Single Sign-on

Blue Prism unterstützt Single Sign-on über Microsoft Active Directory Domain Services. So können sich Benutzer, die vom Betriebssystem authentifiziert wurden und Mitglied der entsprechenden Domains und Gesamtstrukturen sind, ohne erneute Eingabe ihrer Anmeldedaten bei Blue Prism anmelden. Die Integration in Active Directory wird für spezifische Instanzen von Blue Prism konfiguriert, um die Rollen in verschiedenen Umgebungen – beispielsweise Entwicklungs-, Test- und Produktionsumgebungen – vollständig trennen zu können.

Blue Prism bietet zwei Umgebungstypen zur Verwaltung der Active Directory-Authentifizierung bei der Plattform:

  • Umgebung mit mehrfacher Authentifizierung – Unterstützt Active Directory-Konten, wobei Rollen einzelnen Blue Prism Benutzern zugeordnet werden. Bei Umgebungen mit mehrfacher Authentifizierung können Active Directory-Benutzer in mehreren Domains und Strukturen enthalten sein.
  • Umgebung mit einfacher Authentifizierung – Wurde in früheren Blue Prism Versionen als Active Directory Single Sign-On bezeichnet und unterstützt Active Directory-Konten, wenn die Rollen den Active Directory-Sicherheitsgruppen zugeordnet werden. Bei Umgebungen mit einfacher Authentifizierung können Active Directory-Benutzer in mehreren Domains, aber nur einer einzigen Struktur enthalten sein.

Der Umgebungstyp wird bei der Erstellung der Datenbank ausgewählt und kann nur geändert werden, wenn eine Active Directory-Umgebung mit einfacher Authentifizierung in eine Active Directory-Umgebung mit mehrfacher Authentifizierung konvertiert wird.

Active Directory-Konfiguration in einer Blue Prism Umgebung mit einfacher Authentifizierung

Wenn Blue Prism in einer zentralen Active Directory-Gesamtstruktur bereitgestellt wird, kann es so konfiguriert werden, dass sich Benutzer bei der Plattform mit Single Sign-on authentifizieren können. Dazu muss eine Active Directory-Sicherheitsgruppe jeder relevanten Blue Prism Rolle zugeordnet werden. Dadurch erhalten die Benutzer Zugriff auf die Plattform in Abhängigkeit ihrer Active Directory-Sicherheitsgruppenmitgliedschaft.

Die erforderlichen Schritte zum Konfigurieren der Blue Prism Integration in Active Directory für Single Sign-on in einer Umgebung mit einfacher Authentifizierung sind in der nachfolgenden Grafik dargestellt:

  1. Active Directory-Sicherheitsgruppen konfigurieren – Es sollten Sicherheitsgruppen in Active Directory eingerichtet werden, um jede einzelne Benutzerrolle in einer Blue Prism Umgebung widerzuspiegeln. Die Benutzer in der Domain sollten dann zur passenden Sicherheitsgruppe hinzugefügt werden.

  2. Host-Domain der Active Directory-Sicherheitsgruppen festlegen – Blue Prism muss mit der Domain konfiguriert werden, in der sich die Active Directory-Sicherheitsgruppen befinden werden. Nur Sicherheitsgruppen in der angegebenen Domain kann eine Blue Prism Benutzerrolle zugewiesen werden, doch Benutzer aus jeder Domain in der gemeinsamen Active Directory-Gesamtstruktur können diesen Sicherheitsgruppen zugeordnet werden. Sie können entweder direkte Mitglieder dieser Gruppe sein oder ihnen wird die Mitgliedschaft über eine geschachtelte Gruppe gewährt. Im Rahmen der Konfiguration muss ausgewählt werden, welche Active Directory-Sicherheitsgruppenbenutzer Mitglieder sein sollen, bevor ihnen Systemadministratorrechte gewährt werden.

  3. Blue Prism Rollen konfigurieren und Active Directory-Sicherheitsgruppen zuordnen – Die vorkonfigurierten Blue Prism Benutzerrollen können bei Bedarf bearbeitet werden und es können auch neue Rollen hinzugefügt werden. Jede aktive Rolle in einer Blue Prism Umgebung muss dann einer bestehenden Active Directory-Sicherheitsgruppe in der konfigurierten Domain zugeordnet werden.

    Blue Prism Rollen müssen in Active Directory erstellten Sicherheitsgruppen zugeordnet werden. Single Sign-on für Blue Prism unterstützt keine integrierten Gruppen oder welche mit abgeleiteter Mitgliedschaft wie Domain-Benutzer oder authentifizierte Benutzer. Es wird auch empfohlen, dass die verwendeten Sicherheitsgruppen keine fremden Sicherheitsprinzipale enthalten.

Benutzer, die den konfigurierten Gruppen angehören, sollten sich jetzt bei Blue Prism anmelden und die zulässigen Aktionen der jeweiligen Blue Prism Rolle ausführen können. Es könnte erforderlich sein, dass sich Benutzer von Windows abmelden und erneut anmelden, damit die Active Directory-Änderungen wirksam werden.

Active Directory-Konfiguration in einer Umgebung mit mehrfacher Authentifizierung

Die folgenden Schritte sind erforderlich, um den Active Directory-Benutzerzugriff auf eine Umgebung mit mehrfacher Authentifizierung zu verwalten:

  1. Active Directory-Authentifizierung in Blue Prism aktivieren – Blue Prism Administratoren, die Mitglieder einer Active Directory-Domain sind, müssen die Active Directory-Authentifizierung auf dem Bildschirm „Sicherheit – Anmeldungseinstellungen“ in Blue Prism aktivieren, bevor sie Active Directory-Benutzer den Blue Prism Rollen zuordnen.

  2. Active Directory-Benutzer den Blue Prism Rollen zuordnen – Active Directory-Benutzer werden über den Assistenten zur Erstellung von Benutzern in Blue Prism von den Active Directory-Domains und -Gesamtstrukturen abgerufen und einzelnen Blue Prism Rollen zugeordnet.

Datenbankkonvertierung

Blue Prism Administratoren können eine Active Directory-Datenbank mit einfacher Authentifizierung auf eine Active Directory-Umgebung mit mehrfacher Authentifizierung umstellen. Dieser Vorgang kann nicht rückgängig gemacht werden. Dabei werden alle Konten mit einfacher Authentifizierung einer Blue Prism Umgebung auf mehrfache Authentifizierung umgestellt. Rollen werden einzelnen Benutzern dabei automatisch anhand Ihrer Mitgliedschaft in Active Directory-Sicherheitsgruppen zugewiesen (danach ist die Gruppenmitgliedschaft nicht mehr von Bedeutung).

Diese Funktion ist für Administratoren in den Einstellungen für Single Sign-on verfügbar, wenn die Umgebung mit einfacher Authentifizierung verwendet wird.

Stellen Sie vor der Umstellung Folgendes sicher:

  • Sie verwenden eine der unterstützten Verbindungen für die Active Directory-Authentifizierung.
  • Sie haben ein Backup Ihrer Datenbank erstellt.
  • Sie haben alle Prozesse beendet.
  • Alle Benutzer und Laufzeitressourcen sind von der Umgebung abgemeldet.

Nach dem Beenden der Laufzeitressourcen muss der Administrator zwei Minuten warten, bevor die Konvertierung durchgeführt werden kann. Andernfalls erscheint eine Meldung, dass alle Benutzer abgemeldet werden müssen, bevor die Konvertierung durchgeführt werden kann.

Beachten Sie, dass die Datenbankkonvertierung je nach Anzahl der konvertierten Benutzer und potenzieller Latenz einige Minuten dauern kann.

Beim Konvertieren einer Active Directory-Umgebung mit einfacher Authentifizierung in eine Active Directory-Umgebung mit mehrfacher Authentifizierung werden Administratoren jetzt aufgefordert, einen Wiederherstellungsadministrator zu erstellen, der die native Blue Prism Authentifizierung verwendet. Ein nativer Benutzer mit einem sicheren Passwort ist während des Konvertierungsprozesses erforderlich, da Active Directory-Benutzer in einer Umgebung mit mehrfacher Authentifizierung keine abgelaufene Lizenz mit Active Directory-Anmeldedaten aktualisieren können, da ein Blue Prism Server nicht mit einer abgelaufenen Lizenz gestartet werden kann und Active Directory-Benutzer sich nicht über eine direkte SQL Server-Datenbankverbindung bei dieser Umgebung anmelden können.

Dieser Benutzer kann entfernt werden, wenn die Datenbankkonvertierung abgeschlossen ist. Es wird jedoch empfohlen, ihn zu Fehlerbehebungszwecken beizubehalten. Das gilt insbesondere für Umgebungen, in denen alle Administratorkonten Active Directory mit mehrfacher Authentifizierung verwenden.

Weitere Informationen zur Verwaltung von Benutzerkonten mit mehrfacher Authentifizierung finden Sie unter Benutzer verwalten Benutzer.

Authentifizierung von Laufzeitressourcen

Laufzeitressourcen können sich per Active Directory in einer Umgebung mit mehrfacher oder einfacher‑Authentifizierung authentifizieren, indem der Schalter „/sso“ in der Befehlszeile beim Ressourcenstart übergeben wird. Der Schalter „/sso“ unterstützt nur die oben genannten Client-/Server-Verbindungsmodi.

Die Authentifizierung erfolgt mit den Anmeldedaten des aktuell angemeldeten Windows Benutzers. In einer Umgebung mit mehrfacher Authentifizierung erbt die Laufzeitressource die Blue Prism Benutzerrollen, die dem aktuell angemeldeten Windows Benutzer zugeordnet sind. In einer Umgebung mit einfacher Authentifizierung erbt die Laufzeitressource die Blue Prism Rollen, die den Active Directory-Sicherheitsgruppen zugeordnet sind, denen der aktuell angemeldete Windows Benutzer zugewiesen wurde.

Unterstützte Verbindungsmodi

Nur die folgenden Client-/Server-Verbindungsmodi werden für die Active Directory-Authentifizierung unterstützt:

  • WCF: SOAP mit Nachrichtenverschlüsselung und Windows Authentifizierung
  • WCF: SOAP mit Transportverschlüsselung und Windows-Authentifizierung
  • .NET Remoting: Sicher.

Fehlerbehebung

Bei Problemen lesen Sie Fehlerbehebung für Single Sign-on.