Inicio de sesión único

Blue Prism admite inicio de sesión único con los servicios de dominio de Directorio Activo de Microsoft, para permitir que los usuarios autenticados por el sistema operativo, y que además son miembros de los dominios y los bosques adecuados, inicien sesión en Blue Prism sin tener que volver a enviar sus credenciales.

Blue Prism ofrece dos tipos de entornos para administrar la autenticación con Directorio Activo a la plataforma:

  • Entorno de autenticación múltiple: admite cuentas de Directorio Activo cuyos roles están asignados a usuarios individuales en Blue Prism. En entornos de autenticación múltiple, los usuarios de Directorio Activo pueden contenerse en múltiples dominios y múltiples bosques. Este tipo de entorno también admite la autenticación nativa de Blue Prism y mediante proveedor de identidad externa. Para obtener más detalles, consulte Autenticación en Blue Prism.
  • Entorno de autenticación única: conocido como Inicio de sesión único de Directorio Activo en versiones anteriores de Blue Prism 6.8, admite solo cuentas de Directorio Activo cuyos roles se asignan a Grupos de Seguridad de Directorio Activo. En entornos de autenticación única, los usuarios de Directorio Activo pueden contenerse en múltiples dominios pero en un solo bosque.

El tipo de entorno se selecciona cuando se crea la base de datos, y solo puede cambiarse al convertir de un entorno de Directorio Activo de autenticación única a un entorno de Directorio Activo de autenticación múltiple.

Un dispositivo de Blue Prism solo puede conectarse a un entorno a la vez, pero puede configurarse para que se conecte a muchos entornos, cada uno de los cuales puede configurarse con uno de los métodos de inicio de sesión disponibles.

Directorio Activo de autenticación múltiple

Los administradores de Blue Prism que son miembros de un dominio de Directorio Activo deben habilitar la autenticación de Directorio Activo en la pantalla Sistema > Seguridad: Configuración de inicio de sesión en el cliente de Blue Prism.

A continuación, deben crear cuentas de usuario de Directorio Activo recuperando usuarios de Directorio Activo y asignándolos a roles de usuario de Blue Prism para que la opción de inicio de sesión de Directorio Activo aparezca en la pantalla de inicio de sesión de Blue Prism.

Para usar la autenticación de Directorio Activo en un entorno de autenticación múltiple, todos los dispositivos deben conectarse a través de un servidor de aplicaciones de Blue Prism con un tipo de conexión segura. Consulte los tipos de conexión admitidos a continuación.

Directorio Activo de autenticación única

Al configurar la autenticación de Directorio Activo en un entorno de autenticación única, debe especificarse el dominio de Directorio Activo donde residirán los grupos de seguridad que se asociarán con los roles de seguridad de Blue Prism. Además, debe seleccionarse el grupo de seguridad a cuyos miembros se otorgará acceso de Administrador del sistema.

Una vez que los administradores del sistema hayan sido configurados con acceso, se puede realizar la asignación entre los otros roles de seguridad de Blue Prism y los Grupos de Seguridad de Directorio Activo.

Modos de conexión compatibles

Solo se admiten los siguientes modos de conexión cliente/servidor para la autenticación de Directorio Activo:

  • WCF: SOAP con cifrado de mensajes y autenticación de Windows,
  • WCF: SOAP con cifrado de transporte y autenticación de Windows
  • .NET Remoting: seguro.

Conversión de bases de datos

Los administradores de Blue Prism pueden convertir una base de datos de Directorio Activo de autenticación única en un entorno de Directorio Activo de autenticación múltiple. Esta es una operación irreversible y que puede realizarse en un solo sentido, que convierte todas las cuentas de autenticación única en un entorno de Blue Prism en cuentas de autenticación múltiple, y asigna automáticamente roles a usuarios individuales en función de su membresía a Grupos de Seguridad de Directorio Activo (después de lo cual esa membresía deja de ser relevante).

Esta característica está disponible en la configuración de inicio de sesión único para administradores que usan el entorno de autenticación simple.

Antes de iniciar la conversión, asegúrese de lo siguiente:

  • Está usando una de las conexiones admitidas para autenticación de Directorio Activo.
  • Se ha guardado una copia de seguridad de su base de datos.
  • Se han detenido todos los procesos.
  • Se han cerrado todos los recursos de tiempo de ejecución y las sesiones de usuario en el entorno.

Después de cerrar cualquier recurso de tiempo de ejecución, el administrador deberá esperar dos minutos para poder realizar la conversión; de lo contrario, se le recordará que todos los usuarios deben cerrar sesión antes de continuar con la conversión.

Tenga en cuenta que, en función de la cantidad de usuarios que se conviertan y de cualquier potencial latencia, la conversión de la base de datos puede tardar algunos minutos.

Al convertir un entorno de Directorio Activo de autenticación única a un entorno de Directorio Activo de autenticación múltiple, los administradores reciben una solicitud para crear un usuario administrador de recuperación que utilice la autenticación nativa de Blue Prism. Se requiere un usuario nativo con una contraseña segura durante el proceso de conversión, ya que los usuarios de Directorio Activo en un entorno de autenticación múltiple no pueden actualizar una licencia vencida con credenciales de Directorio Activo. Esto se debe a que un servidor de Blue Prism no puede iniciarse con una licencia vencida y los usuarios de Directorio Activo no pueden iniciar sesión en este entorno con una conexión directa de base de datos del Servidor SQL.

Si bien este usuario se puede eliminar una vez que se haya completado la conversión de la base de datos, se recomienda conservarlo para solucionar problemas, especialmente en entornos donde todas las cuentas de administrador utilizan Directorio Activo de autenticación múltiple.

Para obtener más información sobre la administración de cuentas de usuario de autenticación múltiple, consulte Administrar usuarios.

Autenticación de recursos de tiempo de ejecución

Los recursos de tiempo de ejecución pueden autenticarse a través de Directorio Activo, sea con autenticación única o múltiple, agregando el modificador /sso en la línea de comandos durante el inicio del recurso. El modificador /sso admite solo los modos de conexión cliente/servidor mencionados anteriormente.

La autenticación se realiza con las credenciales del usuario de Windows con sesión iniciada en ese momento. En un entorno de autenticación múltiple, el recurso de tiempo de ejecución hereda los roles de usuario de Blue Prism asignados al usuario de Windows con sesión iniciada en ese momento. En un entorno de autenticación única, el recurso de tiempo de ejecución hereda los roles de usuario de Blue Prism asignados a los Grupos de Seguridad de Directorio Activo a los cuales se ha asignado al usuario de Windows con sesión iniciada en ese momento.

Solución de problemas

Si tiene algún problema, consulte Solución de problemas de inicio de sesión único.