Configuración del servidor de ASCR

Los clientes interactivos ya no tienen conexiones directas a cada recurso de tiempo de ejecución cuando operan con Application Server Controlled Resources; sin embargo, hay cierta información que debe transmitirse de los recursos de tiempo de ejecución de manera oportuna. Para este fin, cada cliente interactivo con su servidor de aplicaciones establece una nueva conexión de devolución de llamada para permitir la transmisión de esta información. Después de que el cliente ha establecido una conexión con el servidor, descarga la información de devolución de llamada especificada en el servidor y la utiliza para establecer una conexión secundaria que el servidor utiliza para este propósito.

En esta sección se describe cómo configurar la conexión de devolución de llamada en la configuración del servidor de aplicaciones, a la que hace referencia Automate.config. Esta configuración se puede establecer de las siguientes maneras:

La configuración de ASCR se aplica a todos los clientes interactivos que se conectan a través de un servidor de aplicaciones con Blue Prism de la versión 7. Al actualizar un servidor de aplicaciones de Blue Prism de la versión 6 a la versión 7, la salida de la consola del servidor mostrará un mensaje que informa al usuario que el modo de seguridad no puede ser ninguno. Esto es para asegurarse de que los ajustes de ASCR estén configurados, como se describe a continuación.

Para obtener orientación sobre la resolución de problemas potenciales que los usuarios pueden encontrar al usar ASCR, incluidos el registro, las conexiones y el equilibrio de carga de ASCR, consulte Resolución de problemas y registro de ASCR.

Configuración de ASCR a través del servidor de Blue Prism

Este procedimiento muestra cómo configurar ASCR en el servidor de Blue Prism y debe llevarse a cabo para todos los servidores de aplicaciones de Blue Prism.

  1. Abra BPServer.exe. De manera predeterminada, esto se encuentra en C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate o posiblemente en C:\Archivos de programa (x86)\Blue Prism Limited\Blue Prism Automate\, según su entorno de instalación.
  2. Para abrir la configuración del servidor, seleccione el entorno relevante en Configuración actual y haga clic en Editar.

  3. Seleccione la pestaña Configuración de ASCR.

  4. En Configuración de protocolo, seleccione el método Protocolo de devolución de llamada requerido entre las siguientes opciones:

    gRPC

    Este es el canal de devolución de llamada predeterminado y requiere HTTP/2. El servidor de aplicaciones y todos los clientes interactivos que se conectan a él deben estar ejecutando Windows 11, Windows 10 o Windows Server 2016 o posterior.

    Esta es la opción recomendada.

    WCF

    Este canal de devolución de llamada es compatible con Windows 11, Windows 10 y Windows Server 2016 y versiones anteriores.

    WCF solo debe usarse si no se puede usar gRPC.

    Si selecciona esta opción y la cuenta de inicio de sesión de servicio no es un administrador local, deberá ejecutar los siguientes comandos para otorgar los permisos de usuario de la cuenta de inicio de sesión de servicio para iniciar la escucha con la configuración de puerto predeterminada:

    Si el nombre de host ASCR está en blanco, utilice el siguiente comando, que contiene un comodín:

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Si el nombre de host ASCR es explícito, utilice el siguiente comando e incluya el nombre de host:

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

  5. En Configuración de enlace, escriba el Nombre de host para el canal al que desea enlazar.

    Este es el nombre de host del servidor de aplicaciones que utilizarán los clientes para conectarse al servidor de aplicaciones con el fin de establecer la conexión de devolución de llamada. El nombre de host debe configurarse de manera que cuando se utilice desde los clientes interactivos se resuelva al servidor de aplicaciones en el puerto configurado.

  6. Ingrese el puerto de salida o entrada requerido para el protocolo de devolución de llamada seleccionado. El valor predeterminado es 10000.

    Para WCF, este valor se aplica únicamente a la función de salida. La función de entrada usa el puerto 80 de manera predeterminada, el cual se abre en el cliente interactivo y no se puede configurar.

  7. En Configuración de seguridad, seleccione el Modo de seguridad que desea aplicar al canal dúplex de las siguientes opciones:

    Certificado

    Utilice un certificado SSL.

    Windows

    Autenticación y seguridad integradas de Windows. Esta opción solo está disponible para el protocolo de devolución de llamada de WCF.

    Inseguro

    No se protegerá el protocolo de devolución de llamada.

  8. Si selecciona el modo de seguridad Certificado, las siguientes opciones de certificado están habilitadas y deben completarse:

    Nombre del certificado

    Esto requiere un certificado configurado para el punto de conexión del nombre de host. Consulte los Requisitos del certificado para obtener más detalles.

    El nombre del certificado es el Nombre del asunto; sin embargo, en los casos en los que existen varios nombres de asunto similares, se puede usar el nombre de asunto Completamente distinguido.

    Nombre del almacén

    Seleccione el nombre del almacén del que se recuperará el certificado del servidor de aplicaciones.

    Nombre de certificado del cliente

    Esto requiere un certificado configurado para el punto de conexión del nombre de host. El certificado del cliente debe configurarse para el mismo punto de conexión en el servidor. Consulte los Requisitos del certificado para obtener más detalles.

    El nombre del certificado es el Nombre del asunto; sin embargo, en los casos en los que existen varios nombres de asunto similares, se puede usar el nombre de asunto Completamente distinguido.

    Nombre del almacén

    Seleccione el nombre del almacén del que se recuperará el certificado de cliente interactivo.
  9. Haga clic en Guardar para guardar los cambios y aplicar la configuración de seguridad.

Configuración de ASCR a través de línea de comando

La configuración de ASCR también se puede configurar a través de AutomateC mediante los siguientes comandos:

AutomateC /ascrconfig <servername> <conntype> <hostname> <port> <connectionmode> <certificatename> <clientcertificatename> <servercertstore> <clientcertstore>

Las opciones de certificado solo se requieren cuando <connectionmode> especifica certificados.

La siguiente tabla enumera comandos relevantes y valores posibles:

Comandos

Valores
<conntype>
  • 1 – grpc
  • 2 – wcf
<servername>

El nombre de la configuración del servidor en BPServer.exe. Este es el valor predeterminado.
<connectionmode>
  • 1 – certificate
  • 2 – windows
  • 3 – insecure

Para obtener más información sobre este y otros comandos, consulte la ayuda de la línea de comandos; para ello, escriba /help desde la línea de comandos de AutomateC.

Requisitos del certificado

El modo de seguridad con certificados cifra todos los datos intercambiados entre el cliente y el servidor. Dado que el canal ASCR utiliza mensajería WCF, el propósito principal de la seguridad con certificados es cifrar los eventos de datos de cambio de recursos de tiempo de ejecución en lugar de autenticar la identidad.

Si eligió usar el modo de seguridad Certificado, necesitará un servidor y un certificado de cliente, ambos deben existir en el almacén de certificados especificado en el servidor de aplicaciones. El certificado del cliente se proporcionará a pedido a un cliente de establecimiento de conexión.

El certificado o par de certificados debe cumplir con los siguientes requisitos:

Solo gRPC

  • Usar un proveedor de servicios criptográficos de RSA.
  • Los dos certificados deben incluir una clave privada exportable

WCF y gRPC

  • El certificado DNS debe alinearse con el nombre de host configurado.

  • Incluya una clave privada.

  • El certificado del cliente debe incluir una clave privada exportable.

  • Si es diferente, el servidor y el certificado del cliente deben firmarse con la misma autoridad.

Conexión directa de la base de datos a recursos de tiempo de ejecución

Para evitar posibles problemas de rendimiento provocados por un alto número de recursos, si un cliente interactivo se conecta directamente al servidor SQL en lugar de hacerlo a través de un servidor de aplicaciones, se aplican los siguientes controles durante el inicio de sesión:

  • Si se detectan menos de 200 recursos, se realizan las conexiones y no se muestran mensajes de advertencia.
  • Si se detectan entre 200 y 800 recursos, se muestra un mensaje que le pregunta al usuario si desea conectarse o no a los recursos. Si el usuario elige no conectarse, las conexiones a los recursos se deshabilitan.

    • Si el usuario elige no conectarse a los recursos, el estado de los recursos aún se puede ver en Control Room, pero el cliente interactivo en uso no puede indicarlo.

  • Si se detectan más de 800 recursos, la conexión automática se desactiva y aparece una advertencia que le notifica que no se ha realizado la conexión.

En Control Room del cliente interactivo de Blue Prism, la opción de menú Alternar conexiones se puede utilizar para activar o desactivar la conexión directa con los recursos de tiempo de ejecución, según sea necesario.