Question
Automation Cloudの認証モデルについて、Microsoft Entra ID(旧称Azure Active Directory)にSSO認証でログインできるユーザーは以下3つのオプションを利用できます。
- ローカル アカウント モデル (招待ベース)
- ディレクトリ アカウント モデル
2-A. Azure Active Directory
2-B. SAML 2.0
UiPath利用上の違いを教えてください。
Answer
認証モデルの違いをご説明します。
1. ローカルユーザーアカウント
ローカルユーザーアカウントとは、Automation Cloud > 管理 > アカウントとローカルグループ画面にて「ユーザーを招待」ボタンからメールアドレスを追加したユーザーアカウントのことです。
最もシンプルな管理方法で、ユーザー数が少ない場合にお勧めです。
ローカルユーザーは、以下の方法でAutomation Cloudにログインできます。
- 基本認証:メールアドレスとパスワードでログインする
- SSO認証
- Googleで続行
- Microsoftで続行
- LinkedInで続行
2. ディレクトリユーザーアカウント
ディレクトリユーザーアカウントとは、UiPath Automation Cloud以外のIDプロバイダーにメールアドレス含む情報を登録しておき、そのIDプロバイダーをAutomation Cloudと連携することで、Automation Cloudにはメールアドレスを登録することなくAutomation Cloudを利用できるユーザーアカウントのことです。
ユーザーの増減があるときなどに、自動で反映されるため管理が楽になります。
権限のないディレクトリユーザーはAutomation Cloud内の各サービスを利用できないよう、「Everyone」グループからは全ての権限を削除しておくことを推奨します。
ディレクトリユーザーは、UiPath アカウントへサインイン画面の「SSOで続行」からログインできます。
Automation Cloudとディレクトリアカウントの連携方法は2種類あります。
2-A. ディレクトリアカウントの連携方法1:Azure Active Directory
Microsoft Entra ID(旧称Azure Active Directory)でのみ利用できる連携方法です。
Automation Cloudでディレクトリグループに対して権限設定しておくことで、そのディレクトリグループに所属するディレクトリユーザーはログインできるようになり、ディレクトリグループから権限を継承します。
Microsoft Entra IDを利用している場合にお勧めです。
2-B. ディレクトリアカウントの連携方法2:SAML 2.0
SAML連携に対応したサードパーティーのIDプロバイダー(Microsoft Entra ID含む)と連携できます。
SAMLを利用する場合はディレクトリグループをAutomation Cloudで利用することはできず、ディレクトリユーザーのみをAutomation Cloudに連携できます。
プロビジョニング ルールを設定しておくことで、ディレクトリユーザーがログイン時に、指定したローカルグループにディレクトリユーザーを自動割り当てできます。
手順:Automation Cloud - SAML 連携を設定する
指定するローカルグループに対して権限設定しておくことで、そのローカルグループに割り当てられたディレクトリユーザーが権限を継承します。
Automation Cloudの各認証モデルについて、以下ガイドにも説明がありますのでご参照ください。