配置数据网关以进行 SQL 身份验证

先决条件

配置数据网关之前,必须满足以下条件:

  • Blue Prism 版本必须是企业版 6.8 或以上版本,必须配置为至少通过一个应用程序服务器进行连接。
  • 数据网关需要专用的 SQL Server 登录,才能访问 SQL Server 中创建的 Blue Prism 数据库。无论使用 SQL 还是 Windows 身份验证,用户都必须使用 BPA_DataGateways 角色访问 Blue Prism 数据库。
  • 运行 Blue Prism 应用程序服务器流程的用户帐户,必须具有对存储 Logstash 配置文件 (bpconf.config) 的文件目录的读写权限。默认安装位置为:C:\Program Files\Blue Prism Limited\Blue Prism Automate。

SQL 登录的身份验证选项

您需要创建 SQL 登录凭据来访问 Blue Prism 数据网关数据库(详见下文相关的身份验证方法)。然后您可以使用以下身份验证方法之一:

  • 使用现有的或专用的(推荐的)凭据的 Windows 身份验证(集成安全)。如果使用现有的 Windows 身份验证凭据,数据网关流程将在与 Blue Prism 应用程序服务器服务相同的用户背景下运行。如果您选择此身份验证方法,请参阅配置数据网关以进行 Windows 身份验证了解详细信息。
  • 使用通过 Blue Prism 数据网关配置进行配置的凭据的 SQL 身份验证(见本部分)。服务将在数据网关服务环境下运行。

步骤

数据网关要求在应用程序服务器运行数据网关流程所用的环境中安装和配置多个组件。数据网关组件包含在另一个安装程序,即 Blue Prism 数据网关组件中,可从 Blue Prism 门户获得,请参阅 https://portal.blueprism.com/product/extras

数据网关需要使用 SQL 登录凭据,而且需要根据 Blue Prism 数据库创建 Windows 身份验证或 SQL 用户。本节说明如何创建 SQL 登录凭据和 Windows 身份验证用户。

利用 Microsoft SQL Server Management Studio 创建使用 SQL Server 身份验证的 SQL 登录凭据。或者,也可以运行下面的 SQL 脚本。

创建 SQL 登录凭据和用户

如果计划在数据库上使用 SQL 身份验证,则可以对 Blue Prism 数据库所在的服务器实例运行以下 SQL 查询。该查询将创建允许数据网关访问服务器的登录凭据和用户。

要创建登录凭据,用户必须具有服务器上的“ALTER ANY LOGIN”权限,或者具有 securityadmin 或 sysadmin 固定服务器角色的成员关系。

要创建 SQL 登录凭据和用户,请运行以下命令:

CREATE LOGIN [loginname] WITH PASSWORD = 'password';

CREATE USER [username] FOR LOGIN [loginname];

GO

sp_addrolemember 'BPA_DataGatewaysEngine', ‘[username]’

GO

在运行查询之前,输入所需的 Blue Prism 数据库,并将 password 替换为用于数据网关登录的复杂密码。例如:

CREATE LOGIN [数据网关 SQL 登录] WITH PASSWORD = '&CTh76£NkM';

username 替换为您选择的用户名,并将 loginname 替换为 SQL 登录凭据名称。例如:

CREATE USER [数据网关用户] FOR LOGIN [数据网关 SQL 登录];

GO

sp_addrolemember 'BPA_DataGatewaysEngine', ‘[数据网关 SQL 用户]’

GO

本节描述如何在 BP 服务器中启用数据网关,并应用于 SQL 身份验证和 Windows 身份验证用户。

必须在运行数据网关所需的所有应用程序服务器上启用数据网关流程和定义关联的端口。

  1. 打开 BPServer.exe 及相关环境的服务器配置。
  2. 点击数据网关设置选项卡。
  3. 选择启用数据网关流程,并输入应用程序服务器将侦听用于启动或停止数据网关流程命令的端口。

    同一环境中的其他 Blue Prism 应用程序服务器也使用该端口来控制数据网关引擎。除非应用程序服务器上的另一个流程已经使用默认端口 (8101),否则可以将该端口保留为默认端口。确保安全系统(如防火墙)不会阻止其他应用程序服务器通过此端口与数据网关引擎进行通信。

    要更改端口号,必须先停止应用程序服务器。

  4. 如果需要,请选择日志数据网关输出到控制台,以将高级别数据网关消息发送到 BPServer 中的控制台日志。这些数据可用于帮助诊断数据网关集成方面的任何潜在问题。如果不是特别需要,则不应保留此选项。
  5. 选择启用跟踪日志记录以启用详细的数据网关日志记录,它可用于进一步诊断 Blue Prism 与数据网关之间存在的任何问题。
  6. 在数据网关用户详细信息中,选择以下选项之一:
    • 以当前用户身份运行—数据网关引擎将在与 Blue Prism 服务器服务相同的环境中运行。如果数据网关引擎将使用 SQL 身份验证帐户登录到 Blue Prism 数据库,请选择此选项。要使用的凭据将通过数据网关配置单独指定。
    • 以特定用户身份运行—数据网关引擎将在所提供的窗口或网络帐户环境下运行。如果数据网关引擎将使用 Windows 身份验证帐户登录到 Blue Prism 数据库,请选择此选项。它将使用指定的凭据访问 SQL。如果选择此选项,则需要在运行数据网关引擎的应用程序服务器上进行其他配置,才能配置在此环境中运行的 Logstash 组件可以访问的临时文件夹。请参阅“以特定用户身份运行”所需的其他配置,了解详细信息。
  7. 不推荐使用以当前用户身份运行通过 Windows 身份验证访问 Blue Prism 数据库。此配置将导致使用运行 Blue Prism 服务器服务的帐户访问数据库,这可能导致数据网关功能对数据库的访问超出应有的权限。
  8. 如果使用集成安全性,我们建议您使用自己的证书来加密 Blue Prism 服务器配置文件,以使配置数据更加安全。这可以通过 BPServer.exe 中的管理配置加密设置进行配置。
  9. 点击“保存”应用设置。
  10. 从“Windows 服务”菜单启动 Blue Prism 服务器服务。

“以特定用户身份运行”所需的其他配置

如果您已将数据网关配置为以特定用户身份运行,则需要执行以下步骤来配置在此环境中运行的 Logstash 组件可以访问的临时文件夹。如果您需要数据网关引擎才能使用 Windows 身份验证对数据库进行身份验证,通常选择以特定用户身份运行

必须在运行数据网关引擎的应用程序服务器上执行以下步骤:

  1. 在 C:\驱动器上创建一个新的临时目录,例如 dg-user-access
  2. 为该目录分配默认的已验证用户权限。
  3. 在文本编辑器中打开 C:\Logstash\logstash\config\jvm.options 文件。

  4. 将临时目录的路径添加到 -Djava.io.tmpdir= 行。如果该行添加了注释,则取消为该行注释(从该行的开头删除 #)。

  5. 保存更改。
  6. 重新启动数据网关服务或应用程序服务器以应用更新。

数据网关凭据是一种可以在配置数据网关时使用的凭据记录。它们可用于存储访问数据库或 HTTP 端点所需的凭据。除此之外,还必须创建数据网关凭据来存储 SQL Server 用户帐户,该帐户为数据网关引擎提供对 Blue Prism 数据库的访问权限(如果使用 SQL 而不是 Windows 身份验证)。

数据网关凭据类型的凭据只能由应用程序服务器在生成数据网关配置时访问—它们不能用于标准 Blue Prism 流程或其他 Blue Prism 元素(如 Web API 定义)。

为 Blue Prism 数据库 SQL Server 用户添加凭据

创建凭据来存储必要的 SQL Server 用户帐户,以便安全访问 Blue Prism 数据库。

凭据名称、用户名和密码必须与已经为 SQL Server 登录创建的凭据名称、用户名和密码完全一样。

  1. 选择系统选项卡。

  2. 选择“安全”>“凭据”

  3. 点击新建。此时将显示“凭据详细信息”窗口。
  4. 配置以下凭据:
    • 名称—输入您已创建的 SQL Server 登录名称。
    • 类型—选择“数据网关凭据”
    • 用户名—输入您已为 SQL Server 登录创建的用户名。
    • 密码—为 SQL Server 用户指定的密码。

  5. 点击确定保存凭据。

如果尝试删除当前正在使用的数据网关凭据,系统会显示警告消息,并会提示您确认删除。

通过确定将处理哪些数据、在何处处理相关数据以及发送数据的频率来配置数据网关引擎。

  1. 系统选项卡,选择数据网关 > 设置

  2. 选择所需选项,确定会话日志数据的存储位置(至少需要选中一个选项):
    • 将会话日志写入数据库—会话日志将会发送至 Blue Prism 数据库的会话日志表。如果未选择,则在 Blue Prism 客户端中查看新会话日志的功能将不可用。只有当您不再希望通过 Blue Prism 用户界面访问新的会话日志记录时,才可更改该默认设置。

    • 将会话日志发送到数据网关—会话日志将发送到 Blue Prism 数据库上的临时存储表,数据网关引擎将在该表中访问这些日志,以便在配置的输出中使用。在经过数据网关处理后,将在临时表中删除日志。

      • 如果处理数据的过程中无法访问指定的 HTTP、Splunk 或数据库数据网关端点,则在该端点恢复可用之前,系统会暂时存储这些数据。有关详细信息,请参阅当端点不可用时的数据存储

  3. 选择将已发布仪表盘发送至数据网关,来将数据从已发布的仪表盘发送到数据网关系统中的数据库表,并设置为每个仪表盘发送数据的频率。有关 Blue Prism 仪表盘的更多信息,请参阅产品内帮助中的仪表盘主题。

  4. 选择将工作队列分析快照数据发送到数据网关,以将工作队列分析数据发送至数据库。有关 Blue Prism 工作队列分析快照的更多信息,请参阅产品内帮助中的工作队列快照主题。
  5. 将“状态监控频率”设置成 5 到 3600 秒之间的值。这决定了“控制室”屏幕中“数据网关”屏幕的刷新频率。
  6. 选择 Blue Prism 数据库连接设置将用于连接到 Blue Prism 数据库的用户类型。
    • 集成安全性—Windows 身份验证将用于连接到 Blue Prism 数据库。将使用 Blue Prism 服务器上的“数据网关设置”选项卡中配置的帐户。
    • SQL 身份验证用户—将使用 SQL 身份验证。选择已经添加的凭据,其中包含要使用的 SQL 凭据。只有配置为数据网关凭据的凭据才可选择。
  7. 如果需要,更新用于 Blue Prism 数据库连接设置的默认端口。数据网关将使用此端口尝试连接到 Blue Prism 数据库。默认值为 1433。
  8. 点击“应用”保存设置。

数据网关配置是一个输出集合,用于定义会话日志数据、已发布的仪表盘和/或自定义对象发送到的位置。对于每个输出,可以将数据发送到文件、HTTP 端点、Splunk 实例或数据库。

数据网关配置可以包含任意数量的单独输出。每个输出中的数据会添加到单个配置文件中。

  1. 点击“系统”选项卡并选择“数据网关”>“配置”

  2. 点击“添加新的网关输出”。此时将显示数据网关输出向导。

  3. 输入唯一的输出名称。
  4. 选择输出类型(文件HTTP 端点Splunk数据库),并填写该输出类型的字段。
  5. 点击下一步
  6. 选择要发送到指定输出类型的配置文件数据:
    • 会话日志—数据网关将处理指定输出类型的会话日志数据。如果您为任何输出类型选择此选项,请选择输出中将包含的会话日志数据。

    • 已发布的仪表盘—数据网关将处理已配置且已发布的仪表盘中指定输出类型的数据。
    • 工作队列分析快照数据—数据网关将处理指定输出类型的工作队列分析数据。
    • 自定义对象数据—数据网关将处理来自任何配置为使用数据网关内部业务对象的 Blue Prism 操作的数据。

  7. 点击下一步。此时将显示输出数据的预览。

    通过点击“编辑高级输出”可以直接编辑生成的输出中的数据。有关高级配置的更多信息,请参阅高级输出

  8. 点击完成以将输出保存至配置。

  9. 系统会显示一条数据网关消息,提示您重新启动数据网关以应用任何更改。点击“确定”关闭消息。有关重新启动数据网关流程的更多信息,请参阅启动和停止数据网关引擎