Active Directory のロール マッピングの作成

ユーザーを作成すると、Active Directory のセキュリティ グループに割り当てられているロールが自動的に継承されます。 ユーザーのログイン プロセスまたは背後プロセスでユーザーとロールを同期させる前に、マッピングを作成してください。

前提条件

このタスクを完了するには、 AAE_Admin ロールが割り当てられている必要があります。 管理者として Control Room にログインしていることを確認します。
注: Automation 360 は、すべての権限をデフォルトでなく、編集可能にすることでカスタムロールの作成をサポートします。 ただし、バージョン v30 より前のリリースでは、AAE_Admin のようなシステム作成ロールが必須です。 詳細については、[システムによって作成されるロール]を参照してください。
注: Active Directory の統合は、オンプレミス のデプロイでサポートされています。
ロール マッピングを作成するには、管理者として以下の情報を入力する必要があります。
  • 一意のマッピング名。
  • セキュリティ グループの資格情報の取得元となる対象ドメイン (詳細は「um.properties」を参照してください)。
注: 膨大なユーザー リストをインポートしなくても済むように、Control Room にアクセスするユーザーのみを含む特定のセキュリティ グループを AD 側で作成しておくことをお勧めします。

1 つまたは複数の AD セキュリティ グループを 1 つ以上の Control Room ロールにマッピングします。 Active Directory セキュリティ グループで使用するロールを作成します。 Control Room で利用可能なデフォルトのロールを使用することもできます。

異なるドメインのユーザーがドメイン内のセキュリティグループに属し、Control Room でロールマッピングが作成されると、そのグループ内のすべてのユーザーが同期されます。 例えば、mydomain.com ドメインの mysecuritygroup にいるユーザー、例えば user1@mydomain.comuser2@india.mydomain.com は、Control Room に同期されます。
注: AAE_Admin ロールを使用しないことをお勧めします。

手順

  1. Control Room にログインします。
  2. [管理] > [ロール] の順に移動します。
  3. [Active Directory ロール マッピング] をクリックします。
  4. [ロールマッピングを作成] をクリックします。
  5. [名前] を入力します。
  6. Active Directory アクティブ ディレクトリ ドメイン のドロップダウンをクリックし、利用可能なドメインを選択します。
  7. Active Directory セキュリティ グループ フィールドを使用して、グループを検索します。
    たとえば、Certified Publishers という名前のグループがある場合は、Certified を検索します。 名前に Certified が含まれるすべてのグループが GROUPS に一覧表示されます。
  8. ユーザーをインポートする または ユーザーをインポートしない を選択します。
    オプション結果
    ユーザーをインポート Control Room で、選択したセキュリティ グループに割り当てられているすべてのユーザーが作成され、マッピングされているロールとライセンスが割り当てられます。 Control Room にすでにユーザーが存在する場合は、マッピングから最新のロールとライセンスに更新されます。

    同期プロセスが有効でトリガーされた場合、既存の Control Room ユーザーにはマッピングから更新されたロールとライセンスが適用されます。

    Active Directory 側のセキュリティ グループに新しいユーザーが追加された場合、そのユーザーが Control Room で作成されます。

    セキュリティ グループから削除されたユーザーがいる場合、そのユーザーは Control Room から削除されます。
    ユーザーをインポートしない
    ロール マッピングが作成された後で、Control Room にユーザーは作成されません。 このマッピングは、このデプロイで次のように使用されます。
    • ユーザー作成設定 ページで新しいユーザーを作成する際、ユーザーのセキュリティ グループのいずれかが既存のロール マッピングにマッピングされている場合、新しいユーザーには自動的にロールが割り当てられます。
    • 同期プロセスが有効でトリガーされた場合、セキュリティ グループがロール マッピングにマッピングされている既存の Control Room ユーザーは、ロールの割り当てが更新されます。

    複数のセキュリティ グループに対して複数の Active Directory (AD) ロール マッピングを作成すると、マッピングで使用されるロールは、セキュリティ グループに所属するユーザーに対して結合されます。

    次の例を考えてみましょう。
    • AD マッピング 1 = ロール Y - グループ Y - ユーザー A、ユーザー B、ユーザー C
    • AD マッピング 2 = ロール Z - グループ Z - ユーザー A、ユーザー D、ユーザー E
    ユーザー A は Active Directory 内のグループ Y と Z の両方に所属しています。 ユーザー A は Automation 360 に作成され、ロール Y とロール Z が割り当てられます。AD マッピング 2 を削除すると、ユーザー A のロール Z が削除されます。ただし、ユーザー A は、引き続きロール Y を使用します。
    注: マッピングを作成し、ユーザーをインポートする から ユーザーをインポートしない オプションに切り替えた後、以前に割り当てられたライセンスはそのユーザーに対して保持されます。
  9. 右矢印 ([]) をクリックして、選択を追加します。
  10. [選択可能なロール] のリストから必要なロールを選択します。
  11. 右矢印 ([]) をクリックして、選択を追加します。
  12. セキュリティ グループに割り当てるデバイス ライセンスを選択します。
    ライセンス マッピングは、ユーザーをインポートする オプションが選択されている場合のみ対応しています。
    注: ユーザーをインポートしない オプションは、ライセンスの割り当てに対応していません。 管理者は、ユーザーに対して手動でライセンスをマッピングする必要があります。 同期プロセス中に、マッピングで定義されているライセンスのいずれかが使用できなくなった場合(ライセンスが足りなくなった場合)、ライセンスはユーザーに割り当てられません。 そのため、マッピングを作成する前に、十分なライセンスがあることを確認してください。

    オートメーションの実行は、Bot 実行デバイスとして設定されているデバイス、またはコンシューマー権限を持つデバイスプールから行うことができます (ユーザーの作成)。 Active Directory ロール マッピングを使用する際、マッピングされた Active Directory ユーザーが 1 台以上のデバイスを使用できるようにする場合、デバイス プールを構成する必要があります (デバイスプールの作成)。

  13. [マッピングを作成] をクリックします。
    注: AD ロール マッピングが有効な場合、AD マップされたユーザーのロールを手動で追加することはできません。

同期が実行されると、割り当てられたロールを持つすべてのユーザーが更新されます。