Active Directory のロールマッピングの管理

管理者、またはロールの表示と管理を行う権限を持つユーザーは、利用可能な Active Directory のロールマッピングの詳細を表示できます。

前提条件

Control Room に管理者としてログインしていることを確認します。

デフォルトでは、Control Room は、Users ディレクトリからすべてのセキュリティグループを取得します。

Users ディレクトリとその他の組織単位 (OU) に対してフィルタを使用したロールマッピングを作成するには、um.properties ファイルを更新する必要があります。Control Room では、Users ディレクトリは OU に類似するものと考えられています。そのため、um.properties ファイルでフィルタを定義する必要があります。

たとえば、次のようにファイルでフィルタを設定します。

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'

注: groupFilter のようなグループフィルタの使用は任意です。

この例では、この変更を um.properties に適用して、Control Room に以下のタスクを実行するよう指示します。

ドメイン mydomain.com に移動します。
組織ユニット OU1 から、グループ名が groupFilter で始まるセキュリティグループをすべて取得します。
組織ユニット OU2 から、グループ名が groupFilter で始まるセキュリティグループをすべて取得します。
Users ディレクトリから、グループ名が groupFilter で始まるセキュリティグループをすべて取得します。

この設定によって、Users ディレクトリに加えて、組織ユニット OU1 および OU2 のユーザーも取得されます。

Recommendation: グループ表示数が多くなると、パフォーマンスが影響を受け、トラブルシューティングが困難になるため、フィルタを使用してグループ表示を絞り込みます。

um.properties ファイルで定義されたフィルタは、データベースに保存されます。Control Room を新しいバージョンに更新すると、Control Room は、データベースに保存されているフィルタを参照します。これは、インストールに含まれているデフォルトの um.properties ファイルには、これらのフィルタは含まれることがないためです。デフォルトの um.properties ファイルで新しいフィルタを定義した場合、Control Room は um.properties ファイルで定義されたこれらのフィルタを参照し、データベースに格納されているフィルタを上書きします。

複数ドメインのマッピング

マッピングは、コンマで区切られた複数のドメインに対応しています。

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'

上記の例では、Control Room が追加のプロセスを実行します。

ドメイン mydomain2.com に移動します。
組織ユニット OU3 から、すべてのセキュリティグループを取得します。
組織ユニット OU4 から、すべてのセキュリティグループを取得します。

ネストされた OU からのセキュリティグループの取得

ネストされた OU からセキュリティグループを取得する例を示します。

以下の組織 example では、「Marketing」を親 OU とし、そこからさらにネストされた OU と、そのネストされた各 OU に配置されたセキュリティグループが存在します。

マーケティング
- グループ 1
- グループ 2
- US_OU
  - グループ 3
  - California_OU
    - グループ 4
    - NoCal_OU
      - グループ 5
    - SoCal_OU
      - グループ 6

次のエントリを追加することによって、Control Room は、Marketing とネストされた OU から group1、group2、group3、group4、group5、および group6 のすべてのグループを取得します。

um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'

注: ネストされた OU をエントリに含めることはできません。

Active Directory のロールマッピング

[管理] > > [ロール] > [Active Directory のロールマッピング] の順に移動すると、Control Room で作成されたロールマッピングがページに表示されます。ロールマッピングの表示と編集ができます。また、新しいロールマッピングを作成したり、Control Room と Active Directory の間でロールの同期プロセスを再開したりすることもできます。

有効にした場合、この同期プロセスは、デフォルトで 1 日 (1,440 分) に 1 回起動されます。分数を変更することで、任意の間隔で同期をトリガーできます。デフォルトよりも大きい間隔に設定することをお勧めします。

Recommendations:

デフォルト設定の 1,440 分よりも大きい間隔に設定してください。
同期プロセスマッピングおよびユーザーには、プロセスが大量に消費されます。グループの短いリストを維持し、Active Directory で特定のユーザーをこれらの各グループに割り当てて、スケーラビリティの問題を回避することをお勧めします。
[インポート] と [インポートしない] の両方のマッピングを同じシステムで使用すると、使用事例が複雑になり、問題を修正するためのトラブルシューティングが困難になる可能性があるので、一緒に使用しないでください。
[インポート] と [インポートしない] の両方のマッピングが定義されていて、ユーザーが両方のマッピングに含まれる場合、マッピングの [インポート] が、マッピングの [インポートしない] よりも優先します。
次の例を考えてみましょう。
- AD マッピング A = ロール A - グループ A - このグループからユーザーを Automation 360 にインポートします。
- AD マッピング B = ロール B - グループ B - このグループからユーザーをインポートしない
ユーザー D は Active Directory 内のグループ A と B の両方に含まれます。

ユーザー D が Automation 360 に作成され、ロール A が割り当てられます。
- AD マッピング A = ロール A - グループ A - このグループからユーザーを Automation 360 にインポートします。
- AD マッピング B = ロール B - グループ B - このグループからユーザーをインポートしない
- AD マッピング C = ロール C - グループ C - このグループからユーザーを Automation 360 にインポートします。
ユーザー D は、Active Directory (AD) 内のすべてのグループ A、B、C に含まれます。

ユーザー D が Automation 360 に作成され、ロール A とロール C に割り当てられます。

デバイスライセンスの競合

異なるデバイスライセンスを持つマッピングが複数存在し、すべてのマッピングにユーザーがマッピングされている場合、1 人のユーザーにつき 1 つのデバイスライセンスが許可されるため、ユーザーに割り当てるデバイスライセンスを決定することが困難になります。このシナリオの場合、Control Room は um.properties ファイルで定義できる優先順位リストをサポートしています。um.properties ファイルでのデバイスライセンスのデフォルト設定は次のとおりです: um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper。マッピング割り当てでは、次の可用性の順序に基づいて、デフォルトライセンスが選択されます。

Development
Runtime
AttendedRuntime
CitizenDeveloper

デフォルトのデバイスライセンスは、um.properties ファイルで新しいエントリとして優先キーワードを追加することで変更できます。

次の表に、望ましい順序リストに使用する必要があるデバイスライセンスのキーワードを示します。


キーワード	ライセンス
開発	Bot Creator
Runtime	Unattended Bot Runner
AttendedRuntime	Attended Bot Runner
CitizenDeveloper	市民開発者

ユーザーが複数のマッピングにマッピングされ、異なる自動ログインオプション (有効または無効) のマッピングが同じデバイスライセンスを持つ場合、自動ログインの構成により、設定が上書きされます。したがって、同じデバイスライセンスのすべてのマッピングにわたって、自動ログインのオプションの一貫性を保つようにすることをお勧めします。

検索条件に一致する利用可能な 1 つ以上のロールマッピングが [ロールマッピング] テーブルに表示されます。

注: ロールマッピングページは、マッピングのリストを表示するだけで、デフォルトではマッピングの検証は行いません。セキュリティグループやロールの変更頻度は低く、ネットワークの速度が遅い場合やマッピングの数が多い場合は時間がかかるため、このページではマッピングのリストのみを表示します。ロールマッピングページでデフォルトの検証を設定するには、um.properties ファイルに、次のエントリを追加します。um.ldap.groupmapping.sync.on.get.mappings=true。Active Directory と Control Room の間でロールマッピングを同期させると、ロールマッピングの検証が実行されます。

オートメーションの実行は、Bot 実行デバイスとして設定されているデバイス、またはコンシューマー権限を持つデバイスプールから、オートメーションを実行することができます (ユーザーの作成)。Active Directory ロールマッピングを使用する際、マッピングされた Active Directory ユーザーが 1 台以上のデバイスを使用できるようにする場合、デバイスプールを構成する必要があります (デバイスプールの作成)。