Single Sign-on

Blue Prism unterstützt Single Sign-on über Microsoft Active Directory Domain Services. So können sich Benutzer, die vom Betriebssystem authentifiziert wurden und Mitglied der entsprechenden Domains und Gesamtstrukturen sind, ohne erneute Eingabe ihrer Anmeldedaten bei Blue Prism anmelden.

Blue Prism bietet zwei Umgebungstypen zur Verwaltung der Active Directory-Authentifizierung bei der Plattform:

  • Umgebung mit mehrfacher Authentifizierung – Unterstützt Active Directory-Konten, wobei Rollen einzelnen Blue Prism Benutzern zugeordnet werden. Bei Umgebungen mit mehrfacher Authentifizierung können Active Directory-Benutzer in mehreren Domains und Strukturen enthalten sein. Dieser Umgebungstyp unterstützt auch die native Blue Prism Authentifizierung sowie die Authentifizierung durch externe Identitätsanbieter. Weitere Informationen dazu finden Sie unter Authentifizierung bei Blue Prism.
  • Umgebung mit einfacher Authentifizierung – Wurde bis Blue Prism 6.8 als Active Directory Single Sign-On bezeichnet und unterstützt Active Directory-Konten nur, wenn die Rollen den Active Directory-Sicherheitsgruppen zugeordnet werden. Bei Umgebungen mit einfacher Authentifizierung können Active Directory-Benutzer in mehreren Domains, aber nur einer einzigen Struktur enthalten sein.

Der Umgebungstyp wird bei der Erstellung der Datenbank ausgewählt und kann nur geändert werden, wenn eine Active Directory-Umgebung mit einfacher Authentifizierung auf mehrfache Authentifizierung umgestellt wird.

Ein einzelnes Blue Prism Gerät kann sich zu einem beliebigen Zeitpunkt immer nur mit einer einzigen Umgebung verbinden, aber es kann auch so konfiguriert werden, dass es sich mit mehreren Umgebungen verbindet, die jeweils mit einer der verfügbaren Anmeldemethoden konfiguriert werden können.

Active Directory mit mehrfacher Authentifizierung

Blue Prism Administratoren, die Mitglieder einer Active Directory-Domain sind, müssen die Active Directory-Authentifizierung im Bildschirm unter System > Sicherheit – Anmeldungseinstellungen im Blue Prism Client aktivieren.

Dann müssen sie Active Directory-Benutzerkonten erstellen, indem sie Benutzer von Active Directory abrufen und ihnen Blue Prism Benutzerrollen zuordnen, damit die Active Directory-Anmeldeoption auf dem Blue Prism Anmeldebildschirm angezeigt wird.

Um Active Directory-Authentifizierung in einer Umgebung mit mehrfacher Authentifizierung zu nutzen, müssen alle Geräte über einen Blue Prism Anwendungsserver mit einem sicheren Verbindungstyp verbunden sein. Siehe Unterstützte Verbindungsmodi unten.

Active Directory mit einfacher Authentifizierung

Wenn Active Directory-Authentifizierung in einer Umgebung mit einfacher Authentifizierung konfiguriert wird, muss die Active Directory-Domain angegeben werden, in der sich die Sicherheitsgruppen befinden, die den Blue Prism Sicherheitsrollen zugeordnet werden sollen. Zudem muss die Sicherheitsgruppe ausgewählt werden, deren Mitglieder den Zugriff eines Systemadministrators erhalten.

Nachdem die Systemadministratoren Zugriff erhalten haben, kann die Zuordnung von anderen Blue Prism Sicherheitsrollen und Active Directory-Sicherheitsgruppen vorgenommen werden.

Unterstützte Verbindungsmodi

Nur die folgenden Client-/Server-Verbindungsmodi werden für die Active Directory-Authentifizierung unterstützt:

  • WCF: SOAP mit Nachrichtenverschlüsselung und Windows Authentifizierung
  • WCF: SOAP mit Transportverschlüsselung und Windows-Authentifizierung
  • .NET Remoting: Sicher.

Datenbankkonvertierung

Blue Prism Administratoren können eine Active Directory-Datenbank mit einfacher Authentifizierung auf eine Active Directory-Umgebung mit mehrfacher Authentifizierung umstellen. Dieser Vorgang kann nicht rückgängig gemacht werden. Dabei werden alle Konten mit einfacher Authentifizierung einer Blue Prism Umgebung auf mehrfache Authentifizierung umgestellt. Rollen werden einzelnen Benutzern dabei automatisch anhand Ihrer Mitgliedschaft in Active Directory-Sicherheitsgruppen zugewiesen (danach ist die Gruppenmitgliedschaft nicht mehr von Bedeutung).

Diese Funktion kann von Administratoren in den Einstellungen für Single Sign-on eingestellt werden, die die Umgebung mit einfacher Authentifizierung verwenden.

Stellen Sie vor der Umstellung Folgendes sicher:

  • Sie verwenden eine der unterstützten Verbindungen für die Active Directory-Authentifizierung.
  • Sie haben ein Backup Ihrer Datenbank erstellt.
  • Sie haben alle Prozesse beendet.
  • Alle Benutzer und Laufzeitressourcen sind von der Umgebung abgemeldet.

Nach dem Beenden der Laufzeitressourcen muss der Administrator zwei Minuten warten, bevor die Konvertierung durchgeführt werden kann. Andernfalls erscheint eine Meldung, dass alle Benutzer abgemeldet werden müssen, bevor die Konvertierung durchgeführt werden kann.

Beachten Sie, dass die Datenbankkonvertierung je nach Anzahl der konvertierten Benutzer und potenzieller Latenz einige Minuten dauern kann.

Beim Konvertieren einer Active Directory-Umgebung mit einfacher Authentifizierung in eine Active Directory-Umgebung mit mehrfacher Authentifizierung werden Administratoren jetzt aufgefordert, einen Wiederherstellungsadministrator zu erstellen, der die native Blue Prism Authentifizierung verwendet. Ein nativer Benutzer mit einem sicheren Passwort ist während des Konvertierungsprozesses erforderlich, da Active Directory-Benutzer in einer Umgebung mit mehrfacher Authentifizierung keine abgelaufene Lizenz mit Active Directory-Anmeldedaten aktualisieren können, da ein Blue Prism Server nicht mit einer abgelaufenen Lizenz gestartet werden kann und Active Directory-Benutzer sich nicht über eine direkte SQL Server-Datenbankverbindung bei dieser Umgebung anmelden können.

Dieser Benutzer kann entfernt werden, wenn die Datenbankkonvertierung abgeschlossen ist. Es wird jedoch empfohlen, ihn zu Fehlerbehebungszwecken beizubehalten. Das gilt insbesondere für Umgebungen, in denen alle Administratorkonten Active Directory mit mehrfacher Authentifizierung verwenden.

Weitere Informationen zur Verwaltung von Benutzerkonten mit mehrfacher Authentifizierung finden Sie unter Benutzer verwalten.

Authentifizierung von Laufzeitressourcen

Laufzeitressourcen können sich per Active Directory in einer Umgebung mit mehrfacher oder einfacher‑Authentifizierung authentifizieren, indem der Schalter „/sso“ in der Befehlszeile beim Ressourcenstart übergeben wird. Der Schalter „/sso“ unterstützt nur die oben genannten Client-/Server-Verbindungsmodi.

Die Authentifizierung erfolgt mit den Anmeldedaten des aktuell angemeldeten Windows Benutzers. In einer Umgebung mit mehrfacher Authentifizierung erbt die Laufzeitressource die Blue Prism Benutzerrollen, die dem aktuell angemeldeten Windows Benutzer zugeordnet sind. In einer Umgebung mit einfacher Authentifizierung erbt die Laufzeitressource die Blue Prism Rollen, die den Active Directory-Sicherheitsgruppen zugeordnet sind, denen der aktuell angemeldete Windows Benutzer zugewiesen wurde.

Fehlerbehebung

Bei Problemen lesen Sie Fehlerbehebung für Single Sign-on.