通知を受け取る

UiPath Orchestrator

UiPath Orchestrator ガイド

認証とセキュリティを上書きする

管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。

ID プロバイダーを設定する

組織の ID プロバイダーの選択 ([管理] > [ユーザーとグループ] > [認証設定]) は、ユーザーのサインイン方法、および Orchestrator でのユーザー アカウントとグループ アカウントの作成および管理方法に影響を及ぼします。

モデル

Azure Active Directory モデル

Azure Active Directory (Azure AD) との連携により、組織のユーザーやアクセスの管理における拡張性がもたらされ、従業員が使用するすべての社内アプリケーションでコンプライアンスを確保できるようになります。組織が Azure AD または Office 365 を使用している場合は、Orchestrator の組織を Azure AD のテナントに直接接続できるため、以下の機能を使用できます。

ユーザーの自動オンボードとシームレスな移行

  • Orchestrator サービスの権限を割り当てるときに、Azure AD のすべてのユーザーとグループをそのまま使用できます。Orchestrator の組織ディレクトリで Azure AD ユーザーを招待したり管理したりする必要はありません。
  • 社内のユーザー名がメール アドレスとは異なるユーザーでもシングル サインオンが可能です。これは、招待モデルでは不可能なことです。
  • UiPath のユーザー アカウントを持つすべての既存ユーザーの権限は、接続先の Azure AD アカウントに自動的に移行されます。

サインインの簡素化

  • ユーザーは Orchestrator の組織にアクセスするために、既定のモデルのように招待を受諾したり UiPath のユーザー アカウントを作成したりする必要がありません。Enterprise SSO オプションを選択するか、組織固有の URL を使用することで、Azure AD のアカウントでサインインできます。
    ユーザーが既に Azure AD または Office 365 にサインインしている場合は、Automation Cloud にも自動的にサインインされます。
  • UiPath Assistant と Studio のバージョン 20.10.3 以降では、カスタムの Orchestrator URL を使用するよう事前に設定しておくことで、同様のシームレスな接続が可能となります。

既存の Azure AD グループによるスケーラブルなガバナンスとアクセス管理

  • Azure AD のセキュリティ グループまたは Office 365 のグループ (すなわち、ディレクトリ グループ) を使用することで、大規模な権限管理に既存の組織構造を活用できます。それにより、ユーザーごとに Orchestrator サービス内の権限を設定する必要がなくなります。
  • 複数のディレクトリ グループをまとめて管理する必要がある場合は、それらを 1 つの Orchestrator グループに統合できます。
  • Orchestrator のアクセスの監査は簡単です。すべての Orchestrator サービスの権限を Azure AD グループを使用して設定した後は、Azure AD グループ メンバーシップに関連付けられた、既存の検証プロセスを使用できるようになります。

📘

注:

Azure AD モデルに移行しても、既定のモデルの機能をすべて引き続き使用できます。ただし、そのメリットを最大限に活かすために、Azure AD による一元化されたアカウント管理のみを使用することをお勧めします。

If you would like to use Azure Active Directory as the identity provider for your organization, follow the instructions in Setting up the Azure AD integration.

SAML モデル

このモデルでは、選択した ID プロバイダー (IdP) に Orchestrator を接続できるため、以下が可能になります。

  • ユーザーはシングル サインオン (SSO) を利用できます。
  • ID を再作成することなく、Orchestrator でディレクトリから既存のアカウントを管理できます。

Orchestrator は、SAML 2.0 標準を使用する任意の外部 ID プロバイダーに接続できます。

メリット

Orchestrator へのユーザーの自動オンボーディング
SAML 連携がアクティブな場合、外部 ID プロバイダーのすべてのユーザーは、基本権限で Orchestrator にサインインすることが許可されます。つまり、次のようになります。

  • ユーザーは、IdP で定義された既存の企業アカウントを使用して、SSO で Orchestrator 組織にサインインできます。
  • それらのユーザーは、追加の設定なしに、既定で Orchestrator にアクセスできます。Orchestrator を使用するには、ユーザーのロールに適したロールとライセンスが必要です。

アクセスを一部のユーザーのみに制限する必要がある場合は、ID プロバイダーで Orchestrator へのアクセスを許可するユーザーのセットを定義できます。

ユーザーの管理
ユーザーは、Orchestrator グループに直接割り当てることで追加できます。それには、ユーザーをグループに追加するときに、ユーザーのメール アドレスを入力します。
通常、管理者は [管理] > [組織] > [アカウントとグループ] > [ユーザー] タブでローカル アカウントを管理します。ですが、Orchestrator では SAML ユーザーはディレクトリ アカウントであるため、このページには表示されません。
ユーザーがグループに追加されるか、1 回でもサインインすると (自動的に Everyone グループに追加されます)、Orchestrator のすべてのサービスで、ユーザーを検索してロールまたはライセンスを直接割り当てられるようになります。

属性マッピング
UiPath Automation Hub を使用する場合は、カスタム属性マッピングを定義して、ID プロバイダーの属性を Orchestrator に反映できます。たとえば、アカウントが Automation Hub に初めて追加されたときに、ユーザーの姓、名、メール アドレス、役職、部門は既に入力されています。

686

セットアップ

管理者は、[管理] > [セキュリティ設定] > [認証設定] で、組織全体に対して SAML 連携を設定し、有効化できます。
For instructions, see Configuring the SAML integration.

Azure AD 連携から SAML 連携へ移行する

SAML 連携に切り替えると、Azure AD 連携は無効化されます。Azure AD グループの割り当ては適用されなくなるため、Azure AD から継承された Orchestrator グループ メンバーシップと権限は考慮されなくなります。

 

基本認証を許可または制限する

Basic authentication refers to signing in with the username and password of a local account.

基本認証が制限されている場合、外部 ID プロバイダーで定義されているように、ユーザーはディレクトリ アカウントでのみログインできます。制限されていない場合、ユーザーはローカル アカウント (ある場合) とディレクトリ アカウントの両方でログインできます。

Also see Configuration levels and inheritance for more information about this setting.

組織レベルで基本認証を設定する

This setting is only available if an external provider integration is enabled at the host or organization level.

組織レベルで設定した場合、その設定が組織内のすべてのアカウントに適用されます。
例外として、基本認証をアカウント レベルで設定し、この設定を異なる方法で適用することもできます。

組織に対して基本認証を許可または制限するには、以下の手順を実行します。

  1. https://<server>/identity/management で、組織レベルの管理ポータルに管理者としてログインします。
  2. [セキュリティ設定] に移動します。
  3. [外部プロバイダー][組織の基本認証を無効化] トグルをクリックして、基本認証を使用するサインインを制限または許可します。
    • オフにした場合 (左のトグル位置、灰色のトグル)、基本認証は許可されます。
    • オンにした場合 (右のトグル位置、青色のトグル)、基本認証は制限されます。制限されている間は、[ホスト管理者の基本認証を許可] トグルを利用できます。
  4. [外部プロバイダー] セクションの右下にある [保存] をクリックして、変更を適用します。

 

セキュリティ オプションを設定する

組織のセキュリティ オプションを設定するには、[管理者] > [アカウントとグループ] > [認証設定] に移動し、必要に応じてオプションを編集します。

パスワードの複雑さ

📘

[パスワードの複雑さ] の設定を編集しても既存のパスワードには影響しません。

FieldDescription
Special charactersSelect to force users to include at least one special character in their password.
By default, this checkbox is not selected.
Lowercase charactersSelect to force users to include at least one lowercase character in their password.
By default, this checkbox is selected.
Uppercase charactersSelect to force users to include at least one uppercase character in their password.
By default, this checkbox is not selected.
DigitsSelect to force users to include at least one digit in their password.
By default, this checkbox is selected.
Minimum password lengthSpecify the minimum number of characters a password should contain.
By default, it is 8. The length cannot be smaller than 1 or greater than 256 characters.
Days before password expirationSpecify the number of days for which the password is available. After this period, the password expires and needs to be changed.
The minimum accepted value is 0 (the password never expires), and the maximum is 1000 days.
Number of times a password can be reusedThe minimum accepted value is 0 (never allow reusing a password), while the maximum is 10.
Change password on the first loginIf set to Required, users that log in for the first time must change their password before being allowed to access Orchestrator.
If set to Not required, users can log in and continue to use the admin-defined password until it expires.

アカウント ロック

FieldDescription
Enabled or Disabled toggleIf enabled, locks the account for a specific amount of seconds after a specific amount of failed login attempts. This also applies to the password change feature.
Account lockout durationThe number of seconds a user needs to wait before being allowed to log in again after exceeding the Consecutive login attempts before lockout.
The default value is 5 minutes. The minimum accepted value is 0 (no lockout duration), and the maximum is 2592000 (1 month).
Consecutive login attempts before lockoutThe number of failed login attempts allowed before the account is locked.
The default value is 10 attempts. You can set a value between 2 and 10.

約 1 か月前に更新

認証とセキュリティを上書きする

管理者は、組織の認証および関連するセキュリティの設定を選択できます。一部の設定はホスト レベルから継承されますが、異なる設定を組織に適用する必要がある場合は、それらを上書きできます。

改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。