Blue Prism Anwendungsserver
Blue Prism Anwendungsserver sollten nicht in Domänen oder Netzwerken mit direktem Internetzugang installiert werden. Die Blue Prism Plattform sollte in Ihrer Umgebung als separate Entität implementiert werden. Dies kann durch Netzwerktrennung erreicht werden, beispielsweise unter Verwendung von Jump-Servern für domänenübergreifende Verbindungen oder anderen ähnlichen Verfahren. Lesen Sie auch die Sicherheitsinformationen zum Robotic Operating Model (ROM) im Blue Prism Portal, um Empfehlungen zu bewährten Verfahren zu erhalten.
Installieren und konfigurieren Sie den ersten Anwendungsserver. Umfasst das Konfigurieren einer neuen Blue Prism Datenbank oder das Verbinden einer vorkonfigurierten Datenbank.
Schritte
Führen Sie je nach Bedarf das 32-Bit- oder 64-Bit-Installationsprogramm aus.
- 32-Bit-Installationsprogramm: BluePrismx.x.nn_x86.msi
- 64-Bit-Installationsprogramm: BluePrismx.x.nn_x64.msi
Die Installationsprogramme sind im Blue Prism Portal verfügbar.
Erweiterte Installationsoptionen
Die folgenden zusätzlichen Komponenten sind bei der Blue Prism Installation verfügbar, wenn auf dem Bildschirm mit dem Installationsort das Kontrollkästchen für die Erweiterte Installation ausgewählt wird:
- Outlook Automatisierung – Erforderlich bei Geräten, bei denen das Blue Prism MS Outlook Email VBO ausgeführt wird.
- Google Tabellen Automatisierung – Erforderlich bei Geräten, bei denen das Blue Prism Google Tabellen VBO ausgeführt wird.
- Chrome Browser-Erweiterung – Erforderlich bei Geräten, mit denen Chrome automatisiert wird.
-
Firefox Browser-Erweiterung – Erforderlich bei Geräten, mit denen Firefox automatisiert wird.
Die Firefox-Browser-Erweiterung ist nicht für die Installation mit Blue Prism 6.10.6 verfügbar. Die neueste Version von Blue Prism 6.10 mit der Firefox-Erweiterung ist Blue Prism 6.10.5. Weitere Informationen finden Sie in den Upgrade-Hinweisen.
- Edge Browser-Erweiterung – Erforderlich bei Geräten, mit denen Chromium-basierte Versionen von Edge automatisiert werden.
Alle Komponenten werden standardmäßig installiert, wenn ihre Auswahl vor der restlichen Installation nicht aufgehoben wird.
Nur Blue Prism 6.10.5
In Blue Prism 6.10.5 können Sie entweder die Browser-Erweiterungen für Chrome, Edge und Firefox mit Manifest V2 (die den bestehenden Browser-Erweiterungen für Version 6.10.4 entsprechen) oder die Browser-Erweiterungen für Chrome und Edge mit Manifest V3 installieren, die in Blue Prism 6.10.5 eingeführt wurden. Wenn Sie das Kontrollkästchen Erweiterte Installation auf dem Bildschirm „Installationsordner“ nicht aktiviert haben, werden standardmäßig die Browser-Erweiterungen für Blue Prism 6.10.4 (Manifest V2) für alle Browser installiert.
Dies ist auf Änderungen in der Erweiterungsplattform von Google und die Umstellung auf Manifest V3 für die Chrome- und Edge-Browser zurückzuführen. Firefox-Browsererweiterungen verwenden weiterhin Manifest V2 und sind daher nicht betroffen. Weitere Informationen finden Sie in der Google-Dokumentation und in den Blue Prism 6.10.5 Releasenotizen.
Blue Prism 6.10.6 und höher
Ab Blue Prism 6.10.6 werden Manifest V2-Browser-Erweiterungen nicht mehr unterstützt, sodass die Chrome- und Edge-Browser-Erweiterungen nicht mehr mit Manifest V2 installiert werden können. Nur Manifest V3 wird ab dieser Version von 6.10 unterstützt.
Die Firefox-Browser-Erweiterung ist nicht für die Installation mit Blue Prism 6.10.6 verfügbar. Die neueste Version von Blue Prism 6.10 mit der Firefox-Erweiterung ist Blue Prism 6.10.5. Weitere Informationen finden Sie in den Upgrade-Hinweisen.
Zudem sind die vom Browser Automation Agent bereitgestellten Funktionen jetzt standardmäßig im Blue Prism 6.10.6 Installationsprogramm enthalten. Der Blue Prism Installationsassistent entfernt automatisch den Browser Automation Agent und die zugehörigen Manifest V3-Browser-Erweiterungen, wenn diese bereits installiert sind. Wenn zuvor Manifest V3- oder V2-Browser-Erweiterungen manuell auf einem bestimmten Computer installiert wurden, müssen sie vor der Installation von Blue Prism manuell deinstalliert werden.
Weitere Informationen darüber, wie das Entfernen des Browser Automation Agent verwaltet wird, finden Sie in den Blue Prism 6.10.6 Releasenotizen.
Beim ersten Start von Blue Prism muss eine Verbindung zu der SQL Server-Instanz definiert werden, in der die Datenbank gehostet wird.
-
Klicken Sie auf Verbindung konfigurieren. Dadurch wird das Dialogfeld „Verbindungskonfiguration“ geöffnet, in dem Benutzer Verbindungsinformationen eingeben können.
-
Geben Sie den Namen der Verbindung sowie die nötigen Einstellungen für die Verbindung zur SQL Server-Instanz an.
Der Name der beabsichtigten Datenbank wird ebenfalls auf diesem Bildschirm angegeben. Dieser Name wird zur Erstellung einer neuen Datenbank verwendet. Es kann sich aber auch um den Namen einer bestehenden Datenbank handeln.
* Wenn der Verbindungstyp die Windows Authentifizierung anwendet, erfolgt die Authentifizierung beim SQL Server anhand des Kontexts des derzeit auf dem Gerät angemeldeten Benutzers. Wenn möglich sollte die Windows Authentifizierung (anstatt der SQL Authentifizierung) verwendet werden.
- SQL Authentifizierung – Verbindungsname (muss eindeutig sein), Datenbank-Server, Datenbankname, Benutzer-ID
- Windows Authentifizierung – Verbindungsname (muss eindeutig sein), Datenbank-Server, Datenbankname
- Verfügbarkeitsgruppe (SQL Authentifizierung) – Verbindungsname (muss eindeutig sein), Datenbank-Server, Datenbankname, Benutzer-ID
- Verfügbarkeitsgruppe (Windows Authentifizierung) – Verbindungsname (muss eindeutig sein), Datenbank-Server, Datenbankname
** Kann leer gelassen werden. Ausfüllen, wenn benutzerdefinierte SQL Verbindungsparameter hinzugefügt werden sollen, zum Beispiel: encrypt=true; trustservercertificate=true.
Eine Liste verfügbarer Werte finden Sie in den Informationen zu den Verbindungseigenschaften von SQL Server von Microsoft.
Bei einer Verbindung zu Microsoft SQL Azure muss die Datenbank bereits bestehen und die Verbindungsinformationen, die im Bereich der Azure Datenbankkonfiguration angegeben wurden, müssen verwendet werden. Beispieleinstellungen (ADO.NET) finden Sie im Folgenden:
Verbindungsart
SQL-Server (SQL-Authentifizierung)
Datenbankserver:
e12n3456.database.windows.net,1433
Datenbankname:
BluePrism
Benutzer-ID:
authUser@e12n3456
Passwort:
*********
-
Klicken Sie auf Verbindung testen, um die Verbindung zum SQL Server zu prüfen.
Da die Datenbank noch nicht existiert, erwarten wir einen entsprechenden Fehler.
Erwartete Reaktionen
Datenbank „Blue Prism“ nicht vorhanden.
Dies scheint keine gültige Blue Prism Datenbank zu sein.
Die Datenbank muss konfiguriert werden, bevor sie verwendet werden kann.
Gibt an, dass erfolgreich eine Verbindung zum Server hergestellt wurde, aber die Datenbank noch nicht vorhanden ist.
Gibt an, dass erfolgreich eine Verbindung zum Server hergestellt wurde, aber er nicht als Blue Prism Datenbank verifiziert werden kann. Dies ist meist der Fall, wenn die Datenbank manuell erstellt wurde, aber für sie das Blue Prism Schema noch nicht angewandt wurde.
Gibt an, dass erfolgreich eine Verbindung mit dem Server hergestellt und eine Blue Prism Datenbank gefunden wurde, aber noch weitere Konfigurationen erforderlich sind.
Klicken Sie auf OK, um die Meldung zu löschen, und dann auf Datenbank erstellen.
Klicken Sie auf OK, um die Meldung zu löschen, und dann auf Datenbank konfigurieren.
Im nächsten Schritt erhalten Sie weitere Anweisungen.
Alternative Reaktionen
Datenbank Gültig
Es konnte nicht bestimmt werden, ob die Datenbank existiert – Netzwerkbezogener oder instanzspezifischer Fehler beim Herstellen einer Verbindung mit SQL Server. Der Server wurde nicht gefunden, oder auf ihn kann nicht zugegriffen werden. Überprüfen Sie, ob der Instanzname korrekt ist und ob SQL Server so konfiguriert ist, dass Remoteverbindungen zulässig sind. (provider: Named Pipes Provider, error: 40 – Verbindung mit SQL Server konnte nicht geöffnet werden)
Gibt an, dass erfolgreich eine Verbindung zum Server und der Datenbank hergestellt wurde.
Aktionen zum Erstellen oder Konfigurieren der Datenbank können umgangen werden.
Gibt an, dass beim Herstellen der Verbindung zum SQL Server ein Fehler aufgetreten ist. Überprüfen Sie die Angaben der SQL Server Instanz und lesen Sie unter Fehlerbehebung einer Installation nach.
Das Erstellen und Vorbereiten einer Datenbank für Blue Prism erfolgt in drei Phasen.
- Eine SQL Server Datenbank erstellen – Dies kann entweder manuell oder über die produktinterne Aktion „Datenbank erstellen“ erfolgen.
- Das Blue Prism Schema anwenden – Das Datenbankschema wird auf die konfigurierte Datenbank angewandt.
- Durch die produktinterne Aktion „Datenbank erstellen“ wird das Schema automatisch auf die erstellte Datenbank angewandt. Alternativ kann eine bestehende leere Datenbank angegeben werden.
- Das Schema kann auch manuell mit der Datei „CreateScript.sql“ auf eine bestehende Datenbank angewandt werden. Die Datei „CreateScript.sql“ ist auf Anfrage vom Blue Prism Kundensupport erhältlich oder kann stattdessen mit dem Blue Prism Client erzeugt werden: Klicken Sie unten im Bildschirm „Neue Datenbank erstellen“ oder „Aktualisierung der Datenbank“ auf Skript erstellen.
- Blue Prism Anmeldeeinstellungen konfigurieren – Zahlreiche Konfigurationsoptionen werden auf die Datenbank angewandt. Diese werden automatisch angewandt, wenn Sie die produktinterne Aktion „Datenbank erstellen“ verwenden. Wenn die Datenbank erstellt und das Schema manuell angewandt wurde, muss die Aktion „Datenbank konfigurieren“ verwendet werden.
Alle der obigen Phasen werden mit der produktinternen Funktion „Datenbank erstellen“ in einem Schritt erledigt.
-
Das produktinterne Hilfsprogramm zum Erstellen und Konfigurieren einer Datenbank können Sie über die Option Datenbank erstellen oder Datenbank konfigurieren im Dialogfeld „Verbindungskonfiguration“ starten.
-
Wählen Sie im Dialogfeld „Neue Datenbank erstellen“ aus, ob die Datenbank verworfen und neu erstellt werden soll, wenn sie bereits existiert.
- Die bevorzugte Authentifizierungsmethode für Benutzer, die sich mit Blue Prism verbinden. Sie haben die Wahl zwischen zwei Umgebungstypen:
- Umgebung mit mehrfacher Authentifizierung – Diese Umgebung unterstützt drei Arten von Authentifizierungen: Native Blue Prism Authentifizierung, Active Directory-Authentifizierung und Authentifizierung durch externe Identitätsanbieter. Für alle drei Authentifizierungstypen werden Rollen und Berechtigungen einzelnen Benutzern in Blue Prism zugeordnet. Für die externe Authentifizierung ist es nicht möglich, Rollen basierend auf der Benutzergruppenmitgliedschaft innerhalb verknüpfter Identitätsanbieter wie Active Directory zuzuweisen. Der Authentifizierungstyp wird bei der Benutzererstellung konfiguriert und kann nicht nachträglich geändert werden.
- Umgebung mit einfacher Authentifizierung – Dieser Umgebungstyp wurde bis Blue Prism 6.8 als Active Directory Single Sign-On bezeichnet und unterstützt die Active Directory-Authentifizierung, bei der sich die Benutzer nur über Active Directory anmelden und die Rollen den Active Directory-Sicherheitsgruppen zugeordnet werden. Um eine Umgebung mit einfacher Authentifizierung einzurichten, müssen Sie den Namen der Domain eingeben, die die Active Directory-Sicherheitsgruppen enthält, die mit Sicherheitsrollen in Blue Prism verknüpft werden sollen. Sie müssen auch die Sicherheitsgruppe innerhalb der Domain auswählen, deren Mitglieder Systemadministratorzugriff auf Blue Prism erhalten.
Es sollten nur benutzerdefinierte Sicherheitsgruppen mit Blue Prism verknüpft werden – verwenden Sie keine integrierten Gruppen oder Gruppen mit abgeleiteter Mitgliedschaft.
- Klicken Sie auf OK, um die Datenbankkonfiguration abzuschließen.
Unterstützung von enthaltenen Datenbanken
Blue Prism unterstützt die Verwendung von eigenständigen Datenbanken, die auf Microsoft SQL Server gehostet werden. Zur Verwendung einer eigenständigen Datenbank muss die Datenbank manuell erstellt und das Blue Prism Skript „CreateScript.sql“ angewandt werden.
Weitere Informationen finden Sie unter Eigenständige Datenbanken.
Sie können sich jetzt zum ersten Mal anmelden und einige systemweite Konfigurationen vornehmen.
Die Schritte unterscheiden sich leicht, je nachdem, ob die Umgebung für eine Authentifizierung bei Blue Prism konfiguriert ist.
Umgebung mit mehrfacher Authentifizierung
Native Authentifizierung von Blue Prism
Melden Sie sich mit den Standard-Anmeldedaten an:
- Benutzername: admin
- Passwort: admin
Befolgen Sie die angezeigten Anweisungen zum Ändern des Administratorpassworts.
Dieses Video zeigt Ihnen, wie Sie Ihr Administratorpasswort wiederherstellen können.
Active Directory-Authentifizierung
Sie müssen sich zuerst mit der nativen Blue Prism Authentifizierung anmelden, bevor Sie Benutzer für die Active Directory-Authentifizierung in einer Umgebung mit mehrfacher Authentifizierung einrichten können. Weitere Informationen finden Sie unter Single Sign-on.
Authentifizierung durch externe Identitätsanbieter
Sie müssen sich zuerst mit der nativen Blue Prism Authentifizierung (oder Active Directory-Authentifizierung falls ebenfalls konfiguriert) anmelden, bevor Sie Benutzer für die Authentifizierung über einen externen Identitätsanbieter in einer Umgebung mit mehrfacher Authentifizierung einrichten können. Weitere Informationen finden Sie unter Authentifizierung bei Blue Prism.
Umgebungen mit einfacher Authentifizierung
Active Directory-Authentifizierung mit Single Sign-on
Loggen Sie sich durch einen Klick auf Anmelden ein, um die korrekte Konfiguration zu validieren.
Weitere Informationen finden Sie unter
Zum Aktivieren der Software ist eine Lizenzdatei mit einem gültigen Lizenzschlüssel erforderlich. Lizenzdateien erhalten Sie von einem Blue Prism Konto-Manager. Ihre Lizenz und EULA erhalten Sie per E-Mail von [email protected]. Speichern Sie die Dateien auf Ihrer Festplatte.
Wenn eine Lizenz noch nicht installiert ist, werden Sie nach dem Anmelden bei Blue Prism dazu aufgefordert, den Lizenzschlüssel einzugeben.
-
Klicken Sie auf Durchsuchen, wählen Sie die erforderliche Lizenzdatei (.lic) aus und klicken Sie auf Weiter, um den Lizenzaktivierungsassistenten zu starten.
- Befolgen Sie die Schritte im Assistenten und speichern oder kopieren Sie den generierten Aktivierungscode.
-
Wenn Sie dazu aufgefordert werden, klicken Sie, um das Blue Prism Portal zu öffnen.
Sie werden zu portal.blueprism.com/products/activation weitergeleitet.
Wenn Sie nicht bereits im Blue Prism Portal angemeldet sind, werden Sie aufgefordert, sich anzumelden.
- Fügen Sie den generierten Aktivierungscode ein oder importieren Sie ihn und klicken Sie auf Lizenzaktivierung absenden.
-
Kopieren Sie den Aktivierungsschlüssel, fügen Sie ihn im Assistenten zur Lizenzaktivierung von Blue Prism ein und klicken Sie auf Weiter.
Ihre Blue Prism Lizenz ist aktiviert.
Weitere Informationen zur Verwaltung Ihrer Lizenz nach der Aktivierung finden Sie unter
Um den Anmeldedaten-Manager nutzen zu können (zum sicheren Speichern von Anmeldedaten), konfigurieren Sie das zu verwendende Verschlüsselungsschema.
- Klicken Sie auf die Registerkarte System und wählen Sie Sicherheit > Verschlüsselungsschemata aus der Navigationsstruktur aus.
- Wählen Sie das aufgelistete Schema aus und klicken Sie auf Bearbeiten.
-
Führen Sie nachfolgende Schritte je nach Bedarf durch:
Unternehmenskunden mit Bereitstellungen im großen Maßstab raten wir davon ab, die Schlüssel für Verschlüsselungsschemata in der Datenbank zu speichern.
Einzelbereitstellung
Bereitstellung mehrerer Komponenten (Anwendungsserver)
- Wählen Sie Datenbank aus.
- Wählen Sie AES-256 aus.
- Klicken Sie auf Schlüssel erzeugen.
- Klicken Sie auf OK.
- Wählen Sie Anwendungsserver aus.
- Klicken Sie auf OK.
Von jedem Schlüssel muss ein Backup an einem sicheren Speicherort erstellt werden.
Es gibt zahlreiche optionale Einstellungen, die häufig angewandt werden. Diese finden Sie unter System > Einstellungen in der Registerkarte System.
Weitere Informationen finden Sie unter
Einstellung |
Informationen |
---|---|
Persönliche Laufzeitressource auf diesem Computer starten |
Normal auf allen Geräten deaktiviert, außer bei Einzelbereitstellungen von Blue Prism. Stellt eine Laufzeitressource bereit, wenn sich ein Benutzer bei Blue Prism anmeldet. |
Beim Bearbeiten eines Prozesses oder Geschäftsobjekts automatisch sichern |
Gibt an, wie häufig eine automatische Speicherung durchgeführt wird. Diese Einstellung wird normal nur in Umgebungen angepasst, die über latenzbehaftete Netzwerke betrieben werden. |
Erzwingen, dass Benutzer Ihre Änderungen zusammenfassen |
Erfordert das Hinzufügen eines Kommentars bei Änderungen an diesen Datensätzen. |
Passwortkontrollen lassen eingefügte Passwörter zu |
Wird diese Einstellung aktiviert, können Benutzer Passwörter in Blue Prism einfügen. Wenn Sie diese Einstellung deaktivieren, müssen Benutzer Passwörter eingeben (anstatt sie einzufügen). Dies erhöht auch die Sicherheit eingegebener Werte im Arbeitsspeicher. |
Bildschirmaufnahme neuester Laufzeitressource zulassen |
Standardmäßig aktiviert. Gibt an, ob ein Benutzer eine Ausnahmephase konfigurieren kann, um bei Fehlern eine Bildschirmaufnahme zu erstellen und zu speichern. Die aktuellste Bildschirmaufnahme einer Laufzeitressource wird in der Blue Prism Datenbank gespeichert und kann über den Control Room aufgerufen werden. |
Registerkarte „Digital Exchange“ ausblenden |
Hierdurch wird die Registerkarte „Digital Exchange“ aus dem interaktiven Blue Prism Client ausgeblendet. |
Erfordert sichere eingehende Anweisungen. |
Nur Laufzeitressourcen, die den Schalter /sslcert verwenden, können eine Verbindung mit der Plattform herstellen. Der Schalter /sslcert erfordert, dass alle eingehenden Anweisungen an Laufzeiten der zertifikatbasierten Verschlüsselung unterliegen. Dies betrifft programmatisch kontrollierte Roboter wie z. B. die Hosts von Webdiensten. Deaktivieren Sie diese Einstellung zur Fehlerbehebung. |
Anonyme öffentliche Laufzeitressourcen zulassen |
Wird diese Einstellung deaktiviert, müssen sich Laufzeitressourcen bei der Verbindung mit der Plattform explizit authentifizieren. Dies ist nicht angemessen, wenn die Umgebung für Benutzerzugriff per Single Sign-On konfiguriert ist und Laufzeitressourcen außerhalb der normalen Active Directory-Gesamtstruktur gehostet werden. Aktivieren Sie diese Einstellung zur Fehlerbehebung |
Registrierung neuer Laufzeitressourcen verhindern |
Wird diese Einstellung aktiviert, können keine neuen Laufzeitressourcen zur Plattform hinzugefügt werden. Dies sollte nur aktiviert werden, nachdem alle erforderlichen Laufzeitressourcen zum ersten Mal verbunden wurden. Deaktivieren Sie diese Einstellung zur Fehlerbehebung. |
Sitzungsmanagement erzwingt Berechtigungen des steuernden Benutzers |
Standardmäßig aktiviert und empfohlen. Wenn diese Option aktiviert ist und die Sitzungssteuerungsaktionen angefordert werden, werden die Berechtigungen des steuernden Benutzers validiert. Wenn diese Option deaktiviert ist, validieren die Sitzungssteuerungsaktionen die Berechtigungen des Kontos, das zur Authentifizierung der Laufzeitressource für die Umgebung verwendet wird. |
Ressourcenregistrierung und -adressierung |
Gibt an, ob Fully Qualified Domain Names (FQDNs) zur Registrierung von Laufzeitressourcen bei der Datenbank und für die weitere Kommunikation verwendet werden.
|
Unicode-Unterstützung für Sitzungslogs aktivieren |
Wird diese Einstellung aktiviert, werden Unicode-Zeichen in Sitzungslogs gespeichert. Diese Einstellung kann nur geändert werden, wenn keine Sitzungen ausstehen oder ausgeführt werden. |
Umgebungsdaten für Clients, Laufzeitressourcen und Server in der Datenbank speichern |
Standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden die Umgebungsdaten für Clients, Laufzeitressourcen und Server in die Datenbank geschrieben, wenn ein Gerät online geht. |
Tesseract engine |
Der Benutzer kann die passende Version der Tesseract Engine auswählen: 0 – Nur Legacy-Engine – Betreibt Tesseract V4.0.0 im Kompatibilitätsmodus, der das Verhalten von V3.05.01 nachstellt – ideal für die Fehlerbehebung nach einem Upgrade. 1 – Nur LSTM-Engine für neuronale Netze – Wird mit der neuen OCR-Engine ausgeführt, die ein neuronales Netzwerksystem auf Grundlage von Long Short-Term Memory (LSTM) verwendet. 2 – Legacy- und LSTM-Engine – Wird im Kompatibilitätsmodus mit Unterstützung für LSTMs ausgeführt. 3 – Standard, basierend auf Verfügbarkeit – Verwendet die beste verfügbare Engine für die von der installierten Blue Prism Version verwendete Tesseract Version. |
Umgebungsdesigns |
Benutzer können ein Design einstellen, um einfachen zwischen Umgebungen unterscheiden zu können. Sie können für eine Umgebung ein Grunddesign konfigurieren, indem Sie einen Namen für die Umgebung sowie eine Hinter- und eine Vordergrundfarbe für Titel-Label und Statusleisten auswählen. Die ausgewählte Farbe wird im Vorschaufenster angezeigt. Die Änderungen werden sofort für das Blue Prism Clientfenster übernommen. Offene Studio-Fenster müssen jedoch geschlossen und erneut geöffnet werden und andere angemeldete Benutzer müssen sich bei der Umgebung ab- und wieder anmelden, damit die Änderungen wirksam werden. |
Offlinehilfe aktivieren |
Für das Hilfesystem von Blue Prism ist eine Internetverbindung nötig. Besteht kein Internetzugang, können die Hilfedateien von Blue Prism angefordert und intern oder auf lokalen Computern gehostet werden. Wählen Sie diese Option aus, um die Offlinehilfe zu aktivieren und den Speicherort im Feld „Basis-URL“ anzugeben. |
Nur festen Port für Browser-Erweiterungen (31924) verwenden |
Die Chrome- und Firefox-Browser-Erweiterungen verwenden kurzlebige Ports für die Kommunikation mit Blue Prism. Wählen Sie diese Option aus, wenn Sie festlegen möchten, dass weiterhin ein fester Port für die Kommunikation zwischen Blue Prism und den Chrome- und Firefox-Browser-Erweiterungen verwendet werden muss. Weitere Informationen finden Sie unter Systemeinstellungen. Laufzeitressourcen müssen neu gestartet werden, damit Änderungen an dieser Einstellung wirksam werden. |
Wir empfehlen, die Installation manuell zu verifizieren, indem Sie einige einfache Aufgaben im System durchführen und prüfen, ob diese erfolgreich ausgeführt werden.
Eine Schritt-für-Schritt-Anleitung finden Sie unter Eine Installation verifizieren.
Blue Prism Anwendungsserverdienste werden mit der Anwendung BPServer.exe konfiguriert. Diese Anwendung ist Teil der Blue Prism Installation und wird häufig verwendet, um die auf einem Server verfügbaren Dienste zu definieren und zu konfigurieren.
Das Blue Prism Hilfsprogramm zur Serverkonfiguration wird zur Konfiguration von Serverprofilen verwendet, die die Einstellungen enthalten, die der Dienst verwendet. Des Weiteren kann es zur Erstellung zusätzlicher Windows Dienste für Situationen verwendet werden, in denen das Standardprofil umbenannt wird oder weitere Profile hinzugefügt werden.
Die Konfiguration umfasst:
- Auswahl des Modus, den eingehende Verbindungen nutzen müssen
- Definition des Hostnamens oder der IP-Adressbindung und des Listener-Ports des Diensts
- Angeben von Datenbankverbindungsinformationen.
- Konfigurieren eines Verschlüsselungsschemas zur Datenverschlüsselung in der Umgebung.
- Ggf. Auswahl des Zertifikats zum Schutz eingehender Verbindungen.
- Bestätigung der Konfiguration eines passenden Windows Diensts und dass der angemeldete Benutzer des Diensts zur entsprechenden Zugriffskontrollliste (Access Control List, ACL) hinzugefügt wurde.
- Navigieren Sie zum Installationsverzeichnis von Blue Prism, üblicherweise unter C:\Programme\Blue Prism Limited\Blue Prism Automate und starten Sie BPServer.exe.
-
Klicken Sie auf Neue Konfiguration, um eine Serverkonfiguration zu erstellen.
- Erforderliche Details hinzufügen. Achten Sie darauf, dass Verbindungsmodus, Bindungen und Listener-Port korrekt angegeben werden.
- Name – Name für das Serverprofil. Der erste muss als Standard bezeichnet werden.
- Datenbankverbindung – Die Verbindung zur Datenbank.
- Verbindungsmodus – Der Modus für Geräteverbindungen.
- Bindung – Optionale Bindung für den Endpunkt, wenn Anfragen über eine spezifische URL oder Adresse erhalten werden müssen.
- Port – Der Listener-Port des Servers.
Zeitplaner deaktivieren – Gibt an, ob der Zeitplaner auf diesem Server deaktiviert werden soll.
-
Wenn ein Verbindungsmodus ausgewählt wurde, für den ein Zertifikat konfiguriert werden muss, wird eine Nachricht angezeigt und die Registerkarte „Zertifikate“ kann ausgewählt werden. Dadurch kann ein Zertifikat, das auf dem lokalen Gerät als Computerzertifikat konfiguriert ist, mit dem Serverdienst verknüpft werden.
Wenn die Registerkarte „Zertifikate“ nicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort.
- Wählen Sie aus, eine neue Zertifikatsbindung hinzuzufügen, und geben Sie die Bindungsinformationen an, sowie in welchem Verzeichnis auf dem lokalen Gerät das Zertifikat gespeichert wurde.
- Klicken Sie auf OK, um das Windows Hilfsprogramm zur Zertifikatsauswahl zu starten, und wählen Sie das passende Zertifikat aus.
- Sie müssen ein Zertifikat auswählen, dass mit der Bindung in der Registerkarte „Details“ übereinstimmt.
- Wählen Sie aus, eine neue Zertifikatsbindung hinzuzufügen, und geben Sie die Bindungsinformationen an, sowie in welchem Verzeichnis auf dem lokalen Gerät das Zertifikat gespeichert wurde.
-
Klicken Sie in der Registerkarte Schlüsselspeicher auf Neu.
Es muss ein Eintrag für jedes Verschlüsselungsschema erstellt werden, das über den Blue Prism Client definiert und zur Verwendung eines Schlüsselspeichers auf dem Anwendungsserver konfiguriert wurde.
Die Namen der Verschlüsselungsschemata müssen exakt mit denen aus dem Client übereinstimmen.
Wenn Sie eine Standardkonfiguration verwenden, muss nur ein Verschlüsselungsschema Standard-Verschlüsselungsschema genannt werden.
- Ist dies der erste Anwendungsserver, der für die Umgebung konfiguriert wird, wählen Sie AES-256 als Verschlüsselungsmethode aus.
-
Klicken Sie auf Schlüssel erzeugen und dann auf OK.
Wenn es sich um eine zusätzliche Anwendungsserverinstanz für eine bestehende Blue Prism Bereitstellung handelt, müssen Algorithmus und Schlüssel zu dem auf dem bestehenden Server passen.
Im Interesse der Sicherheit werden Schlüssel meist in separaten Dateien gespeichert, sodass sich die Zielorte kontrollieren lassen.
Ein Backup aller Schlüssel muss in einem sicheren Verzeichnis gespeichert werden – fällt der Server aus, wird es zum Abrufen verschlüsselter Daten benötigt.
-
Überprüfen Sie die Einstellungen in der Registerakte „Serverdienste“ und stellen Sie sicher, dass noch keine Probleme erkannt wurden.
- Klicken Sie auf Speichern.
Die Verschlüsselungseinstellungen des BP Servers können so konfiguriert werden, dass die Verschlüsselungsschlüssel des Servers geschützt werden, wenn Sie auf dem Anwendungsserver gespeichert sind.
Die Zertifikatsverschlüsselung der Serverkonfigurationsdateien wird für Bereitstellungen mit sehr hohen Sicherheitsanforderungen empfohlen, bei denen ein lokal bereitgestelltes Zertifikat mit einem zugehörigen privaten Schlüssel verfügbar sein muss. Siehe Verwenden der Zertifikatsverschlüsselung für weitere Informationen.
- Navigieren Sie zum Installationsverzeichnis von Blue Prism, standardmäßig unter C:\Programme\Blue Prism Limited\Blue Prism Automate und starten Sie BPServer.exe.
-
Klicken Sie auf Verschlüsselungseinstellungen, um die Verschlüsselungseinstellungen zu konfigurieren, die auf Daten in lokalen Konfigurationsdateien angewandt werden, die vom Blue Prism Anwendungsserver verwendet werden.
-
Wählen Sie im Dialogfeld „Verschlüsselungsmethode auswählen“ entweder die Standardverschlüsselung von Blue Prism oder ihr eigenes Zertifikat. Wir empfehlen die Verwendung eigener Zertifikate.
Wir empfehlen die Verwendung eigener Zertifikate. Siehe Verwenden der Zertifikatsverschlüsselung.
Wenn Sie Ihr eigenes Zertifikat verwenden möchten, geben Sie den Fingerabdruck Ihres Zertifikats ein. Dabei handelt es sich um die automatisch erzeugte ID des Zertifikats.
- Klicken Sie auf OK.
Verwenden der Zertifikatsverschlüsselung
Wenn Sie die Zertifikatsverschlüsselung für die Konfigurationsdaten des Anwendungsservers verwenden, müssen folgende Punkte berücksichtigt werden, um allen relevanten Komponenten Zugriff zu gewähren und die Verschlüsselung weiterhin sicherzustellen.
Zertifikatspeicher
Das Zertifikat zur Verschlüsselung von Serverkonfigurationsdaten muss RSA-Verschlüsselung verwenden und ein Paar aus öffentlichen/privaten Schlüsseln enthalten. Das Zertifikat muss auch auf dem lokalen Computer am folgenden Ort gespeichert werden:
[Zertifikate – Lokaler Computer\Eigene Zertifikate\Zertifikate].
Zertifikatszugriff
So stellen Sie sicher, dass der Benutzer, der den Blue Prism Server konfiguriert, und das Benutzerkonto, auf dem der Serverdienst ausgeführt werden, Lesezugriff auf die privaten Schlüssel des Zertifikats haben:
- Wählen Sie im Fenster „Computerzertifikate verwalten“ das Zertifikat aus, auf das Sie Lesezugriff gewähren müssen.
- Wählen Sie im Verknüpfungsmenü Alle Aufgaben > Private Schlüssel verwalten.
-
Vergewissern Sie sich im Dialogfeld „Berechtigungen“, dass das Benutzerkonto, auf dem der Serverdienst ausgeführt wird, Lesezugriff auf das Zertifikat hat. Fügen Sie alle Benutzer und Gruppen hinzu, die ebenfalls Lesezugriff auf das Zertifikat benötigen.
Wenn Sie die Schlüssel von Verschlüsselungsschemata in separaten Dateien speichern, wird die Zertifikatsverschlüsselung auf diese separaten Dateien angewandt. Wenn der Speicherort der separaten Dateien an andere Anwendungsserver weitergegeben wird, muss auf allen lokal dasselbe Zertifikat gespeichert werden und sie benötigen zumindest Lesezugriff auf den privaten Schlüssel.
Serverkonfigurationsdaten verschlüsseln
Wenn Sie Zertifikatsverschlüsselung verwenden, werden alle verschlüsselten Daten aus der Serverkonfiguration entschlüsselt und in geschütztem Speicher verwahrt. Bei der Auswahl einer neuen Verschlüsselungsmethode oder eines neuen Zertifikat-Fingerabdrucks wird die Datei gespeichert, die vertraulichen Daten werden beim Auslesen aus dem geschützten Speicher verschlüsselt und in die Datei geschrieben.
Wenn Sie die Zertifikatsverschlüsselung auswählen, werden folgende Anwendungsserver-Konfigurationsdaten verschlüsselt:
- Der Schlüssel des Verschlüsselungsschemas für das Ver- und Entschlüsseln vertraulicher Daten aus der Datenbank für die Blue Prism Serververbindung.
- Das Passwort zur Verbindung mit der Datenbank, wenn SQL Authentifizierung für Datenbankverbindungen verwendet wird.
Abgelaufene und fehlende Zertifikate
Das Ablaufdatum von benutzerdefinierten Verschlüsselungszertifikaten für Blue Prism Anwendungsserver-Konfigurationsdateien befindet sich im Bericht Umgebungszusammenfassung und wird auch in den Blue Prism Ereignislogs festgehalten. Zudem werden Benutzer bei der Anmeldung in Blue Prism benachrichtigt, wenn ein Zertifikat zur Verschlüsselung der Blue Prism Anwendungsserver-Konfigurationsdateien innerhalb der nächsten sieben Tage ablaufen wird.
Wenn ein Zertifikat abläuft, funktioniert es nicht mehr mit dem Blue Prism Anwendungsserver. Die Zertifikatsverschlüsselung funktioniert ggf. auch unter folgenden Umständen nicht mehr:
- Das Benutzerkonto, das den Server ausführt, hat keinen Zugriff auf den öffentlichen und/oder privaten Schlüssel. In diesem Fall wird eine Meldung angezeigt, dass die Konfiguration zurückgesetzt werden sollte.
- Das Zertifikat für die Verschlüsselung befindet sich jetzt nicht mehr im Zertifikatspeicher.
- Das Benutzerkonto hat keinen Zugriff mehr auf den Zertifikatspeicher des lokalen Computers. In diesem Fall wird beim Start ein Fehler ausgegeben, wenn das Zertifikat geladen wird.
Wenn das Zertifikat zur Verschlüsslung nicht abgerufen oder wiederhergestellt werden kann, muss der Benutzer, der den Blue Prism Server konfiguriert, die Serverkonfigurationsprofile erneut erstellen. Dazu löschen Sie die Datei Automate.config, die sich in folgenden Verzeichnissen befindet: ProgramData\Blue Prism Limited\Automate V3. Eine neue Version der Datei Automate.config wird automatisch erstellt, wenn BPServer.exe gestartet wird. Ein Verschlüsselungsschema und neue Zertifikate können auf die neue Serverkonfigurationsdatei angewandt werden.
Bei der Standardinstallation von Blue Prism wird ein Blue Prism Serverdienst erstellt, der das Servereinstellungsprofil namens „Standard“ verwendet. Wenn ein anders benanntes Profil verwendet wurde, kann mit dem Hilfsprogramm zur Serverkonfiguration ein mit dem benutzerdefinierten Profil verknüpfter Windows Dienst erstellt werden.
Der Windows Dienst sollte über die Managementkonsole für Windows Dienste auf dem lokalen Gerät konfiguriert werden. Die wichtigsten zu konfigurierenden Einstellungen sind:
- Art des Starts –Standardmäßig ist hier „Manuell“ eingestellt, aber für die meisten Umgebungen empfehlen wir „Automatisch“.
- Anmeldung – Das standardmäßig von Blue Prism verwendete Konto ist „Lokales System“, aber es kann ein benutzerdefiniertes Konto verwendet werden.
Wenn das Blue Prism Serverprofil über die Windows Authentifizierung mit der Datenbank kommuniziert, verwendet der Dienst bei der Verbindung mit der Datenbank das hier angegebene Konto.
Wenn SQL über die Windows Authentifizierung gesichert wird, benötigt das konfigurierte Windows Dienstkonto zumindest den entsprechenden Zugriff auf die SQL Datenbank.
Wenn Blue Prism für Single Sign-on konfiguriert wird, benötigt das konfigurierte Windows Dienstkonto die entsprechenden Berechtigungen für den Zugriff auf den Verzeichnisdienstanbieter, die Abfrage von Benutzern und die Gruppenmitgliedschaft. Die genauen erforderlichen Berechtigungen in Bezug auf Active Directory hängen von der Umgebung ab. Deshalb ist meist Unterstützung durch das Active Directory Administratorteam in der Zielumgebung erforderlich.
Wenn ein Service nicht gestartet werden kann oder beim Start sofort stoppt, kann dies auf ein Konfigurationsproblem hindeuten. Weitere Informationen über das Problem finden Sie im Blue Prism Anwendungslog in der Windows Ereignisanzeige.
Verwenden Sie das Blue Prism Hilfsprogramm für die Serverkonfiguration, um die Dienstkonfiguration erneut zu validieren.
Gängige Blue Prism Konfigurationen wie die Verwendung der Windows Authentifizierung zur Authentifizierung bei SQL können zu einem Fehler führen. Dies kann auftreten, wenn ein Benutzer ohne Administratorrechte als das Anmeldekonto des Diensts konfiguriert wurde. In solchen Fällen können Alarme wie der folgende ausgegeben werden:
Mit der Funktion „Berechtigungen verwalten“ können dem Dienstkonto die nötigen Berechtigungen zur Verwendung des festgelegten Ports verliehen werden. Folgende Regeln sind zu berücksichtigen:
- Wenn der Dienst zur Verwendung einer Bindung konfiguriert ist, muss eine spezifische Adressberechtigung erstellt werden.
- Wenn der Dienst nicht zur Verwendung einer Bindung konfiguriert ist, muss eine unspezifische Adressberechtigung verwendet werden.
Eine Adresse mit einem spezifischen Platzhalter kann nicht verwendet werden, wenn der Dienst eine definierte Bindung verwendet.
Starten Sie den Dienst über die Managementkonsole für Windows Dienste.
Wenn der Dienst nicht startet oder startet und dann sofort stoppt, so deutet dies darauf hin, dass es ein Problem mit der Serverkonfiguration gibt. Weitere Informationen finden Sie unter Fehlerbehebung einer Installation.
Der Serverdienst kann lokal getestet werden, indem Sie eine weitere Blue Prism Verbindung auf dem lokalen Gerät konfigurieren, das eine Verbindung über den neu konfigurierten Serverdienst herstellen soll.
-
Starten Sie Blue Prism und klicken Sie auf Verbindung konfigurieren.
-
Dadurch wird das Dialogfeld „Verbindungskonfiguration“ geöffnet, in dem Sie Verbindungsinformationen eingeben können:
- Verbindungsname – Lesbarer Name für die Verbindung.
- Verbindungstyp – Wählen Sie Blue Prism Server aus dem Dropdown-Menü aus.
- Blue Prism Server – Hostname des Blue Prism Servers. Muss mit der Serverbindung übereinstimmen und auflösbar sein.
- Verbindungsmodus – Der zu verwendende Verbindungsmodus. Dies muss mit dem Modus übereinstimmen, der auf dem Blue Prism Server konfiguriert ist.
- Server-Port – Der Port, den der Server überwacht.
-
Geordnete Sitzungen – Wird standardmäßig aktiviert und regelt, ob WCF-Verbindungssitzungen geordnet übertragen werden müssen oder nicht. Durch Deaktivieren dieser Einstellung wird die Verbindung des interaktiven Blue Prism Clients mit einer großen Menge an Laufzeitressourcen beschleunigt.
-
Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Verbindung hergestellt werden kann.
Wenn die Verbindung nicht verifiziert werden kann, weist dies auf ein Problem beim Herstellen der Verbindung zum Anwendungsserver hin. Weitere Informationen finden Sie unter Fehlerbehebung einer Installation und „Fehlerbehebung bei der Verbindung zum Anwendungsserver“.
Mit den beiden im lokalen Blue Prism Client konfigurierten Verbindungen können Administratoren jetzt folgendes überprüfen:
- Direkte Verbindungen zur Blue Prism Datenbank.
- Verbindungen zur Umgebung über den Anwendungsserver.
Wenn Sie die folgenden Verbindungsmodi mit einer Blue Prism Server Verbindung verwenden, muss ein Service Principal Name (SPN) für das AD-Konto (Active Directory) konfiguriert werden, unter dem jede Blue Prism Server Dienstinstanz ausgeführt wird:
- WCF: SOAP mit Nachrichtenverschlüsselung und Windows-Authentifizierung
- WCF: SOAP mit Transportverschlüsselung und Windows-Authentifizierung
- .NET Remoting: Sicher
Der Grund dafür ist, dass das Microsoft Negotiate Security Package verwendet wird, um den besten Security Support Provider (SSP) für die Authentifizierung der Verbindung auszuwählen, wenn sich ein interaktiver Blue Prism Client oder eine Laufzeitressource über einen der oben genannten Verbindungsmodi mit einem Anwendungsserver verbindet. Der interne Code des interaktiven Blue Prism Clients stellt die erwartete SPN für das Microsoft Negotiation Security Package bereit, das Microsoft Negotiation auffordert, den Kerberos SSP über den New Technology LAN Manager (NTLM) SSP auszuwählen, vorausgesetzt, die SPN ist in Active Directory vorhanden.
Wenn die SPN in Active Directory nicht vorhanden ist, schlägt die Kerberos-Authentifizierung fehl. Weitere Informationen zum Windows-Sicherheitsupdate für CVE-2022-21920, das sich auf dieses Verhalten auswirkt, finden Sie in diesem Knowledge Base-Artikel.
Ab Blue Prism 6.10.5 wird der NTLM SSP verwendet, wenn der SPN nicht in Active Directory vorhanden ist und wenn /forcentlm <flag> in Automate C eingestellt ist.
Es wird empfohlen, sich an das IT-Team Ihrer Organisation zu wenden, um Unterstützung bei dieser Konfiguration zu erhalten und die Konfiguration zunächst in einer Nicht-Produktionsumgebung zu testen.
Diese Konfiguration gilt für alle Blue Prism Umgebungen. Wenn sich jedoch das Active Directory-Konto, unter dem Ihre BP Server-Instanzen ausgeführt werden, in einer anderen Domain befindet als das Active Directory-Konto, das für den interaktiven Blue Prism Client und die Laufzeitressource verwendet wird, empfehlen wir die Installation des Windows-Sicherheitsupdates für CVE-2022-21920 nicht. Wenn Sie es bereits installiert haben, empfehlen wir Ihnen, es zu deinstallieren.
Um die SPN zu konfigurieren, befolgen Sie die folgenden Schritte für jede Blue Prism Serverdienst-Instanz:
-
Melden Sie sich beim Blue Prism Server mit einem privilegierten Windows-Benutzerkonto an, das Mitglied der Gruppe Domain-Admins oder Unternehmens-Admins ist.
Weitere Details, einschließlich der erforderlichen Berechtigungen, finden Sie in der Microsoft-Dokumentation in diesem Thema. Dies ist ein wesentlicher Schritt, den Sie mit dem IT-Team Ihrer Organisation besprechen müssen, um sicherzustellen, dass der Befehl Setspn nicht aufgrund von fehlenden Kontoberechtigungen fehlschlägt.
-
Öffnen Sie die Eingabeaufforderung als Administrator auf dem Anwendungsserver und führen Sie den folgenden Befehl aus.
Wenn der Blue Prism Server als lokales Systemkonto ausgeführt wird:
KopierenSetspn -S HTTP/SERVER_FQDN:SERVER_PORT/BPServer COMPUTER_HOSTNAME
Wenn der Blue Prism Server als Benutzerkonto ausgeführt wird:
KopierenSetspn -S HTTP/SERVER_FQDN:SERVER_PORT/BPServer DOMAIN\Username
Dabei gilt:
-
HTTP-Konten für HTTP und HTTPS. Ändern Sie den Befehl nicht, um HTTPS einzuschließen, da die Konfiguration fehlschlägt.
- SERVER_FQDN:SERVER_PORT muss der vollständig qualifizierte Domain-Name (FQDN) des Blue Prism Anwendungsservers sein.
-
COMPUTER_HOSTNAME ist der Hostname des Computers, wenn der BP Serverdienst als lokales Systemkonto ausgeführt wird.
-
DOMAIN\Username ist der Domain-Benutzername, wenn der BP Serverdienst als Benutzerkonto ausgeführt wird.
Dies sollte mit der Einstellung Anmelden als im Fenster Blue Prism Servereigenschaften (Lokaler Computer) übereinstimmen.
Beispiel mit lokalem System:
Beispiel mit DOMAIN\Username:
-
-
Nachdem Sie die SPN festgelegt haben, müssen Sie warten, bis der Kerberos-Ticket-Cache erneuert wird (die Standardeinstellung ist 15 Minuten, kann aber über die Gruppenrichtlinie geändert werden). Weitere Informationen finden Sie in der Kerberos-Authentifizierungsdokumentation.
Alternativ können Sie entweder:
- Starten Sie den interaktiven Blue Prism Client oder die Laufzeitressource neu; oder
-
Öffnen Sie auf dem Computer, auf dem der interaktive Client oder die Laufzeitressource ausgeführt wird, die Eingabeaufforderung und führen Sie die Klist-Löschung aus, um die Kerberos-Tickets zu aktualisieren.
Dieser Befehl sollte nicht innerhalb einer erhöhten Eingabeaufforderung ausgeführt werden, da er nicht alle Kerberos-Tickets des Benutzers löscht.
- Stellen Sie sicher, dass dies wie erwartet funktioniert, indem Sie sich über einen interaktiven Blue Prism Client, der auf einem anderen Computer ausgeführt wird, mit dem Blue Prism Server verbinden.
-
Wiederholen Sie die obigen Schritte für jede Instanz des Blue Prism Serverdienstes, die auf jedem Blue Prism Server ausgeführt wird.
Überprüfen Sie die SPN-Eingaben und entfernen Sie eine falsche SPN
-
Um SPN-Einträge für Fehlerbehebungszwecke zu überprüfen, können Sie eine Liste der hinzugefügten SPNs auf dem Anwendungsserver mit dem folgenden Befehl sehen:
-
Überprüfen Sie die Einträge für die SPNs, die Sie für den BP Serverdienst hinzugefügt haben. Sie können den Fehler entfernen, indem Sie den unten aufgeführten Befehl verwenden:
KopierenSetspn -D SPN_NAME ACCOUNTNAME
Wobei SPN_NAME der Name ist, der in der SPN-Eingabeliste angezeigt wird, z. B. HTTP/SERVER_FQDN:SERVER_PORT/BPServer.
Beispiel einer SPN-Liste:
Zusätzliche Konfiguration für Blue Prism Anwendungsserver in lastausgeglichenen Umgebungen
Es ist wichtig, dass alle Instanzen des Blue Prism Serverdienstes im gleichen Load Balancer-Pool unter demselben Dienstkonto ausgeführt werden und die SPN für dieses Konto registriert ist.
Darüber hinaus wird empfohlen, SPNs für die FQDNs des Anwendungsservers auf demselben Dienstkonto zu registrieren, da dies das Testen einer direkten Verbindung zu den Anwendungsservern ermöglicht. Für weitere Details siehe SPN-Fehlerbehebung.
Zusätzliche Konfiguration für Active Directory-Authentifizierung in Umgebungen mit mehreren Gesamtstrukturen
Diese Funktion ist nur ab Blue Prism 6.10.5 verfügbar.
Um die Kerberos-Authentifizierung in Blue Prism Umgebungen zu unterstützen, die für die Verwendung der Active Directory-Authentifizierung in mehreren Gesamtstruktursystemen konfiguriert sind, müssen die folgenden Einstellungen in Automate C konfiguriert werden:
-
/setkerberosrealm – Zum Beispiel /setkerberosrealm meinunternehmen.de. Muss für jede BP Server Verbindung im interaktiven Client konfiguriert werden, bei der sich der Kerberos-Bereich des Benutzers von dem des Kontos unterscheidet, das für die Ausführung vom BP Server konfiguriert ist.
Der Kerberos-Bereich ist in der Regel derselbe wie der Domain-Name. Bitte erkundigen Sie sich jedoch bei Ihrem IT-Team nach dem richtigen Wert. Dabei sollte es sich um den Bereich des Dienstkontos handeln, dass den Blue Prism Server Dienst ausführt. In einigen Umgebungen kann es erforderlich sein, dieselbe Konfiguration anzuwenden, in der das Dienstkonto in einer anderen Domain innerhalb derselben Gesamtstruktur vorhanden ist. Sie können überprüfen, ob der Kerberos-Bereich angegeben werden muss, indem Sie einen klist get-Befehl für einen SPN ausführen. Weitere Informationen finden Sie unter SPN-Fehlerbehebung.
-
/forcentlm <flag> – zum Beispiel /forcentlm true. Zwingt das Microsoft Negotiate Security Package dazu, bei der Authentifizierung der Blue Prism Serververbindung „New Technology LAN Manager (NTLM)“ als Security Support Provider (SSP) für die zuletzt verwendete oder angegebene Verbindung (mit dem Schalter /dbconname) auszuwählen. Diese Option wird bereitgestellt, damit NTLM verwendet werden kann, wenn Kerberos nicht verfügbar oder nicht konfiguriert ist.
Bitte wenden Sie sich an Ihr Sicherheitsteam, bevor Sie diese Option aktivieren, da NTLM als weniger sicheres Protokoll gilt.