- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- Test Cloud の認証モデル
- Test Cloud (公共部門向け) の認証モデル
- Test Cloud (専有型) の認証モデル
- 基本認証を許可または制限する
- ローカル ユーザーのパスワードの複雑さの要件
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- 組織でのテスト
- トラブルシューティング
- Test Cloud に移行する
Test Cloud 管理ガイド
Test Cloud (専有型) の認証モデル
これらの認証モデルは Test Cloud (専有型) にのみ適用されます。
ローカル アカウント モデル
ローカル ユーザー アカウントは各ユーザーのアカウントを表し、UiPath の内部アカウントです。このモデルでは、組織管理者が新しいユーザーを組織に追加します。UiPath 内のユーザー管理を完全に制御する必要がある場合に適しています。
UiPath では、SSO 設定はホスト レベルと組織レベルの両方で実装可能な規定です。
ホスト レベルでの SSO 設定は、ホストに関連付けられているすべての組織で使用されます。つまり、このレベルで調整した SSO 設定は、ホストの傘下にある各組織に適用されます。
ホスト レベルで管理できる SSO 設定には、基本サインイン、Microsoft Entra ID SSO、SAML SSO があります。基本サインインなどの特定の設定は、組織レベルで上書きできます。
このモデルは、ディレクトリ アカウント モデルに対応しています。
ディレクトリ アカウント モデル
ディレクトリ アカウント モデルは、UiPath Platform と連携するサードパーティ ディレクトリに依存します。 これにより、会社で確立された ID スキーマを再利用できます。 ディレクトリ アカウントは UiPath Platform の外部のディレクトリ内で作成・管理されます。これらは UiPath Platform で参照先としてのみ利用され、ID として使用されます。
UiPath では、ディレクトリ連携モデルはホスト レベルと組織レベルの両方で構成できます。
- ホスト レベルでは、ディレクトリ連携オプションには SAML 2.0 と Active Directory があります。これらの設定は、ホストの下にあるすべての組織に一貫して適用されます。
- 組織レベルでは、UiPath では、組織管理者が SAML 2.0 と Microsoft Entra ID の連携を使用してホスト レベルの設定を上書きできます。
Active Directory は、認証とアクセス管理ポリシーの連携を図る上で、ほとんどの企業において不可欠です。 ディレクトリ連携を設定すると、お使いの ID プロバイダーがユーザー ID の信頼できる唯一の情報源として機能します。
UiPath のディレクトリ モデルでは、ホスト レベルと組織レベルの両方で設定を行えるようにすることで、一貫性と柔軟性のバランスを効果的に確保できます。 これにより、ホスト全体で統一されたディレクトリ統合サービスを使用することができ、必要に応じて組織レベルでカスタム設定を提供できます。
認証レベルと継承
組織の ID プロバイダーの選択は、ユーザーのサインイン方法、およびユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。Test Cloud では、管理者は認証および関連するセキュリティの設定を選択して、全組織を対象として一度にグローバル (ホスト レベル) にするか、組織ごとに選択することができます。
- グローバル認証設定 (ホスト レベル): システム管理者は、ホスト レベルで、インストールの認証設定および関連する既定のセキュリティ設定を選択できます。これをホストの認証とセキュリティの設定と呼び、既定ですべての組織に継承されます。ホストの認証とセキュリティの設定を構成する方法について詳しくは、こちらをご覧ください。
- 組織レベルの認証設定: 組織管理者は、組織の認証設定および関連するセキュリティ設定を選択できます。一部の設定はホスト レベルから継承されますが、組織に別の設定を適用する必要がある場合は上書きできます。組織レベルの認証とセキュリティの設定を構成する方法について説明します。
以下の表では、すべての組織について一度に、または各組織のホスト レベルの認証および関連するセキュリティ設定について説明します。
| 認証設定 | Microsoft Entra ID のホスト レベル | Microsoft Entra ID 組織レベル | SAML ホスト レベル | SAML 組織レベル |
|---|---|---|---|---|
| シングル サインオン | はい | はい | はい | はい |
| Just-In-Time ユーザーの自動プロビジョニング | いいえ | はい | いいえ | はい |
| Just-In-Time 要求ベースの自動プロビジョニング規則 | いいえ | いいえ | いいえ | はい |
| ユーザーとグループを検索するためのディレクトリ連携 | いいえ | はい | いいえ | いいえ |
認証のグローバル設定 (ホスト レベル)
ユーザーのサインイン方法を管理するために外部 ID プロバイダーを設定できます。これらの設定は、すべての組織に適用されます。
以下の表は、ホストレベルで使用可能な各種外部プロバイダーについての概要を示したものです。
| 連携する外部プロバイダー | 認証 | ディレクトリ検索 | 管理者のプロビジョニング |
|---|---|---|---|
| Microsoft Entra ID | 管理者は、OpenID Connect プロトコルを用いた Microsoft Entra ID による SSO を使用できます。 | サポート対象外 | ユーザーは、Microsoft Entra ID アカウントと同一のメール アドレスを使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
| SAML 2.0 | ユーザーは SAML に対応した任意の ID プロバイダーによる SSO を使用できます。 | サポート対象外 | ユーザーは、SAML アカウントと同一のユーザー名/メール/外部プロバイダー キー (外部 ID プロバイダーの設定で構成されたとおりに) を使用して、UiPath 組織内に手動でプロビジョニングする必要があります。 |
Microsoft Entra ID のホスト レベル連携と組織レベル連携の違い: ホスト レベルの機能では、SSO 機能のみ使用できます。組織レベルの Microsoft Entra ID 連携の場合は、SSO、ディレクトリ検索、ユーザーの自動プロビジョニングを使用できます。
組織の認証
Microsoft Entra ID モデル
Microsoft Entra ID との統合により、組織のスケーラブルなユーザーおよびアクセス管理が提供され、従業員が使用するすべての内部アプリケーション全体でコンプライアンスを確保できます。組織で Microsoft Entra ID または Office 365 を使用している場合は、Microsoft Entra ID テナントに直接接続できるため、以下の機能を使用できます。
ユーザーの自動オンボードとシームレスな移行
- Microsoft Entra ID のすべてのユーザーとグループは、任意のサービスがアクセス許可を割り当てるときにすぐに使用できます。組織のディレクトリで Microsoft Entra ID ユーザーを招待したり管理したりする必要はありません。
- 企業のユーザー名がメール アドレスと異なるユーザーに SSO を提供できますが、これは招待モデルでは不可能です。
- UiPath® のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Microsoft Entra ID アカウントに自動的に移行されます。
サインインの簡素化
- ユーザーは、既定のモデルのように組織にアクセスするために招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Microsoft Entra ID のアカウントでサインインできます。ユーザーがすでに Microsoft Entra ID または Office 365 にサインインしている場合は、自動的にサインインされます。
- UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの組織 URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。
既存の Microsoft Entra ID グループを使用したスケーラブルなガバナンスとアクセス管理
- Microsoft Entra ID のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとにサービス内の権限を設定する必要がなくなります。
- 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの UiPath グループに統合できます。
- UiPath アクセスの監査は簡単です。Microsoft Entra ID グループを使用してすべての Orchestrator サービスで権限を設定したら、Microsoft Entra ID グループ メンバーシップに関連付けられている既存の検証プロセスを利用します。
注:
Microsoft Entra ID モデルを使用している間は、引き続き既定のモデルのすべての機能を使用できます。ただし、メリットを最大限に活かすには、Microsoft Entra ID による一元化されたアカウント管理のみを使用することをお勧めします。
組織の ID プロバイダーとして Microsoft Entra ID を使用する場合は、「 Microsoft Entra ID 連携を設定する」の手順に従ってください。
SAML モデル
このモデルでは、選択した ID プロバイダー (IdP) に接続できるため、以下の操作を実行できます。
- ユーザーはSSOと
- ID を再作成することなく、組織内のディレクトリから既存のアカウントを管理できます。
UiPath 製品は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できるため、次のようなメリットがあります。
ユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限でサインインすることが許可されます。つまり、次のようになります。
- ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で組織にサインインできます。
- それらのユーザーは、追加の設定なしに、既定で組織にアクセスできます。組織を利用できるようにするには、ユーザーのロールに適したロールとライセンスが必要です。
ユーザーの管理
ユーザーは、グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [管理 ] > [組織] > [アカウントとグループ ] > [ユーザー ] タブでローカル アカウントを管理します。ですが、SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、すべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。
属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Test Cloud に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門はすでに入力されています。
セットアップ
管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
Microsoft Entra ID 連携から SAML 連携に移行する
SAML 連携に切り替えると、Microsoft Entra ID 連携は無効化されます。Microsoft Entra ID グループの割り当ては適用されなくなるため、Microsoft Entra ID から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。