はじめに
Appsは、UiPathが提供するローコードアプリケーション開発ツールで、プログラミングの専門知識を持っていなくても簡単に、すばやくアプリケーションを作成できます。
Appsは、RPA(Unattended)やエンティティ(Data Service)、ストレージバケットなどのUiPathの別サービスをシームレスに組み込むことができ、動的なアプリケーションを実現することができます。
本記事では、Appsで作成したアプリケーションに対するアクセスコントロールを整理してみます。
つかうもの
※クラウド環境は2023年6月時点のもの
Automation Cloud(Apps) Enterprise版
デプロイの種類
Appsには、2種類のデプロイの方法があります。
まず、デフォルトのプライベートです。これは、限られたユーザにアプリケーションを公開するモードです。
もう1つは、パブリックです。これは、アプリケーションをインターネット上に公開することで、世界中のユーザがアプリケーションにアクセスすることできます。
プライベートデプロイ
- Automation Cloudへログインが必要
- アプリへの権限が必要
- 権限(ロール)は「実行のみ」と「編集と実行」の2つ
- アプリ所有者には「編集と実行」が付与
- ユーザまたはグループに対して権限の付与が可能
デフォルトの設定でパブリッシュした場合は、プライベートアプリケーションとなります。
アプリケーションへのアクセスの際、Automation Cloudへのログインが必要となり、未ログイン状態でアクセスするとアクセス拒否され、ログイン画面にリダイレクトされます。
初期状態では、アプリケーションの所有者のみにアクセス権限が付与されます。アクセス権限を持っていないアカウントがアプリケーションにアクセスすると次のようなエラーが出ます。
アクセス権の付与はアプリケーションのプロパティから設定できます。ユーザまたはグループに対して、「実行権限のみ」か「編集と実行権限」を与えることができます。
アクセスコントロールの例
次のようなアクセスコントロールを実現したい場合を想定します。
アプリAは部門A専用のアプリケーションのため、部門Aのメンバーには実行させるが(編集はできない)、部門A以外はアクセスさせない。
ただし、アプリケーション開発者と管理者チームは例外で編集権限も付与する。
「部門A」というグループと、開発者ユーザを用意し、以下のようにアクセス権を与えます。管理者は既存グループの「Administrators」を利用します。
パブリックデプロイ
- Automation Cloudへログインが不要(世界中、誰でもアクセスできる)
- IPアドレスフィルターを付けることでアクセス元を制限することが可能
オプションにチェックすることでパブリックアプリケーションとしてデプロイすることができます。プライベートアプリケーションとは異なり、Automation Cloudのアカウントを持っていない方でもアクセスできます。
パブリックアプリケーションはインターネット上に公開されるので、「機密情報の収集や表示をしない」「データアクセス範囲の限定する」などプライベート以上に注意すべき点が多いです。
Automation Cloudの管理機能であるIPアドレスフィルターを使用することで、アクセス元のIPアドレスを制限することができます。
UiPathユーザ以外も含むすべての社員にアプリケーションを使用させたい場合は、パブリック+IPアドレスフィルターを組み合わせて、アクセスコントロールを実装します。ただしIPアドレスの設定1つ間違うと、社外秘情報をインターネット上に公開するなどのリスクがあることを承知で行ってください。
IPアドレスフィルターを有効にすることで、Automation Cloudに含まれるすべてのサービスもIPアドレス制限が適用されます。
制限されたIPアドレスの範囲外からアプリケーションにアクセスした場合は、次のようなエラーが出ます。
さいごに
いかがでしょうか。Appsでは部門やチーム単位などの細かいアクセスコントロールが可能なようです。ただし、グループメンバーシップの管理が必要になります(Azure ADを連携させれば自動化できるかな??)。