Authentification unique

Blue Prism prend en charge l'authentification unique à l'aide des services de domaine Microsoft Active Directory, ce qui permet aux utilisateurs qui se sont authentifiés sur le système d'exploitation, et qui sont membres des forêts et domaines adéquats, de se connecter à Blue Prism sans devoir fournir à nouveau leurs identifiants.

Blue Prism propose deux types d'environnement pour la gestion de l'authentification Active Directory à la plateforme :

  • Environnement à authentification multiple : prend en charge les comptes Active Directory dans lesquels les rôles sont mappés aux utilisateurs individuels dans Blue Prism. Dans les environnements à authentification multiple, les utilisateurs Active Directory peuvent se trouver dans plusieurs domaines et forêts. Ce type d'environnement prend également en charge l'authentification native Blue Prism. Consultez Authentification dans Blue Prism pour en savoir plus.
  • Environnement à authentification unique : cet environnement, appelé l'authentification unique Active Directory dans les versions précédentes de Blue Prism, prend en charge les comptes Active Directory uniquement avec les rôles mappés à des groupes de sécurité Active Directory. Dans les environnements à authentification unique, les utilisateurs Active Directory peuvent se trouver dans plusieurs domaines, mais uniquement dans une seule forêt.

Le type d'environnement est sélectionné lors de la création de la base de données, et il peut uniquement être modifié en convertissant un environnement Active Directory à authentification unique en un environnement Active Directory à authentification multiple.

Un appareil Blue Prism donné ne peut se connecter qu'à un seul environnement à la fois, mais il peut être configuré pour se connecter à plusieurs environnements. Chacun de ces environnements peut être configuré à l'aide d'une des méthodes de connexion disponibles.

Active Directory à authentification multiple

Les administrateurs Blue Prism qui sont membres d'un domaine Active Directory doivent activer l'authentification Active Directory sur l'écran Système > Sécurité - Réglages d'authentification dans le client Blue Prism.

Ils doivent ensuite créer des comptes utilisateurs Active Directory en récupérant des utilisateurs dans Active Directory et en les attribuant à des rôles d'utilisateur de Blue Prism, afin que l'option de connexion Active Directory s'affiche sur l'écran de connexion Blue Prism.

Pour utiliser l'authentification Active Directory dans un environnement à authentification multiple, tous les appareils doivent être connectés via un serveur d'applications Blue Prism doté d'un type de connexion sécurisé. Voir modes de connexion pris en charge ci-dessous.

Active Directory à authentification unique

Lors de la configuration de l'authentification Active Directory dans un environnement à authentification unique, il est nécessaire de spécifier le domaine Active Directory dans lequel les groupes de sécurité qui seront associés aux rôles de sécurité de Blue Prism résideront. De plus, le groupe de sécurité dont les membres ont un accès administrateur système doit être sélectionné.

Une fois les administrateurs système configurés avec accès, le mappage entre les autres rôles de sécurité Blue Prism et les groupes de sécurité Active Directory peut être effectué.

Modes de connexion pris en charge dans les environnements Active Directory

Seuls les modes de connexion client/serveur suivants sont pris en charge pour l'authentification Active Directory :

  • WCF : SOAP avec cryptage des messages et authentification Windows ;
  • WCF : SOAP avec cryptage de transport et authentification Windows ;
  • .NET Remoting : sécurisé.

Convertir un compte Active Directory à authentification unique en un compte Active Directory à authentifications multiples

Les administrateurs Blue Prism peuvent convertir une base de données Active Directory à authentification unique en un environnement Active Directory à authentification multiple. Cette opération à sens unique est irréversible. Elle permet de convertir tous les comptes à authentification unique d'un environnement Blue Prism en comptes à authentification multiple en mappant automatiquement les rôles vers les utilisateurs individuels en fonction de leur appartenance au groupe de sécurité Active Directory (après quoi l’appartenance au groupe n’est plus pertinente).

Cette fonctionnalité est disponible dans les réglages d'authentification unique pour les administrateurs utilisant l'environnement à authentification unique.

Avant de procéder à la conversion, vérifiez que :

  • vous utilisez l'une des connexions prises en charge pour l'authentification Active Directory ;
  • vous avez sauvegardé votre base de données ;
  • vous avez arrêté tous vos processus ;
  • l'ensemble des utilisateurs et des ressources d'exécution est déconnecté de l'environnement.

Après avoir fermé toutes les ressources d'exécution, l'administrateur doit attendre deux minutes avant de pouvoir procéder à la conversion. Sinon, il recevra un rappel lui indiquant que tous les utilisateurs doivent être déconnectés avant de pouvoir procéder à la conversion.

Notez bien qu'en fonction du nombre d'utilisateurs et de la latence potentielle, la conversion de la base de données peut prendre plusieurs minutes.

Authentification Active Directory pour les ressources d'exécution

Les ressources d'exécution peuvent s'authentifier via Active Directory dans un environnement à authentification multiple ou unique en transmettant le commutateur /sso dans la ligne de commande au démarrage de la ressource. Le commutateur /sso ne prend en charge que les modes de connexion client/serveur mentionnés ci-dessus.

L'authentification est réalisée à l'aide des identifiants de l'utilisateur Windows actuellement connecté. Dans un environnement à authentification multiple, la ressource d'exécution hérite des rôles d'utilisateur de Blue Prism mappés à l'utilisateur Windows actuellement connecté. Dans un environnement à authentification unique, la ressource d'exécution hérite des rôles d'utilisateur de Blue Prism mappés aux groupes de sécurité Active Directory auxquels l'utilisateur Windows actuellement connecté a été attribué.

Résolution des problèmes

Si vous rencontrez des problèmes, consultez Résolution des problèmes de l'authentification unique.