单点登录

Blue Prism 支持使用 Microsoft Active Directory 域服务的单点登录,该服务允许经过操作系统身份验证且作为相应域和林成员的用户在无需重新提交凭据的情况下登录 Blue Prism。

Blue Prism 提供两种类型的环境,用于管理向平台进行 Active Directory 身份验证的过程:

  • 多重身份验证环境—支持 Active Directory 帐户,其中角色映射到 Blue Prism 中的各个用户。在多重身份验证环境中,Active Directory 用户可以包含在多个域和多个林中。此环境类型还支持 Blue Prism 原生身份验证和使用外部身份提供程序进行身份验证。有关更多详细信息,请参阅 Blue Prism 中的身份验证
  • 单一身份验证环境—在 Blue Prism 6.8 之前的版本中称为 Active Directory 单点登录身份验证,它仅支持 Active Directory 帐户,其中角色会映射到 Active Directory 安全组。在单一身份验证环境中,Active Directory 用户可以包含在多个域中,但只能包含在一个林中。

已在创建数据库时选择了环境类型,并且仅在由单一身份验证 Active Directory 环境转换为多重身份验证 Active Directory 环境时才能更改此环境类型。

给定的 Blue Prism 设备任何时候只能连接到一个环境,但可以将其配置为连接到多个环境,并且可以使用可用登录方法之一来配置每个环境。

多重身份验证 Active Directory

作为 Active Directory 域成员的 Blue Prism 管理员必须在 Blue Prism 客户端的以下屏幕上启用 Active Directory 身份验证:“系统”>“安全—登录设置”。

之后,他们必须通过 Active Directory 检索用户并向用户分配 Blue Prism 用户角色,以便创建 Active Directory 用户帐户从而让 Active Directory 登录选项显示在 Blue Prism 登录屏幕上。

要在多重身份验证环境中使用 Active Directory 身份验证,必须使用安全的连接类型通过 Blue Prism 应用程序服务器连接所有设备。请参阅下面的支持的连接模式

单一身份验证 Active Directory

在单一身份验证环境中配置 Active Directory 身份验证时,必须指定将与 Blue Prism 安全角色关联的安全组所在的 Active Directory 域。此外,还必须选择其成员将被授予系统管理员访问权限的安全组。

一旦为系统管理员配置了访问权限,就可以在其他 Blue Prism 安全角色和 Active Directory 安全组之间进行映射

支持的连接模式

Active Directory 身份验证仅支持以下客户端/服务器连接模式:

  • WCF:带消息加密和 Windows 身份验证的 SOAP
  • WCF:带传输加密和 Windows 身份验证的 SOAP
  • .NET Remoting:安全。

数据库转换

Blue Prism 管理员可将单一身份验证 Active Directory 数据库转换为多重身份验证 Active Directory 环境。这是一项单向的不可逆操作,可将 Blue Prism 环境中的所有单一身份验证帐户转换为多重身份验证帐户,并会根据 Active Directory 安全组成员身份自动将角色映射到各个用户(之后,组成员身份不再相关)。

使用单一身份验证环境的管理员可以在单点登录设置中使用该功能。

开始转换前的注意事项:

  • 您正在使用 Active Directory 身份验证支持的连接之一。
  • 您已备份您的数据库。
  • 您已停止了所有流程。
  • 环境中的所有用户和运行时资源均已注销。

关闭任何运行时资源后,管理员将需要等待两分钟,才能执行转换操作,否则,系统会提醒管理员,必须注销所有用户后才能执行转换操作。

请注意,根据您转换的用户的数量以及可能存在的延迟,数据库转换可能需要花费一些时间。

在将单一身份验证 Active Directory 环境转换为多重身份验证 Active Directory 环境时,系统现在会提示管理员创建恢复管理员用户,该用户将使用 Blue Prism 原生身份验证。在多重身份验证环境中,Active Directory 用户无法使用 Active Directory 凭据更新过期的许可证,因为 Blue Prism 服务器无法使用过期许可证启动,且 Active Directory 用户无法使用直接 SQL Server 数据库连接登录到此环境,所以转换过程中需要具有安全密码的原生用户。

数据库转换完成后,可删除该用户,但出于故障排除的目的,建议保留该用户,尤其是在所有管理员帐户都使用多重身份验证 Active Directory 的环境中。

有关管理多重身份验证用户帐户的更多信息,请参阅管理用户

运行时资源身份验证

在多重身份验证或单一身份验证环境中,运行时资源可以通过 Active Directory 进行身份验证,方法是当资源启动时在命令行中传递 /sso 开关。/sso 开关仅支持上述客户端/服务器连接模式

使用当前登录的 Windows 用户的凭据进行身份验证。在多重身份验证环境中,运行时资源继承映射到当前登录的 Windows 用户的 Blue Prism 用户角色。在单一身份验证环境中,运行时资源继承映射到当前登录的 Windows 用户已分配到的 Active Directory 安全组的 Blue Prism 角色。

故障排除

如果遇到任何问题,请参阅单点登录故障排除