Authentication Server Konfiguration

Im Folgenden finden Sie eine Zusammenfassung der erforderlichen Schritte zum Konfigurieren von Authentication Server:

  1. Erstellen Sie ein Dienstkonto in Hub und erteilen Sie ihm die Berechtigung für die Authentication Server API, um Authentifizierungstokens auszustellen.
  2. Konfigurieren Sie Ihre Blue Prism Umgebung zur Verwendung von Authentication Server.
  3. Konfigurieren Sie Blue Prism Benutzer zur Authentifizierung über Authentication Server.
  4. Aktivieren Sie Authentication Server in Ihrer Blue Prism Umgebung.
  5. Konfigurieren Sie die Messaging-Funktion über den Blue Prism Anwendungsserver.

Bitte stellen Sie sicher, dass Sie eine vollständige und überprüfbare Sicherung Ihrer Blue Prism Datenbank durchgeführt haben, bevor Sie Authentication Server für Ihre Umgebung konfigurieren und aktivieren. Weitere Informationen finden Sie unter Sichern und Wiederherstellen des gesamten Systems.

Dienstkonto in Hub erstellen

Dienstkonten bieten Anwendungen die Möglichkeit, Zugriffstoken zu erhalten und sie zu verwenden, um authentifizierte Anfragen an eine API zu stellen. Blue Prism verwendet ein Dienstkonto, um authentifizierte Anfragen an die Authentication Server API zu stellen, und Anwendungen von Drittanbietern können Dienstkonten verwenden, um authentifizierte Anfragen an die Blue Prism API zu stellen.

Ein Dienstkonto, das von Blue Prism zur Kommunikation mit Authentication Server verwendet wird, muss erstellt werden und wird verwendet, um Benutzer zwischen der Blue Prism Umgebung und dem Authentication Server zuzuordnen und zu .

  1. Melden Sie sich als Administrator bei Blue Prism Hub an.

  2. Klicken Sie auf Ihr Profilsymbol, um den Bildschirm „Einstellungen“ zu öffnen, und klicken Sie dann unter „Benutzermanagement“ auf Dienstkonten.

  3. Klicken Sie auf dem Bildschirm „Dienstkonten“ auf Konto hinzufügen.

  4. Geben Sie eine ID für die Client-Anwendung und einen Namen für den Client in der Authentication Server Datenbank ein.

  5. Wählen Sie unter „Berechtigungen“ die Option Authentication Server API aus.

  6. Klicken Sie auf Dienstkonto erstellen.

    Der Bildschirm „Dienstkonto hinzufügen“ wird mit einem generierten geheimen Schlüssel angezeigt.

    Dieser wird verwendet, um authentifizierte Anfragen an die Authentication Server API zu stellen und die Authentication Server Anmeldedaten zu konfigurieren, die erforderlich sind, um Authentication Server im interaktiven Blue Prism Client zu aktivieren.

    Bestätigung der Dienstkontoerstellung

  7. Klicken Sie auf das Symbol „In Zwischenablage kopieren“, um den generierten geheimen Schlüssel in Ihre Zwischenablage zu kopieren und ihn später auf den Bildschirm „Blue Prism Serverkonfigurationsdetails“ kopieren zu können.

Weitere Details zu Dienstkonten finden Sie im Hub Administratorhandbuch.

Blue Prism zur Verwendung von Authentication Server konfigurieren

Im folgenden Abschnitt wird beschrieben, wie Sie einen interaktiven Blue Prism Client verwenden, um Ihre Blue Prism Umgebung für die Verwendung von Authentication Server zu konfigurieren, indem Sie:

  • Blue Prism Anmeldedaten erstellen, die von Blue Prism verwendet werden, um eine Verbindung zum Authentication Server herzustellen, damit Benutzer in den beiden Datenbanken zugeordnet werden können. Diese Anmeldedaten enthalten die Client-ID und die geheimen Details des Dienstkontos, das in Hub erstellt wurde.
  • die Authentication Server Anmeldedaten und die Authentication Server URL unter „System“ > „Sicherheit“ – „Anmeldungseinstellungen“ hinzufügen.

Um diese Konfiguration durchzuführen, benötigen Sie Administratorrechte für Hub und den interaktiven Blue Prism Client.

OAuth 2.0 Client-Anmeldedaten erstellen

  1. Melden Sie sich als Administrator beim interaktiven Blue Prism Client an.

  2. Navigieren Sie im interaktiven Blue Prism Client zu System > Sicherheit – Anmeldedaten.

  3. Klicken Sie im rechten Menü auf Neu, um neue Anmeldedaten zu erstellen.

  4. Geben Sie auf der Registerkarte Anwendungsanmeldedaten einen Namen und eine Beschreibung für die Anmeldedaten ein und wählen Sie von der Dropdown-Liste Typ die Option OAuth 2.0 (Client-Anmeldedaten) aus.

  5. Geben Sie im Feld Client-ID die Client-ID ein, die für das Dienstkonto verwendet wird, das Sie in Hub erstellt haben.

  6. Fügen Sie in das Feld Client-Geheimnis den in Hub generierten geheimen Schlüssel aus der Zwischenablage ein.

    Neue Anmeldedaten erstellen

  7. Klicken Sie zum Speichern auf OK.

Für diese Anmeldedaten sollten keine Zugriffsrechte gewährt werden, da der Zugriff von Prozessautomatisierungen nicht erforderlich ist.

Anmeldungseinstellungen konfigurieren

Die Option Authentication Server aktivieren sollte erst ausgewählt werden, wenn Blue Prism Benutzer für die Authentifizierung über Authentication Server konfiguriert wurden. Sobald Authentication Server aktiviert ist, wird der gesamte direkte Benutzerzugriff für Blue Prism über Authentication Server weitergeleitet. Wenn er nicht korrekt konfiguriert wurde, können sich die Benutzer nicht anmelden. Stellen Sie sicher, dass weiterhin ein nativer Blue Prism Administrator im System vorhanden ist, der sich über eine direkte Datenbankverbindung bei Blue Prism anmelden kann, sobald Authentication Server aktiviert wurde.

  1. Navigieren Sie zu System > Sicherheit Anmeldungseinstellungen.

  2. Geben Sie im Feld Authentication Server URL „https://“ ein, gefolgt von dem Hostnamen, der während der Authentication Server Installation konfiguriert wurde.

    Die Authentication Server URL finden Sie im Internet Information Services (IIS) Manager unter „Sites“ > „Blue Prism – Authentication Server“ > „Sitebindungen“ > „Hostname“. Das ist auch die URL, die Sie verwenden, um sich nach der Installation bei Blue Prism Hub anzumelden.

  3. Wählen Sie im Dropdown-Menü „Authentication Server Anmeldedaten“ die Anmeldedaten aus, die unter „System“ > „Sicherheit“ – „Anmeldedaten“ erstellt wurden.

    Anmeldungseinstellungen

  4. Stellen Sie sicher, dass die Option Authentication Server aktivieren deaktiviert ist.

  5. Klicken Sie auf Anwenden.

Blue Prism Benutzer zur Authentifizierung über Authentication Server konfigurieren

Vorhandene native Blue Prism Benutzerkonten müssen mit der Authentication Server Datenbank synchronisiert werden, damit sie sich weiterhin anmelden können. Dafür muss ein Zuordnungstool verwendet werden, um die vorhandenen nativen Benutzer in Ihren Blue Prism und Authentication Server Datenbanken in den folgenden Fällen zu synchronisieren:

  • Erstellen Sie native Benutzerkonten in Hub für bestehende native Blue Prism Benutzer, die noch kein Hub Benutzerkonto haben, sodass native Blue Prism Benutzer Authentication Server verwenden können, um sich im interaktiven Blue Prism Client zu authentifizieren.

  • Erstellen Sie native Blue Prism Benutzerkonten in Blue Prism für Benutzer, die bereits in der Authentication Server Datenbank, aber nicht in der Blue Prism Datenbank vorhanden sind, um Hub Benutzern den Zugriff auf die Blue Prism Umgebung zu ermöglichen.

  • Verknüpfen Sie Konten für native Benutzer, die bereits in beiden Systemen vorhanden sind, um sicherzustellen, dass diese miteinander verknüpft sind und auf beide Datenbanken zugreifen können.

Die Berechtigung Authentifizierungsserver – Benutzer zuordnen ist erforderlich, um Benutzer mit dem Zuordnungstool zuzuordnen.

Stellen Sie vor Beginn der Zuordnung sicher, dass ein nativer Blue Prism Administrator im System vorhanden ist und dass dieser Benutzer manuell aus der Zuordnungsdatei entfernt wird, bevor Sie den unten beschriebenen Zuordnungsprozess durchführen. Damit wird sichergestellt, dass bei Problemen mit dem Authentication Server oder der Systemkonfiguration immer ein Administratorbenutzer zur Verfügung steht, der sich über eine direkte Datenbankverbindung anmelden kann.

Zuordnungsdatei erstellen

  1. Erstellen Sie eine CSV-Datei und fügen Sie die folgenden Überschriften hinzu: BluePrismBenutzername, AuthenticationServerBenutzerID, Vorname, Nachname und E-Mail. Mindestens ein Blue Prism Benutzername oder eine Authentication Server ID sind erforderlich.

    Die Spaltenreihenfolge muss wie im nachfolgenden Beispiel beibehalten werden, die Spaltenüberschriften können jedoch nach Bedarf angepasst werden.

  2. Fügen Sie in der CSV-Datei die verfügbaren Benutzerdetails von den Blue Prism und/oder Authentication Server Datenbanken hinzu, je nach vorliegendem Szenario:

    • Wenn Sie in der Authentication Server Datenbank Konten für vorhandene native Blue Prism Benutzer erstellen möchten, die noch nicht in der Authentication Server Datenbank sind, fügen Sie ihre Blue Prism Benutzernamen, Vornamen, Nachnamen und E-Mail-Adressen in die CSV-Datei ein.

      Die Felder „Vorname“, „Nachname“ und „E-Mail-Adresse“ sind nicht in Blue Prism vorhanden, also müssen sie zum Erstellen der Benutzer in Authentication Server hinzugefügt werden.

      Löschen Sie alle Benutzer aus der Datei, die sich nicht über Authentication Server anmelden sollen. Mindestens ein nativer Administratorbenutzer sollte aus der Datei entfernt werden, damit dieser sich weiterhin über eine direkte Datenbankverbindung anmelden kann. Wenn Sie die native Authentifizierung verwenden, um Laufzeitressourcen, AutomateC-Befehle oder Webdienstanfragen zu authentifizieren, sollten Sie auch alle nativen Benutzerkonten, die zur Authentifizierung dieser erforderlich sind, aus der Datei entfernen.

    • Wenn Sie native Blue Prism Konten in der Blue Prism Datenbank für Benutzer erstellen möchten, die bereits in der Authentication Server Datenbank, aber nicht in der Blue Prism Datenbank vorhanden sind, dann fügen Sie ihre Authentication Server ID aus dem PublicId-Feld in der Benutzer-Tabelle in der Authentication Server Datenbank hinzu.

    • Wenn Sie Konten für Benutzer verknüpfen möchten, die bereits in beiden Datenbanken vorhanden sind, dann fügen Sie ihre Blue Prism Benutzernamen und Authentication Server IDs hinzu. Die Authentication Server ID befindet sich im PublicId-Feld von der Benutzer-Tabelle in der Authentication Server Datenbank. Um darauf zuzugreifen, öffnen Sie SQL Management Studio und navigieren Sie zur Benutzerliste unter AuthenticationServerDB – Benutzer oder führen Sie die folgende Abfrage für die Authentication Server Datenbank aus:

      Kopieren 
      select username, publicid from Users

    CSV-Datei-Beispiel:

    CSV-Datei-Beispiel

    In Blue Prism 7.0 kann der Blue Prism Benutzername nur eine Abfolge von Buchstaben, Ziffern, Punkten, Bindestrichen oder Unterstrichen, aber keine Leerzeichen enthalten, wenn er der Authentication Server Datenbank zugeordnet ist, andernfalls schlägt die Zuordnung fehl. Bitte entfernen Sie alle anderen Zeichen, bevor Sie die Benutzerzuordnung durchführen.

  3. Speichern Sie die CSV-Datei.

Wenn in bestimmten Fällen ein Authentication Server Benutzername bereits in Blue Prism vorhanden ist, wird bei der Zuordnung eine zufällige 4-stellige Zahl an den neuen Benutzernamen angehängt, um sicherzustellen, dass er einzigartig ist, und um die Benutzer in den Audit-Logs zu unterscheiden.

AutomateC zum Verarbeiten der Zuordnungsdatei verwenden

  1. Öffnen Sie die Eingabeaufforderung als Administrator und navigieren Sie zum Blue Prism Installationsverzeichnis, das AutomateC.exe enthält (zum Beispiel C:\Programme\Blue Prism Limited\Blue Prism Automate).

  2. Führen Sie den folgenden Befehl aus:

    Kopieren 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    Dabei gilt:

    • <input CSV> – Der Pfad zu Ihrer gespeicherten CSV-Datei.
    • <output CSV for errors> – Der Pfad für eine Datei, die automatisch erstellt wird, wenn Fehler im Zuordnungsprozess vorliegen.
    • <admin username> und <admin password> – Die Anmeldedaten für einen nativen Administratorbenutzer in Blue Prism.

    • <Blue Prism server connection name> – Der Name Ihrer Blue Prism Serververbindung, wie er in den Blue Prism Servereinstellungen eingestellt ist.

    Zum Beispiel:

    AutomateC-Zuordnungsbefehl

    Stellen Sie sicher, dass der Computer, auf dem Sie den Befehl ausführen, auf die Authentication Server Website zugreifen kann. Weitere Details finden Sie unter Authentication Server – Fehlerbehebung.

Korrekte Benutzerzuordnung überprüfen

  1. Navigieren Sie im interaktiven Blue Prism Client zu System > Sicherheit – Benutzer und überprüfen Sie Folgendes:

    • Der Kontotyp Authentication Server wird für native Benutzer angezeigt, die aus der Authentication Server Datenbank zugeordnet sind.
    • Der Kontotyp Authentication Server Dienstkonto wird für Dienstkonten angezeigt, die aus der Authentication Server Datenbank zugeordnet sind.

    Sicherheit – Benutzer-Bildschirm

  2. Weisen Sie allen Benutzern, die aus Hub zugeordnet sind, die gewünschten Rollen und Berechtigungen zu, wie beschrieben unter Rollen verwalten.

  3. Navigieren Sie in Hub zu Einstellungen > Benutzer und aktualisieren Sie die Benutzerliste.

    Benutzer, die von Blue Prism zugeordnet wurden, werden jetzt in der Liste angezeigt.

Sie können die Zuordnung nur einmal durchführen. Wenn die Benutzer zugeordnet wurden, können sie nicht erneut zugeordnet werden. Sobald Authentication Server aktiviert wurde, werden neue Benutzer in Hub erstellt und im interaktiven Blue Prism Client über den Messaging-Server synchronisiert.

Benutzer, die über das Zuordnungstool erstellt wurden, erhalten eine E-Mail, um ihr Passwort manuell festzulegen, bevor sie sich zum ersten Mal anmelden. Sie können erst dann auf Blue Prism zugreifen, wenn dieser Schritt ausgeführt wurde. Benutzer erhalten diese E-Mail nur, wenn ihre E-Mail-Einstellungen in Hub konfiguriert wurden. Weitere Details finden Sie im Hub Administratorhandbuch.

Authentication Server in Ihrer Blue Prism Umgebung aktivieren

  1. Navigieren Sie im interaktiven Blue Prism Client zu System > Sicherheit – Anmeldungseinstellungen.

  2. Wählen Sie Authentication Server aktivieren und klicken Sie auf Anwenden.

    Authentication Server aktivieren

  3. Melden Sie sich vom interaktiven Blue Prism Client ab.

    Der Anmeldebildschirm zeigt jetzt nur noch die Option Mit Authentication Server anmelden an.

    Bei Blue Prism mit Authentication Server anmelden

  4. Klicken Sie auf Mit Authentication Server anmelden.

    Sie werden zur Anmeldeseite von Authentication Server weitergeleitet.

  5. Geben Sie Ihren Benutzernamen und Ihr Passwort ein und klicken Sie auf Anmelden.

    Ein Zugriffstoken wird im Hintergrund vom Authentication Server ausgestellt, das dann verwendet wird, um Sie automatisch im interaktiven Blue Prism Client anzumelden.

    Das Datum und die Uhrzeit Ihrer letzten Anmeldung werden unter „System“ > „Sicherheit“ – „Benutzer“ angezeigt, wenn Sie mit der rechten Maustaste auf Ihren Benutzernamen klicken.

    Datum und Uhrzeit der letzten Anmeldung für einen Benutzer

Sobald Authentication Server aktiviert wurde, können native Konten und zugeordnete Active Directory-Konten lokal in Blue Prism hinzugefügt, bearbeitet oder gelöscht werden, aber nicht mehr verwendet werden, um sich beim interaktiven Client anzumelden. Diese Konten können nur verwendet werden, um Laufzeitressourcen sowie AutomateC-Befehle zu authentifizieren und Webdienste abzurufen, die auf Laufzeitressourcen verfügbar gemacht wurden.

RabbitMQ-Messaging per Blue Prism Server konfigurieren

Damit sich neue Benutzer, die in Hub erstellt wurden, per Authentication Server bei der Blue Prism Umgebung anmelden können, muss der Blue Prism Anwendungsserver zur Behandlung von Benutzerereignissen konfiguriert sein, die vom Authentication Server in einer Nachrichtenwarteschlange veröffentlicht werden.

Dies kann auf der Registerkarte „Authentication Server Integration“ im Bildschirm für die Blue Prism Serverkonfigurationsdetails konfiguriert werden.

  1. Starten Sie den Blue Prism Anwendungsserver (BPServer.exe von C:\Programme\Blue Prism Limited\Blue Prism Automate).
  2. Um die Serverkonfiguration zu öffnen, wählen Sie die entsprechende Umgebung von der Dropdown-Liste Aktuelle Konfiguration aus und klicken Sie auf Bearbeiten.

  3. Auf der Registerkarte „Authentication Server Integration“:

    1. Geben Sie die Brokereinstellungen wie in der Blue Prism Hub Installation konfiguriert ein:

      • Adresse – RabbitMQ-Adresse im Format rabbitmq://<host>:<port>/
      • Benutzername – RabbitMQ-Benutzername
      • Passwort – RabbitMQ-Passwort

      • Umgebungskennung – Wird bei Bedarf verwendet, um zwischen verschiedenen konfigurierten Blue Prism Umgebungen zu unterscheiden. Dieser Wert darf nur eine Abfolge der folgenden Zeichen enthalten: Buchstaben, Ziffern, Bindestriche, Unterstriche, Punkte und Doppelpunkte.

        Authentication Server Integration (Registerkarte)

    2. Klicken Sie auf Speichern, um die Einstellungen anzuwenden.

  4. Kehren Sie zum Bildschirm der Serverkonfiguration zurück und klicken Sie auf Start, um den BPServer zu starten.

    Wenn der Nachrichtenbus korrekt konfiguriert wurde, sollten Sie die folgenden Zeilen sehen:

    [date stamp]: Nachrichtenbus starten

    [date stamp]: Nachrichtenbus gestartet

    Solange der Blue Prism Server in Betrieb ist, werden alle in Hub erstellten, bearbeiteten oder gelöschten Benutzer oder Dienstkonten auch in Blue Prism aktualisiert. Sollte der Blue Prism Server offline gehen oder später online gehen, wird die Synchronisierung durchgeführt, sobald die Verbindung wiederhergestellt wurde.

  5. Um die Erstellung der Nachrichtenwarteschlange zu bestätigen, starten Sie die RabbitMQ-URL in einem Browser gemäß Konfiguration in der Blue Prism Hub Installation, in diesem Beispiel „rabbitmq://localhost:15672/“.

  6. Suchen Sie auf der Registerkarte Warteschlangen die Warteschlange, die Sie gerade mit den obigen Einstellungen der Authentication Server Integration erstellt haben, zum Beispiel blue-prism-app-server.user-synchronization.fresh-install.