスについて
- プロセスを管理する
- パッケージ要件を管理する
- レコーディング
ジョブ
- ジョブについて
- ジョブを管理する
- ジョブのステート
- 長期実行のワークフローを使用する
- 個人 (リモート) オートメーションを実行する
- ジョブをトラブルシューティングする
トリガー
- トリガーについて
  - タイムトリガー
  - キュートリガー
- トリガーを管理する
  - タイムトリガーを作成する
  - キュートリガーを作成する
- 非稼働日を管理する
- cron 式を使用する
  - 月の最後の日にジョブをトリガーする
ログ
- ログについて
- Orchestrator でログを管理する
- ログレベル
- Orchestrator のログ
監視
- 監視について
- マシン
- プロセス
- キュー
- キュー SLA
キュー
- キューおよびトランザクションについて
- キューアイテムを CSV ファイルを使用して一括アップロードする
- Orchestrator でキューを管理する
- Studio でキューを管理する
- トランザクションを管理する
  - トランザクションを編集する
  - トランザクション .csv ファイルのフィールドの説明
- レビューリクエスト
アセット
- アセットについて
- Orchestrator でアセットを管理する
- Studio でアセットを管理する
- アセットを Azure Key Vault (読み取り専用) に保存する
- アセットを HashiCorp Vault (読み取り専用) に保存する
- アセットを AWS Secrets Manager (読み取り専用) に保存する
ストレージバケット
- ストレージバケットについて
  - CORS/CSP の設定
- ストレージバケットを管理する
- ストレージプロバイダー間でバケットデータを移動する
Test Suite - Orchestrator
- テストオートメーション
- テストケース
  - [テストケース] ページのフィールドの説明
- テストセット
  - [テストセット] ページのフィールドの説明
- テスト実行
  - [テスト実行] ページのフィールドの説明
- テストスケジュール
  - [テストスケジュール] ページのフィールドの説明
- テストデータのキュー
- データ保持ポリシーをテストする
その他の構成
- パッケージファイルのサイズ制限を増やす
- テナントごとに暗号化キーを設定する
- GZIP 圧縮
Integrations
- 入力および出力引数について
  - 入力および出力引数の使用例
クラシックロボット
- ロボット
- 環境 (ロボットグループ)
  - ロボットグループを管理する
- ジョブ
- トリガー
- 監視
  - ロボット
- リソース
ホストの管理
- ホストレベルについて
- システム管理者を管理する
- テナントを管理する
- ホストの認証設定を構成する
- ホストライセンスを管理する
  - テナントにライセンスを割り当てる
- システムメール通知を設定する
- その他のホストの設定を構成する
- ホストポータルの監査ログ
- メンテナンスモード
組織管理者
- 組織について
- 組織管理者を管理する
- 組織設定を管理する
- 組織の認証を構成する
  - 基本認証を許可または制限する
  - Azure AD 連携を設定する
  - SAML 連携を設定する
- 組織のセキュリティを構成する
  - セッションポリシー
  - 一連のユーザーのみにアクセスを制限する
- ライセンスについて
  - ライセンスをアクティベーションする
- アカウントとグループ
  - アクセス権を管理する
  - アカウントとグループを管理する
- 外部アプリケーションを認可する
  - 外部 OAuth アプリケーションを管理する
  - 機密アプリのきめ細かいアクセス権を設定する
- タグを管理する
- システムメールの設定を上書きする
  - メールの設定
    - システムメールが送信されない - SslHandshakeException
- 監査ログ
トラブルシューティング
- トラブルシューティングについて
- よく発生する Orchestrator エラー
- ブラウザーのグループポリシー
- cron 式

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。

Orchestrator ユーザーガイド

デリバリー:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

Last updated 2024年11月11日

Azure AD 連携を設定する

概要

組織で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、組織を Azure AD のテナントに直接接続して、UiPath® 環境の既存のユーザーアカウントを表示できます。

Azure AD との連携を使用すると、ローカルのユーザーモデルを利用し続けながら、必要に応じて Azure AD の使用によるメリットも活かして組織の能力を高めることができます。

組織で Azure AD を採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

ヒント: Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロールアウトを段階的に進めることができます。

前提条件

Azure AD との連携を設定するには、以下が必要です。

Orchestrator と Azure AD の両方の管理者権限 (Azure での管理者権限がない場合は、Azure の管理者と協力してセットアッププロセスを完了してください)。
Azure AD ユーザーと同じメールアドレスを使用する組織管理者の UiPath アカウント。Azure AD ユーザーは Azure での管理者権限は不要です。
UiPath Studio および Assistant バージョン 2020.10.3 以降。
UiPath Studio と Assistant が推奨されるデプロイを使用している。
以前にローカルユーザーアカウントを使用した場合は、すべての Azure AD ユーザーのメールアドレスが Mail フィールドにあることを確認してください。メールアドレスが User Principle Name (UPN) フィールドに入力されているだけでは不十分です。Azure AD との連携では、メールアドレスが一致する場合、ディレクトリユーザーアカウントをローカルユーザーアカウントにリンクします。これにより、ユーザーはローカルユーザーアカウントでのサインインから Azure AD ディレクトリユーザーアカウントに移行するときに、権限を保持できます。

メモ： UiPath は、Azure Active Directory との連携に関して OIDC プロトコルに従います。ただし、この連携では、Microsoft のアクセストークンのドキュメントに記載されているように、専用 URL で appid クエリパラメーターを要求することによるアプリケーションのカスタムキーの使用はサポートされていません。

連携が可能になるよう Azure を設定する

組織では、AD メンバーを参照してアカウント ID を確立できるようにするために、Azure AD のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で組織を Azure AD のテナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。

注:

このセクションのタスクを実行するには、 Azure の管理者 である必要があります。次の Azure 管理者ロールには、必要な特権があります: グローバル管理者、クラウドアプリケーション管理者、またはアプリケーション管理者。

連携のために Azure テナントを設定する方法は 2 通りあります。

下記の手順を実行して、連携のためにアプリケーションの登録を手動で設定します。
この作業のために UiPath が作成した Azure AD のスクリプト (GitHub から入手可能) を使用します。このconfigAzureADconnection.ps1 スクリプトは、このセクションで説明するすべての操作を実行して、アプリケーションの登録に必要な詳細情報を返します。その後、testAzureADappRegistration.ps1 スクリプトを実行して、アプリケーションの登録が成功したことを確認できます。

Azure テナントを手動で設定するには、Azure Portal で以下の手順を実行します。

Orchestrator のアプリケーションの登録を作成します。詳細については、アプリケーションの登録に関する Microsoft のドキュメントをご覧ください。

登録時には [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI] を https://{yourDomain}/identity/signin-oidc に設定します。

注: 組織の登録済みアプリケーションがある場合は、新しく作成する必要はありませんが、上記の説明のとおりに設定されていることを確認してください。
アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID] と [ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。
アプリケーションの [認証] ページに移動します。
1. [リダイレクト URI] 下部の [URI の追加] をクリックして、新しいエントリを追加します。
2. [リダイレクト URI] のリストに https://{yourDomain}/portal/testconnection を追加します。
3. 下部の [ID トークン] チェックボックスを選択します。
4. [保存] をクリックします。
[トークン構成] ページに移動します。
[省略可能な要求を追加] を選択します。
[トークンの種類] として [ID] を選択します。
[family_name]、[ given_name]、[upn] のチェックボックスをオンにして、任意の要求として追加します。
[API のアクセス許可] ページに移動します。

[アクセス許可の追加] をクリックして、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。

OpenId 権限 - email、openid、offline_access、profile
グループメンバー権限 - GroupMember.Read.All
ユーザー権限 - User.Read、User.ReadBasic.All、User.Read.All (管理者の同意が必要)

アクセス許可	許可される操作	ユーザーが実行する操作
`email`、`openid`、`profile`、`offline_access`、`User.Read`	AAD がシステムアプリケーションにユーザートークンを発行できるようにします。	ユーザーが AAD ログインを使用してシステムにログインできるようにします。これにより、ユーザーオブジェクトを最新の状態に保ち、属性の一貫性を確保できます。
`User.ReadBasic.All`	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザーの基本プロパティを読み取ります。	ユーザーがディレクトリ内の他のユーザーにリソースへのアクセス許可を割り当てると、ユーザーがリソースを検索できます。アクセス管理/承認の機能は、システムのユーザーエクスペリエンスにあります。
`User.Read.All` (管理者の同意が必要)	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザープロパティを読み取れるようにします。	管理者は、これらの追加のユーザープロパティをインポートして、アクセス許可を設定したり、システムサービス内のカスタム情報を表示したりできます。AAD から属性の完全なセットを取得しようとしている Automation Hub ユーザーは、アプリに `User.Read.All` の権限を付与する必要があります。
`GroupMember.Read.All`	サインインしているユーザーがアクセスできるすべてのユーザーのグループメンバーシップを読み取ります。	組織がグループを使用してシステム内のアクセス許可を管理している場合、プラットフォームはすべてのグループを一覧表示し、グループのメンバーを検出できる必要があります。これにより、グループに割り当てられたアクセス許可の管理と適用の両方が可能になります。

[管理者の同意を与えます] チェックボックスを選択します。

手記：テナントの Active Directory のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーが同意を求められることはありません。権限と同意の詳細については、Microsoft の Azure AD ドキュメントをご覧ください。
[証明書とシークレット] のページに移動します。
新しいクライアントシークレットを作成します。詳細については、新しいクライアントシークレットの追加に関する Microsoft のドキュメントをご覧ください。

注: 作成したクライアントシークレットは永続的ではありません。有効期間を過ぎたら更新する必要があります。
クライアントシークレットの [値] をコピーして、後で使用するために保存しておきます。
組織管理者が設定を進められるように、ディレクトリ (テナント) ID、アプリケーション (クライアント) ID、クライアントシークレットの値を共有します。

Orchestrator に連携をデプロイする

Azure のセットアップが完了したら、統合の準備、アクティブ化、古いアカウントのクリーンアップを行うことができます。プロセスは段階ごとに分割され、ユーザーに影響が及ぶことはありません。

権限: このセクションの作業を実行するには、Orchestrator の管理者である必要があります。

非アクティブユーザーをクリーンアップする

連携をアクティブ化して Orchestrator を Azure AD に接続すると、メールアドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath のアカウントと同じ権限が付与されます。

重要: アカウントのリンクが適切に行われるように、すべての Azure AD ユーザーのメールアドレスが Azure の [メール] フィールドにあることを確認してください。メールアドレスが [User Principle Name (UPN)] フィールドに入力されているだけでは不十分です。

組織でメールアドレスを再利用する習慣がある場合、つまり、過去に使用されていたメールアドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。

かつて、メールアドレスが john.doe@example.com である従業員がいたとします。この従業員は UiPath のアカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメールアドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。

同じジョン・ドウという名前の新しい従業員が入社した場合、同じメールアドレス john.doe@example.com が割り当てられます。このような場合、ジョン・ドウは組織管理者の権限も継承します。

こうした状況が発生するのを防ぐため、次の手順に進む前に、アクティブでなくなったユーザーが Orchestrator からすべて削除されていることを確認してください。非アクティブなメールアドレスを組織で再利用しない場合は、以下の手順を省略できます。

Azure AD との連携をアクティブ化する

注:

はじめる前に

Azure の設定が完了していることを確認します。
Azure の管理者から、Azure での Orchestrator アプリの登録に必要な、ディレクトリ (テナント) ID 、アプリケーション (クライアント) ID 、クライアントシークレットの値を入手します。

Azure AD 連携をアクティブ化するには、Orchestrator で以下の手順に従います

管理ポータルに管理者としてログインして、[セキュリティ設定] に移動します。
[ セキュリティ ] を選択して、セキュリティ設定を開きます。
[ 認証設定 ] タブで、[ SSO を構成] を選択します。
SSO 構成パネルから [ Azure Active Directory ] を選択します。
Azure 管理者から提供された情報をフィールドに入力します。
[ I understand & accept added users] チェックボックスをオンにすると、メールアドレスが一致する Azure AD ユーザーのアカウントがリンクされます。 変更を保存すると、対応するアカウントが自動的にリンクされます。
[ テスト接続 ] を選択して、連携が正しく設定されていることを確認します。
プロンプトが表示されたら、Azure AD のアカウントでサインインします。
サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
[ 保存 ] を選択して、組織の連携をアクティブ化します。
サインアウトします。
組織の URL ( https://{yourDomain}/orgID/) に移動し、Azure AD のアカウントを使用してサインインします。

リンク先のテナントの Azure AD を使用して、ユーザーとグループを操作します。ディレクトリアカウントとグループは、管理ポータルの [ ユーザー ] ページまたは [ グループ ] ページに表示されません。それらを見つけるには、検索機能を使用します。

Azure AD との連携をテストする

Orchestrator からの連携が機能していることを確認するには、Azure AD アカウントで組織管理者としてサインインし、管理ポータルの[グループを編集] パネル ([管理] > [ アカウントとグループ] >> [ 編集] ) など、この機能がある任意のページで Azure AD のユーザーやグループ を検索してみてください。

Azure AD で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。
ユーザーの検索を試して、下の図の例のようなエラーが発生した場合は、Azure での設定に何らかの問題があります。Azure の管理者に連絡して、このページの上部の「連携が可能になるよう Azure を設定する」の説明に従って Azure が設定されているかどうかの確認を依頼してください。

ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

Azure AD への移行を完了する

連携をアクティブ化したら、このセクションの手順に従って、作成したユーザーと割り当てられたグループが Azure AD に移行されていることを確認するようお勧めします。この方法により、既存の ID とアクセス管理インフラストラクチャを基盤として、Orchestrator 組織のリソースに対する、より簡単なガバナンスとアクセス管理制御を実現できます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に Orchestrator やその他のサービスに設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを Orchestrator で割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Orchestrator の既存のユーザーグループを Azure AD の新規または既存のグループにマップできます。その方法は、Azure AD でのグループの使用方法に応じていくつかあります。

Orchestrator 内で同じロールを持つユーザーが Azure AD の同じグループに既に存在する場合、Organization Administrator は、これらのユーザーが属していた Orchestrator ユーザーグループに、これらの Azure AD グループを追加できます。これによって、それらのユーザーが確実に同じ権限とロボットの設定を持つようになります。
それ以外の場合は、Azure の管理者が Orchestrator のグループに対応するグループを Azure AD 内に新たに作成して、Orchestrator のユーザーグループと同じユーザーを追加します。その後、Organization Administrator が新しい Azure AD グループを既存のユーザーグループに追加すると、同じユーザーが確実に同じロールを持つようになります。

すべての場合において、ユーザーに具体的に割り当てられているロールを確認してください。可能な場合は、これらのロールの直接割り当てを削除し、これらのロールが既に割り当てられているグループにこれらのユーザーを追加します。

たとえば、Orchestrator の Administrators グループに、ユーザー Anna、Tom、John が属しているとします。これらの同じユーザーは、 admins という名前の Azure AD のグループにも属しています。 Organization Administrator は、Azure グループ admins を Orchestrator の Administrators グループに追加できます。これにより、Anna、Tom、John は、Azure AD グループ admins のメンバーとして Orchestrator の Administrators グループのロールのすべての機能を利用できるようになります。

admins は Administrators グループの一部になったため、新しい管理者のオンボードが必要になった場合、Azure 管理者はその新しいユーザーを Azure の admins グループに追加できます。そのため、Orchestrator での変更は一切なしで、Orchestrator での管理権限をユーザーに付与できます。

Azure AD のグループ割り当ての変更は、ユーザーが Azure AD のアカウントでログインしたときに Orchestrator に適用されます。既にログイン済みだった場合は、1 時間以内に適用されます。

既存のユーザーを移行する

Azure AD のユーザーとグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回サインインする必要があります。連携の実行後は、すべてのユーザーに連絡して、UiPath アカウントからサインアウトし、Azure AD アカウントで再度サインインするよう促すことをお勧めします。次の方法で、Azure AD アカウントでサインインできます。

組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。
メインログインページで [Enterprise SSO] を選択します。

移行されたユーザーは、直接割り当てられた権限、または Azure AD のグループから継承された権限、あるいはその両方を使用できます。

ユーザー向けに Studio と Assistant を設定する: これらの製品を Azure AD のアカウントに接続できるように設定するには、以下の手順を実行します。

Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
[サインアウト] をクリックします。
接続の種類として [サービス URL] を選択します。
[サービス URL] フィールドに組織固有の URL を入力します。例: https://orchestrator.mydomain.local/
Azure AD のアカウントに再度サインインします。

ローカルアカウントの使用を中止する (任意)

必須ではありませんが、Orchestrator と Azure AD 間の完全な連携がもたらすコアコンプライアンスと効率のメリットを最大限に活かすために、ローカルアカウントの使用は中止することをお勧めします。

すべてのユーザーの移行が完了したら、[ユーザー] タブより、個人のローカルアカウントを使用しているユーザーを削除し、今後 UiPath アカウントではサインインできないようにします。そのようなアカウントにはアイコンが表示されます。

重要:

管理者以外のアカウントのみを削除します。後から認証設定を変更できるようにするには、少なくとも 1 つの組織管理者のローカルアカウントを保持しておくことをお勧めします。

Orchestrator サービスなどの UiPath サービス内の権限を個別にクリーンアップしたり、Orchestrator グループからユーザーを個別に削除したりして、権限が Azure AD のグループメンバーシップだけに基づいて付与されるようにすることもできます。

高度な機能

これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。

Orchestrator へのアクセスを制限する

Azure AD との連携は Azure テナントのレベルで実行されるため、既定ではすべての Azure AD ユーザーが Orchestrator 組織にアクセスできます。Azure AD ユーザーが Orchestrator に初めてサインインすると、そのユーザーは Orchestrator グループ Everyone に自動的に属し、ユーザーの組織レベルのロールが付与されます。

特定のユーザーにのみ Orchestrator 組織へのアクセスを許可する場合、Azure での Orchestrator アプリの登録時のユーザーの割り当てをアクティブ化できます。これによって、ユーザーはアプリ (Orchestrator) に明示的に割り当てられないと、そのアプリにアクセスできなくなります。手順については、Azure AD ドキュメントのこちらのページをご覧ください。

アクセスを信頼できるネットワークまたはデバイスのみに制限する

ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ Orchestrator にアクセスできるようにする場合は、Azure AD の条件付きアクセス機能を使用できます。

Azure AD の Orchestrator グループのガバナンス

上記の「権限とロボット用にグループを設定する」セクションで説明したように、Azure AD にグループを作成して、Azure AD から直接簡単に Orchestrator のオンボードを行えるようにした場合、これらのグループに対する Privileged Identity Management (PIM) の高度なセキュリティオプションを使用して、Orchestrator グループへのアクセス要求を制御できます。