Active Directory のロール マッピングの管理

管理者、またはロールの表示と管理を行う権限を持つユーザーは、利用可能な Active Directory のロール マッピングの詳細を表示できます。

前提条件

Control Room に管理者としてログインしていることを確認します。

デフォルトでは、Control Room は、Users ディレクトリからすべてのセキュリティ グループを取得します。

Users ディレクトリとその他の組織単位 (OU) に対してフィルタを使用したロール マッピングを作成するには、um.properties ファイルを更新する必要があります。Control Room では、Users ディレクトリは OU に類似するものと考えられています。そのため、um.properties ファイルでフィルタを定義する必要があります。

たとえば、次のようにファイルでフィルタを設定します。
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
注: groupFilter のようなグループ フィルタの使用は任意です。
この例では、この変更を um.properties に適用して、Control Room に以下のタスクを実行するよう指示します。
  1. ドメイン mydomain.com に移動します。
  2. 組織ユニット OU1 から、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。
  3. 組織ユニット OU2 から、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。
  4. Users ディレクトリから、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。

この設定によって、Users ディレクトリに加えて、組織ユニット OU1 および OU2 のユーザーも取得されます。

Recommendation: グループ表示数が多くなると、パフォーマンスが影響を受け、トラブルシューティングが困難になるため、フィルタを使用してグループ表示を絞り込みます。

um.properties ファイルで定義されたフィルタは、データベースに保存されます。Control Room を新しいバージョンに更新すると、Control Room は、データベースに保存されているフィルタを参照します。これは、インストールに含まれているデフォルトの um.properties ファイルには、これらのフィルタは含まれることがないためです。デフォルトの um.properties ファイルで新しいフィルタを定義した場合、Control Roomum.properties ファイルで定義されたこれらのフィルタを参照し、データベースに格納されているフィルタを上書きします。

複数ドメインのマッピング

マッピングは、コンマで区切られた複数のドメインに対応しています。

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
上記の例では、Control Room が追加のプロセスを実行します。
  1. ドメイン mydomain2.com に移動します。
  2. 組織ユニット OU3 から、すべてのセキュリティ グループを取得します。
  3. 組織ユニット OU4 から、すべてのセキュリティ グループを取得します。

ネストされた OU からのセキュリティ グループの取得

ネストされた OU からセキュリティ グループを取得する例を示します。

以下の組織 example では、「Marketing」を親 OU とし、そこからさらにネストされた OU と、そのネストされた各 OU に配置されたセキュリティ グループが存在します。

  • マーケティング
    • グループ 1
    • グループ 2
    • US_OU
      • グループ 3
      • California_OU
        • グループ 4
        • NoCal_OU
          • グループ 5
        • SoCal_OU
          • グループ 6
次のエントリを追加することによって、Control Room は、Marketing とネストされた OU から group1、group2、group3、group4、group5、および group6 のすべてのグループを取得します。
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
注: ネストされた OU をエントリに含めることはできません。

Active Directory のロール マッピング

[管理] > > [ロール] > [Active Directory のロール マッピング] の順に移動すると、Control Room で作成されたロール マッピングがページに表示されます。ロール マッピングの表示と編集ができます。また、新しいロール マッピングを作成したり、Control RoomActive Directory の間でロールの同期プロセスを再開したりすることもできます。

有効にした場合、この同期プロセスは、デフォルトで 1 日 (1,440 分) に 1 回起動されます。分数を変更することで、任意の間隔で同期をトリガーできます。デフォルトよりも大きい間隔に設定することをお勧めします。

Recommendations:
  • デフォルト設定の 1,440 分よりも大きい間隔に設定してください。
  • 同期プロセス マッピングおよびユーザーには、プロセスが大量に消費されます。グループの短いリストを維持し、Active Directory で特定のユーザーをこれらの各グループに割り当てて、スケーラビリティの問題を回避することをお勧めします。
  • [インポート] と [インポートしない] の両方のマッピングを同じシステムで使用すると、使用事例が複雑になり、問題を修正するためのトラブルシューティングが困難になる可能性があるので、一緒に使用しないでください
  • [インポート] と [インポートしない] の両方のマッピングが定義されていて、ユーザーが両方のマッピングに含まれる場合、マッピングの [インポート] が、マッピングの [インポートしない] よりも優先します。

    次の例を考えてみましょう。

    • AD マッピング A = ロール A - グループ A - このグループからユーザーを Automation 360 にインポートします。
    • AD マッピング B = ロール B - グループ B - このグループからユーザーをインポートしない

    ユーザー D は Active Directory 内のグループ A と B の両方に含まれます。

    ユーザー D が Automation 360 に作成され、ロール A が割り当てられます。

    • AD マッピング A = ロール A - グループ A - このグループからユーザーを Automation 360 にインポートします。
    • AD マッピング B = ロール B - グループ B - このグループからユーザーをインポートしない
    • AD マッピング C = ロール C - グループ C - このグループからユーザーを Automation 360 にインポートします。

    ユーザー D は、Active Directory (AD) 内のすべてのグループ A、B、C に含まれます。

    ユーザー D が Automation 360 に作成され、ロール A とロール C に割り当てられます。

デバイス ライセンスの競合
異なるデバイス ライセンスを持つマッピングが複数存在し、すべてのマッピングにユーザーがマッピングされている場合、1 人のユーザーにつき 1 つのデバイス ライセンスが許可されるため、ユーザーに割り当てるデバイス ライセンスを決定することが困難になります。このシナリオの場合、Control Roomum.properties ファイルで定義できる優先順位リストをサポートしています。um.properties ファイルでのデバイス ライセンスのデフォルト設定は次のとおりです: um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper。マッピング割り当てでは、次の可用性の順序に基づいて、デフォルト ライセンスが選択されます。
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

デフォルトのデバイス ライセンスは、um.properties ファイルで新しいエントリとして優先キーワードを追加することで変更できます。

次の表に、望ましい順序リストに使用する必要があるデバイス ライセンスのキーワードを示します。
キーワード ライセンス
開発 Bot Creator
Runtime Unattended Bot Runner
AttendedRuntime Attended Bot Runner
CitizenDeveloper 市民開発者

ユーザーが複数のマッピングにマッピングされ、異なる自動ログイン オプション (有効または無効) のマッピングが同じデバイス ライセンスを持つ場合、自動ログインの構成により、設定が上書きされます。したがって、同じデバイス ライセンスのすべてのマッピングにわたって、自動ログインのオプションの一貫性を保つようにすることをお勧めします。

検索条件に一致する利用可能な 1 つ以上のロール マッピングが [ロール マッピング] テーブルに表示されます。
注: ロール マッピング ページは、マッピングのリストを表示するだけで、デフォルトではマッピングの検証は行いません。セキュリティ グループやロールの変更頻度は低く、ネットワークの速度が遅い場合やマッピングの数が多い場合は時間がかかるため、このページではマッピングのリストのみを表示します。ロール マッピング ページでデフォルトの検証を設定するには、um.properties ファイルに、次のエントリを追加します。um.ldap.groupmapping.sync.on.get.mappings=trueActive DirectoryControl Room の間でロール マッピングを同期させると、ロール マッピングの検証が実行されます。

オートメーションの実行は、Bot 実行デバイスとして設定されているデバイス、またはコンシューマー権限を持つデバイス プールから、オートメーションを実行することができます (ユーザーの作成)。Active Directory ロール マッピングを使用する際、マッピングされた Active Directory ユーザーが 1 台以上のデバイスを使用できるようにする場合、デバイス プールを構成する必要があります (デバイスプールの作成)。