Inicio de sesión único

Blue Prism admite inicio de sesión único con los servicios de dominio de Directorio Activo de Microsoft, para permitir que los usuarios autenticados por el sistema operativo, y que además son miembros de los dominios y los bosques adecuados, inicien sesión en Blue Prism sin tener que volver a enviar sus credenciales. La integración con Directorio Activo está configurada para instancias específicas de Blue Prism que permiten la segregación completa de roles entre varios entornos como Desarrollo, Prueba y Producción.

Blue Prism ofrece dos tipos de entornos para administrar la autenticación de Directorio Activo con la plataforma:

  • Entorno de autenticación múltiple: admite cuentas de Directorio Activo cuyos roles están asignados a usuarios individuales en Blue Prism. En entornos de autenticación múltiple, los usuarios de Directorio Activo pueden contenerse en múltiples dominios y múltiples bosques.
  • Entorno de autenticación única: conocido como autenticación de Inicio de sesión único de Directorio Activo en versiones anteriores de Blue Prism, admite cuentas de Directorio Activo cuyos roles se asignan a grupos de seguridad de Directorio Activo. En entornos de autenticación única, los usuarios de Directorio Activo pueden contenerse en múltiples dominios pero en un solo bosque.

El tipo de entorno se selecciona cuando se crea la base de datos y solo puede cambiarse al convertir de un entorno de Directorio Activo de autenticación única a un entorno de Directorio Activo de autenticación múltiple.

Configuración de Directorio Activo en un entorno de autenticación única

Si se implementa Blue Prism dentro de un solo bosque de Directorio Activo, se puede configurar para permitir que los usuarios se autentiquen en la plataforma usando el inicio de sesión único. Básicamente, requiere que se asigne un grupo de seguridad de Directorio Activo a cada rol relevante de Blue Prism, después de lo cual se otorgará a los usuarios acceso a la plataforma según su membresía de grupo de seguridad de Directorio Activo.

Los pasos necesarios para configurar la integración de Blue Prism con Directorio Activo para el inicio de sesión único en un entorno de autenticación única se ilustran en el diagrama a continuación:

  1. Configurar grupos de seguridad de Directorio Activo: deben configurarse grupos de seguridad en Directorio Activo para reflejar cada rol de usuario en un entorno de Blue Prism. A continuación, los usuarios dentro del dominio deben agregarse al grupo de seguridad correspondiente.

  2. Especificar el dominio que aloja los grupos de seguridad de Directorio Activo: Blue Prism se debe configurar con el dominio donde residirán los grupos de seguridad de Directorio Activo. Solo los grupos de seguridad en el dominio especificado pueden asociarse con un rol de usuario de Blue Prism; sin embargo, los usuarios de cualquier dominio dentro del bosque de Directorio Activo común pueden asignarse a estos grupos de seguridad. Pueden ser miembros directos de este grupo o se les puede otorgar membresía a través de un grupo anidado. Como parte de la configuración, se debe seleccionar de qué grupos de seguridad de Directorio Activo deben ser miembros los usuarios antes de otorgarles derechos de Administrador del sistema.

  3. Configurar y asignar roles de Blue Prism a grupos de seguridad de Directorio Activo: los roles de usuario preconfigurados de Blue Prism se pueden editar si es necesario y también se pueden agregar nuevos roles. Luego, cada rol activo en un determinado entorno de Blue Prism se debe asignar a un grupo de seguridad de Directorio Activo existente dentro del dominio configurado.

    Los roles de Blue Prism deben estar asociados con grupos de seguridad creados en Directorio Activo. El inicio de sesión único de Blue Prism no admite grupos integrados ni aquellos con pertenencia derivada, como usuarios de dominio o usuarios autenticados. También se recomienda que los grupos de seguridad utilizados no contengan entidades de seguridad externas.

Los usuarios que pertenecen a los grupos que se han configurado ahora deben poder iniciar sesión en Blue Prism y realizar las acciones que les permite el rol de Blue Prism correspondiente. Es posible que los usuarios tengan que cerrar y volver a iniciar sesión en Windows para que los cambios de Directorio Activo entren en vigencia.

Configuración de Directorio Activo en un entorno de autenticación múltiple

Se deben seguir los siguientes pasos para administrar el acceso de usuarios de Directorio Activo a un entorno de autenticación múltiple:

  1. Habilitar la autenticación de Directorio Activo en Blue Prism: los administradores de Blue Prism que son miembros de un dominio de Directorio Activo deben habilitar la autenticación de Directorio Activo en Seguridad: Configuración de inicio de sesión en Blue Prism antes de asignar usuarios de Directorio Activo a roles de Blue Prism.

  2. Asignar usuarios de Directorio Activo a roles de Blue Prism: los usuarios de Directorio Activo se recuperan desde los dominios y los bosques de Directorio Activo, y se asignan individualmente a roles de Blue Prism a través del Asistente para crear usuarios en Blue Prism.

Conversión de bases de datos

Los administradores de Blue Prism pueden convertir una base de datos de Directorio Activo de autenticación única en un entorno de Directorio Activo de autenticación múltiple. Esta es una operación irreversible y que puede realizarse en un solo sentido, que convierte todas las cuentas de autenticación única en un entorno de Blue Prism en cuentas de autenticación múltiple, y asigna automáticamente roles a usuarios individuales en función de su membresía a Grupos de Seguridad de Directorio Activo (después de lo cual esa membresía deja de ser relevante).

Esta característica está disponible en la configuración de inicio de sesión único para administradores que usan el entorno de autenticación única.

Antes de iniciar la conversión, asegúrese de lo siguiente:

  • Está usando una de las conexiones admitidas para autenticación de Directorio Activo.
  • Se ha guardado una copia de seguridad de su base de datos.
  • Se han detenido todos los procesos.
  • Se han cerrado todos los recursos de tiempo de ejecución y las sesiones de usuario en el entorno.

Después de cerrar cualquier recurso de tiempo de ejecución, el administrador deberá esperar dos minutos para poder realizar la conversión; de lo contrario, se le recordará que todos los usuarios deben cerrar sesión antes de continuar con la conversión.

Tenga en cuenta que, en función de la cantidad de usuarios que se conviertan y de cualquier potencial latencia, la conversión de la base de datos puede tardar algunos minutos.

Al convertir un entorno de Directorio Activo de autenticación única a un entorno de Directorio Activo de autenticación múltiple, los administradores reciben una solicitud para crear un usuario administrador de recuperación que utilice la autenticación nativa de Blue Prism. Se requiere un usuario nativo con una contraseña segura durante el proceso de conversión, ya que los usuarios de Directorio Activo en un entorno de autenticación múltiple no pueden actualizar una licencia vencida con credenciales de Directorio Activo. Esto se debe a que un servidor de Blue Prism no puede iniciarse con una licencia vencida y los usuarios de Directorio Activo no pueden iniciar sesión en este entorno con una conexión directa de base de datos del Servidor SQL.

Si bien este usuario se puede eliminar una vez que se haya completado la conversión de la base de datos, se recomienda conservarlo para solucionar problemas, especialmente en entornos donde todas las cuentas de administrador utilizan Directorio Activo de autenticación múltiple.

Para obtener más información sobre la administración de cuentas de usuario de autenticación múltiple, consulte Administrar usuarios.

Autenticación de recursos de tiempo de ejecución

Los recursos de tiempo de ejecución pueden autenticarse a través de Directorio Activo, sea con autenticación única o múltiple, agregando el modificador /sso en la línea de comandos durante el inicio del recurso. El modificador /sso admite solo los modos de conexión cliente/servidor mencionados anteriormente.

La autenticación se realiza con las credenciales del usuario de Windows con sesión iniciada en ese momento. En un entorno de autenticación múltiple, el recurso de tiempo de ejecución hereda los roles de usuario de Blue Prism asignados al usuario de Windows con sesión iniciada en ese momento. En un entorno de autenticación única, el recurso de tiempo de ejecución hereda los roles de usuario de Blue Prism asignados a los Grupos de Seguridad de Directorio Activo a los cuales se ha asignado al usuario de Windows con sesión iniciada en ese momento.

Modos de conexión compatibles

Solo se admiten los siguientes modos de conexión cliente/servidor para la autenticación de Directorio Activo:

  • WCF: SOAP con cifrado de mensajes y autenticación de Windows,
  • WCF: SOAP con cifrado de transporte y autenticación de Windows
  • .NET Remoting: seguro.

Solución de problemas

Si tiene algún problema, consulte Solución de problemas de inicio de sesión único.