ASCR-Serverkonfiguration

Interaktive Clients haben keine direkten Verbindungen mehr zu jeder Laufzeitressource, wenn sie mit Application Server Controlled Resources arbeiten. Es gibt jedoch einige Informationen, die zeitnah von Laufzeitressourcen zurückgeleitet werden müssen. Zu diesem Zweck wird von jedem interaktiven Client mit seinem Anwendungsserver eine neue Rückrufverbindung aufgebaut, um die Weitergabe dieser Informationen zu ermöglichen. Nachdem der Client eine Verbindung mit dem Server hergestellt hat, lädt er die auf dem Server angegebenen Rückrufinformationen herunter und verwendet sie, um eine sekundäre Verbindung herzustellen, die der Server für diesen Zweck verwendet.

In diesem Abschnitt wird beschrieben, wie Sie die Rückrufverbindung in der Konfiguration des Anwendungsservers einrichten, auf die von Automate.config verwiesen wird. Diese Konfiguration kann auf folgende Weise eingestellt werden:

Die ASCR-Einstellungen werden auf alle interaktiven Clients angewendet, die sich über einen Anwendungsserver mit Blue Prism Version 7 verbinden. Wenn Sie einen Blue Prism Anwendungsserver von Version 6 auf Version 7 aktualisieren, wird in der Ausgabe der Serverkonsole eine Nachricht angezeigt, die den Benutzer darüber informiert, dass für den Sicherheitsmodus nicht Ohne eingestellt kann. Dadurch wird sichergestellt, dass die ASCR-Einstellungen wie nachfolgend beschrieben konfiguriert sind.

Informationen zur Fehlerbehebung bei potenziellen Problemen, auf die Benutzer bei der Verwendung von ASCR stoßen können, einschließlich ASCR-Logging, -Verbindungen und -Load-Balancing, finden Sie unter ASCR-Fehlerbehebung und -Logging.

ASCR-Konfiguration über BP Server

Dieses Verfahren zeigt, wie ASCR in BPServer konfiguriert wird und für alle Blue Prism Anwendungsserver durchgeführt werden muss.

  1. Öffnen Sie die Datei BPServer.exe. Standardmäßig befindet sich diese unter C:\Programme\Blue Prism Limited\Blue Prism Automate oder unter C:\Programme (x86)\Blue Prism Limited\Blue Prism Automate\ je nach Ihrer Installationsumgebung.
  2. Um die Serverkonfiguration zu öffnen, wählen Sie die entsprechende Umgebung unter Aktuelle Konfiguration aus und klicken Sie auf Bearbeiten.

  3. Wählen Sie die Registerkarte ASCR-Einstellungen.

  4. Wählen Sie in den Protokolleinstellungen die gewünschte Methode für das Rückrufprotokoll aus den folgenden Optionen aus:

    gRPC

    Das ist der Standard-Rückrufkanal und erfordert HTTP/2. Der Anwendungsserver und alle interaktiven Clients, die sich damit verbinden, müssen Windows 11, Windows 10 oder Windows Server 2016 oder höher verwenden.

    Dies ist die empfohlene Option.

    WCF

    Dieser Rückrufkanal unterstützt Windows 11, Windows 10 und Windows Server 2016 sowie ältere Versionen.

    WCF sollte nur verwendet werden, wenn gRPC nicht verwendet werden kann.

    Wenn Sie diese Option auswählen und das Dienstanmeldekonto kein lokaler Administrator ist, müssen Sie die nachfolgenden Befehle ausführen, um dem Dienstanmeldekonto Berechtigungen zum Starten des Listeners mithilfe der Standard-Porteinstellungen zu erteilen:

    Wenn der ASCR-Hostname leer ist, verwenden Sie den folgenden Befehl, der einen Platzhalter enthält:

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Wenn der ASCR-Hostname explizit ist, verwenden Sie den folgenden Befehl und fügen Sie den Hostnamen ein:

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

  5. Geben Sie unter „Bindungseinstellungen“ den Hostnamen für den Kanal ein, an den die Bindung erfolgen soll.

    Dies ist der Hostname des Anwendungsservers, der von den Clients verwendet wird, um eine Verbindung zum Anwendungsserver und damit die Rückrufverbindung herzustellen. Der Hostname muss so konfiguriert werden, dass er bei Verwendung von den interaktiven Clients auf dem konfigurierten Port auf den Anwendungsserver aufgelöst wird.

  6. Geben Sie den erforderlichen ausgehenden/eingehenden Port für das ausgewählte Rückrufprotokoll ein. Der Standardwert ist 10000.

    Für WCF wird dieser Wert nur auf die ausgehende Funktion angewendet. Die eingehende Funktion verwendet standardmäßig Port 80, der auf dem interaktiven Client geöffnet wird und nicht konfigurierbar ist.

  7. Wählen Sie unter Sicherheitseinstellungen den Sicherheitsmodus aus, den Sie auf den Duplex-Kanal anwenden möchten, und wählen Sie die folgenden Optionen aus:

    Zertifikat

    Verwenden Sie ein SSL-Zertifikat (Secure Socket Layer).

    Windows

    Integrierte Authentifizierung und Sicherheit von Windows. Diese Option ist nur für das WCF-Rückrufprotokoll verfügbar.

    Unsicher

    Das Rückrufprotokoll wird nicht gesichert.

  8. Wenn Sie den Sicherheitsmodus „Zertifikat“ auswählen, sind die folgenden Zertifikatoptionen aktiviert und müssen konfiguriert werden:

    Zertifikatname

    Dies erfordert ein Zertifikat, das für den Endpunkt des Hostnamens konfiguriert ist. Siehe Anforderungen an das Zertifikat für Details.

    Der Zertifikatsname ist der Antragstellername, jedoch kann für Fälle, in denen mehrere ähnliche Antragstellernamen vorhanden sind, der Full Distinguished Antragstellername verwendet werden.

    Speichername

    Wählen Sie den Namen des Speichers aus, aus dem das Anwendungsserverzertifikat abgerufen wird.

    Client-Zertifikatname

    Dies erfordert ein Zertifikat, das für den Endpunkt des Hostnamens konfiguriert ist. Das Client-Zertifikat muss für denselben Endpunkt auf dem Server konfiguriert werden. Siehe Anforderungen an das Zertifikat für Details.

    Der Zertifikatsname ist der Antragstellername, jedoch kann für Fälle, in denen mehrere ähnliche Antragstellernamen vorhanden sind, der Full Distinguished Antragstellername verwendet werden.

    Speichername

    Wählen Sie den Namen des Speichers aus, aus dem das Zertifikat für den interaktiven Client abgerufen wird.
  9. Klicken Sie auf Speichern, um die Änderungen zu speichern und die Sicherheitseinstellungen anzuwenden.

ASCR-Konfiguration über Befehlszeile

Die ASCR-Einstellungen können auch über AutomateC mit den folgenden Befehlen konfiguriert werden:

AutomateC /ascrconfig <servername> <conntype> <hostname> <port> <connectionmode> <certificatename> <clientcertificatename> <servercertstore> <clientcertstore>

Die Zertifikatoptionen sind nur erforderlich, wenn <connectionmode> Zertifikate angibt.

In der folgenden Tabelle sind relevante Befehle und mögliche Werte aufgeführt:

Befehle

Werte
<conntype>
  • 1 – grpc
  • 2 – wcf
<servername>

Der Name der Serverkonfiguration in BPServer.exe. Standardmäßig ist dies Standard.
<connectionmode>
  • 1 – Zertifikat
  • 2 – Windows
  • 3 – unsicher

Weitere Informationen zu diesen und anderen Befehlen finden Sie in der Hilfe zur Befehlszeile durch Eingabe von /help in einer AutomateC Befehlszeile.

Anforderungen an Zertifikat

Der Zertifikatssicherheitsmodus verschlüsselt alle zwischen Client und Server ausgetauschten Daten. Da der ASCR-Kanal WCF-Messaging verwendet, besteht der Hauptzweck der Zertifikatssicherheit darin, die Änderungsdatenereignisse der Laufzeitressourcen zu verschlüsseln und nicht die Identität zu authentifizieren.

Wenn Sie sich für die Verwendung des Zertifikatssicherheitsmodus entschieden haben, benötigen Sie einen Server und ein Client-Zertifikat, die beide im angegebenen Zertifikatspeicher auf dem Anwendungsserver vorhanden sein müssen. Das Client-Zertifikat wird auf Abruf für eine Client-Verbindung bereitgestellt.

Das Zertifikat oder Zertifikatspaar muss die folgenden Anforderungen erfüllen:

Nur gRPC

  • Einen RSA Cryptographic Service Provider verwenden.
  • Beide Zertifikate müssen einen exportierbaren privaten Schlüssel enthalten.

WCF und gRPC

  • Das Zertifikats-DNS muss mit dem konfigurierten Hostnamen übereinstimmen.

  • Einen privaten Schlüssel einschließen.

  • Das Client-Zertifikat muss einen exportierbaren privaten Schlüssel enthalten.

  • Wenn dies anders ist, müssen der Server und das Client-Zertifikat bei derselben Zertifikatsstelle signiert werden.

Direkte Datenbankverbindung zu Laufzeitressourcen

Um potenzielle Leistungsprobleme zu vermeiden, die durch eine hohe Anzahl von Ressourcen verursacht werden, werden bei der Anmeldung die folgenden Steuerelemente angewendet, wenn sich ein interaktiver Client direkt mit dem SQL-Server verbindet, anstatt über einen Anwendungsserver:

  • Wenn weniger als 200 Ressourcen erkannt werden, werden die Verbindungen hergestellt und es werden keine Warnmeldungen angezeigt.
  • Wenn zwischen 200 und 800 Ressourcen erkannt werden, wird eine Nachricht angezeigt, die den Benutzer zur Auswahl auffordert, ob eine Verbindung zu den Ressourcen hergestellt werden soll oder nicht. Wenn der Benutzer sich nicht für eine Verbindung entscheidet, sind die Verbindungen zu den Ressourcen deaktiviert.

    • Wenn der Benutzer sich entscheidet, keine Verbindung zu den Ressourcen herzustellen, kann der Status der Ressourcen weiterhin in Control Room angezeigt werden, sie können jedoch nicht vom verwendeten interaktiven Client angewiesen werden.

  • Wenn mehr als 800 Ressourcen erkannt werden, wird die automatische Verbindung deaktiviert und eine Warnung wird angezeigt, die Sie darüber informiert, dass die Verbindung nicht hergestellt wurde.

Im Control Room des interaktiven Blue Prism Clients kann die Menüoption Verbindungen umschalten verwendet werden, um die direkte Verbindung zu den Laufzeitressourcen nach Bedarf ein- und auszuschalten.