シングルサインオン
Blue Prismは、Microsoft Active Directory Domain Servicesを使用したシングルサインオンをサポートしています。このため、オペレーティングシステムによって認証された、適切なドメインとフォレストのメンバーであるユーザーは、認証情報を再送信せずにBlue Prismにログインできます。
Blue Prismは、プラットフォームに対するActive Directory認証を管理する2つのタイプの環境を提供しています。
- マルチ認証環境 - Blue Prismで個々のユーザーに対して役割がマッピングされたActive Directoryアカウントをサポートします。マルチ認証環境では、複数のドメインと複数のフォレストにActive Directoryユーザーを含めることができます。この環境タイプではBlue Prismネイティブ認証と外部IDプロバイダー経由認証もサポートしています。詳細については「Blue Prismでの認証」を参照してください。
- シングル認証環境 - Blue Prism6.8より前のバージョンではActive Directoryシングルサインオン認証と呼ばれ、役割がActive DirectoryセキュリティグループにマッピングされているActive Directoryアカウントのみをサポートします。シングル認証環境では、Active Directoryユーザーは複数のドメインと単一のフォレストに含めることができます。
環境タイプは、データベースの作成時に選択され、シングル認証のActive Directory環境をマルチ認証のActive Directory環境に変換する場合にのみ変更できます。
特定のBlue Prismデバイスは、一度に1つの環境にしか接続できませんが、多数の環境に接続するように構成できます。それぞれの環境に、利用可能なサインイン方法を構成できます。
マルチ認証Active Directory
Active DirectoryドメインのメンバーのBlue Prism管理者は、Blue Prismクライアントの[システム] > [セキュリティ - サインオン設定]画面でActive Directory認証を有効にする必要があります。
次に、Active Directoryからユーザーを取得してActive Directoryユーザーアカウントを作成し、Blue Prismユーザーの役割に割り当て、Active DirectoryサインインオプションをBlue Prismログイン画面に表示できるようにします。
マルチ認証環境でActive Directory認証を使用するには、すべてのデバイスをBlue Prismアプリケーションサーバーを介してセキュアな接続タイプで接続する必要があります。以下のサポートされている接続モードを参照してください。
シングル認証Active Directory
シングル認証環境でActive Directory認証を構成する場合は、Blue Prismセキュリティの役割に関連付けられるセキュリティグループが存在するActive Directoryドメインを指定する必要があります。さらに、メンバーにシステム管理者アクセス権を付与するセキュリティグループを選択する必要があります。
システム管理者がアクセス権を構成したら、他のBlue PrismセキュリティロールとActive Directoryセキュリティグループ間のマッピングを実行できます。
サポートされている接続モード
Active Directory認証では、次のクライアント/サーバー接続モードのみがサポートされています。
- WCF:メッセージの暗号化とWindows認証を使用するSOAP
- WCF:トランスポートの暗号化とWindows認証を使用するSOAP
- .NET Remoting:セキュア
データベース変換
Blue Prism管理者は、シングル認証のActive Directoryデータベースをマルチ認証のActive Directory環境に変換できます。これは一方向の不可逆的な操作であり、Blue Prism環境内のすべてのシングル認証アカウントをマルチ認証アカウントに変換し、Active Directoryセキュリティグループメンバーシップに基づいて個々のユーザーに役割を自動的にマッピングします(その後、グループメンバーシップは関係なくなります)。
この機能は、シングル認証環境を使用している管理者のシングルサインオン設定で使用できます。
変換を開始する前に以下の点を確認してください。
- Active Directory認証でサポートされている接続のいずれかを使用している。
- データベースのバックアップを取得済みである。
- すべてのプロセスが停止されている。
- すべてのユーザーとランタイムリソースが環境からログアウトしている。
すべてのランタイムリソースを閉じた後、管理者は変換を実行できるようになるまで2分間待つ必要があります。待たずに実行すると、変換を続行する前にすべてのユーザーがログアウトしなければならないことを示すメッセージが表示されます。
変換するユーザー数や潜在的なレイテンシによっては、データベースの変換に数分かかる場合があります。
シングル認証Active Directory環境をマルチ認証Active Directory環境に変換する場合、管理者は、Blue Prismネイティブ認証を使用するリカバリ管理者ユーザーを作成するよう求められるようになりました。マルチ認証環境のActive Directoryユーザーは、Active Directory認証情報を使用して期限切れのライセンスを更新できないため、変換プロセス中にセキュアパスワードを持つネイティブ ユーザーが必要です。これは、Blue Prismサーバーが期限切れのライセンスで起動できず、Active DirectoryユーザーはSQL Serverデータベース接続を使用してこの環境にサインインできないためです。
このユーザーはデータベースの変換が完了したら削除することができますが、トラブルシューティングの目的で保持することをお勧めします。特に、すべての管理者アカウントがマルチ認証Active Directoryを使用する環境では、これを保持しておくことが推奨されます。
マルチ認証ユーザーアカウントの管理の詳細については、「ユーザーを管理する」を参照してください。
ランタイムリソース認証
ランタイムリソースはリソースの起動時にコマンドラインで/ssoスイッチを渡すことにより、Active Directoryを介してマルチ認証環境またはシングル認証環境で認証できます。/ssoスイッチは上記のクライアント/サーバー接続モードのみをサポートします。
認証は現在ログインしているWindowsユーザーの認証情報を使用して行われます。マルチ認証環境では、ランタイムリソースは、現在ログインしているWindowsユーザーにマッピングされているBlue Prismユーザーの役割を継承します。シングル認証環境では、ランタイムリソースは、現在ログインしているWindowsユーザーに割り当てられているActive DirectoryセキュリティグループにマッピングされているBlue Prismの役割を継承します。
トラブルシューティング
問題が発生した場合は、「シングルサインオンのトラブルシューティング」を参照してください。