Configuration d'Authentication Server

Voici un résumé des étapes requises pour configurer Authentication Server :

  1. Créez un compte de service dans Hub et accordez-lui la permission d'utiliser l'API Authentication Server pour émettre des jetons d'authentification.
  2. Configurez votre environnement Blue Prism pour utiliser Authentication Server.
  3. Configurez les utilisateurs Blue Prism pour s'authentifier via Authentication Server.
  4. Activer Authentication Server dans votre environnement Blue Prism.
  5. Configurez la fonction de messagerie via le serveur d'applications Blue Prism.

Veuillez vous assurer d'avoir effectué une sauvegarde complète et vérifiable de votre base de données Blue Prism avant de configurer et d'activer Authentication Server pour votre environnement. Pour en savoir plus, voir Sauvegarder et restaurer le système complet.

Créer un compte de service dans Hub

Les comptes de service permettent aux applications d'obtenir des jetons d'accès et de les utiliser pour effectuer des requêtes authentifiées à une API. Blue Prism utilise un compte de service pour faire des requêtes authentifiées à l'API Authentication Server, et les applications tierces peuvent utiliser des comptes de service pour faire des requêtes authentifiées à Blue Prism API.

Un compte de service utilisé par Blue Prism pour communiquer avec Authentication Server doit être créé et sera utilisé pour mapper les utilisateurs entre l'environnement Blue Prism et Authentication Server.

  1. Connectez-vous à Blue Prism Hub en tant qu'administrateur.

  2. Cliquez sur l'icône de votre profil pour ouvrir l'écran Réglages, et sous Gestion des utilisateurs, cliquez sur Comptes de service.

  3. Sur l'écran Comptes de service, cliquez sur Ajouter un compte.

  4. Saisissez un ID pour l'application client et un nom pour le client dans la base de données Authentication Server.

  5. Sous Permissions, sélectionnez API Authentication Server.

  6. Cliquez sur Créer un compte de service.

    L'écran Ajouter un compte de service s'affiche avec un secret généré.

    Il permet d'effectuer des requêtes authentifiées à l'API Authentication Server et de configurer l'identifiant Authentication Server requis pour activer Authentication Server dans le client interactif Blue Prism.

    Confirmation de création du compte de service

  7. Cliquez sur l'icône Copier dans le presse-papiers pour copier le secret généré dans votre presse-papiers, afin de pouvoir le coller sur l'écran Détails de la configuration du serveur Blue Prism ultérieurement.

Pour en savoir plus sur les comptes de service, consultez le guide de l'administrateur de Hub.

Configurer Blue Prism pour utiliser Authentication Server

La section ci-dessous décrit comment utiliser un client interactif Blue Prism pour configurer votre environnement Blue Prism afin d'utiliser Authentication Server en :

  • créant un identifiant Blue Prism qui sera utilisé par Blue Prism pour se connecter à Authentication Server afin de permettre aux utilisateurs d'être mappés dans les deux bases de données. Cet identifiant contiendra le secret et l'ID client du compte de service créé dans Hub.
  • ajoutant l'identifiant et l'URL d'Authentication Server sur l'écran Système > Sécurité - Réglages de connexion.

Pour effectuer cette configuration, des droits d'administrateur Hub et d'administrateur système du client interactif Blue Prism doivent vous être accordés.

Créer un identifiant client OAuth 2.0

  1. Connectez-vous au client interactif Blue Prism en tant qu'administrateur.

  2. Dans le client interactif Blue Prism, accédez à Système > Sécurité - Identifiants.

  3. Dans le menu de droite, cliquez sur Nouveau pour créer un identifiant.

  4. Dans l'onglet Identifiants de l'application, saisissez un nom et une description pour l'identifiant, et dans la liste déroulante Type, sélectionnez OAuth 2.0 (identifiants client).

  5. Dans le champ ID client, saisissez l'ID client utilisé pour le compte de service que vous avez créé dans Hub.

  6. Dans le champ Secret client, collez le secret généré dans Hub à partir de votre presse-papiers.

    Créer un identifiant

  7. Cliquez sur OK pour enregistrer.

Aucun droit d'accès ne doit être accordé à cet identifiant, car l'accès n'est pas requis par les automatisations de processus.

Configurer les réglages de connexion

L'option Activer Authentication Server ne doit être sélectionnée qu'une fois les utilisateurs Blue Prism configurés pour s'authentifier via Authentication Server. Une fois qu'Authentication Server a été activé, tous les accès directs des utilisateurs pour Blue Prism seront dirigés via Authentication Server et s'il n'a pas été configuré correctement, les utilisateurs ne pourront pas se connecter. Veuillez vous assurer qu'un utilisateur administrateur natif Blue Prism existe toujours dans le système et qu'il peut se connecter à Blue Prism via une connexion directe à la base de données une fois Authentication Server activé.

  1. Allez dans Système > Sécurité - Réglages de connexion.

  2. Dans le champ URL d'Authentication Server, saisissez https:// suivi du nom d'hôte configuré lors de l'installation d'Authentication Server.

    L'URL d'Authentication Server est disponible dans le gestionnaire d'Internet Information Services (IIS) sous Sites > Blue Prism – Authentication Server > Liaisons de site > Nom d'hôte. Il s'agit également de l'URL que vous utilisez pour vous connecter à Blue Prism Hub après l'installation.

  3. Dans la liste déroulante Identifiant Authentication Server, sélectionnez l'identifiant créé sur l'écran Système > Sécurité - Identifiants.

    Réglages d'authentification

  4. Assurez-vous que l'option Activer Authentication Server n'est pas sélectionnée.

  5. Cliquez sur Appliquer.

Configurer les utilisateurs Blue Prism pour s'authentifier via Authentication Server

Les comptes utilisateur natifs Blue Prism existants doivent être synchronisés avec la base de données Authentication Server afin qu'ils puissent continuer à se connecter. Pour ce faire, un outil de mappage doit être utilisé pour synchroniser les utilisateurs natifs existants dans vos bases de données Blue Prism et Authentication Server avec les scénarios suivants :

  • Créez des comptes utilisateur natifs dans Hub pour les utilisateurs natifs Blue Prism existants qui n'ont pas encore de compte utilisateur Hub afin que les utilisateurs natifs Blue Prism puissent utiliser Authentication Server pour s'authentifier dans le client interactif Blue Prism.

  • Créez des comptes utilisateur natif Blue Prism dans Blue Prism pour les utilisateurs qui existent déjà dans la base de données Authentication Server, mais pas dans la base de données Blue Prism pour permettre aux utilisateurs Hub d'accéder à l'environnement Blue Prism.

  • Liez les comptes pour les utilisateurs natifs qui existent déjà dans les deux systèmes pour vous assurer qu'ils sont liés ensemble et peuvent accéder aux deux bases de données.

La permission Authentication Server – Mapper les utilisateurs est requise pour mapper les utilisateurs à l'aide de l'outil de mappage.

Avant de commencer le mappage, veuillez vous assurer qu'un utilisateur administrateur natif Blue Prism existe dans le système et que cet utilisateur est supprimé manuellement du fichier de mappage avant d'effectuer le processus de mappage décrit ci-dessous. Cela permet de s'assurer qu'en cas de problème avec Authentication Server ou la configuration du système, il existe toujours un utilisateur administrateur qui peut se connecter via une connexion directe à la base de données.

Créer un fichier de mappage

  1. Créez un fichier CSV et ajoutez les en-têtes suivants : BluePrismUsername, AuthenticationServerUserID, FirstName, LastName et Email. Un nom d'utilisateur Blue Prism ou un ID Authentication Server sont requis au minimum.

    L'ordre des colonnes doit être préservé comme indiqué dans l'exemple ci-dessous, mais les en-têtes de colonne peuvent être personnalisés si nécessaire.

  2. Dans le fichier CSV, ajoutez les détails utilisateur disponibles à partir des bases de données Blue Prism et/ou Authentication Server, en fonction du scénario applicable :

    • Si vous souhaitez créer des comptes dans la base de données Authentication Server pour les utilisateurs natifs Blue Prism existants qui ne sont pas encore dans la base de données Authentication Server, ajoutez leur nom d'utilisateur Blue Prism au fichier CSV, ainsi que leur prénom, nom, et adresse e-mail.

      Les champs Prénom, Nom et Adresse e-mail n'existent pas dans Blue Prism. Par conséquent, il doivent être ajoutés pour créer les utilisateurs dans Authentication Server.

      Vous devez supprimer du fichier tous les utilisateurs qui ne doivent pas se connecter via Authentication Server. Au moins un utilisateur administrateur natif doit être supprimé du fichier afin qu'il puisse toujours se connecter via une connexion directe à la base de données. Si vous utilisez l'authentification native pour authentifier les ressources d'exécution, les commandes AutomateC ou les requêtes de service Web, vous devez également supprimer du fichier tous les comptes utilisateur natifs requis pour les authentifier.

    • Si vous souhaitez créer des comptes natifs Blue Prism dans la base de données Blue Prism pour les utilisateurs qui existent déjà dans la base de données Authentication Server, mais pas dans la base de données Blue Prism, ajoutez leur ID Authentication Server à partir du champ PublicId dans la table Utilisateurs de la base de données Authentication Server.

    • Si vous souhaitez lier des comptes pour des utilisateurs qui existent déjà dans les deux bases de données, ajoutez leur nom d'utilisateur Blue Prism et leur ID Authentication Server. L'ID Authentication Server se trouve dans le champ PublicId de la table Utilisateurs de la base de données Authentication Server. Pour y accéder, ouvrez SQL Management Studio et accédez à la liste des utilisateurs dans AuthenticationServerDB - Utilisateurs ou exécutez la requête suivante sur la base de données Authentication Server :

      Copier 
      select username, publicid from Users

    Exemple de fichier CSV :

    Exemple de fichier CSV

    Dans Blue Prism 7.0, le nom d'utilisateur Blue Prism ne peut contenir qu'une séquence de lettres, chiffres, points, traits d'union ou traits de soulignement, et sans espaces lorsqu'il est mappé à la base de données Authentication Server, sinon le mappage échouera. Veuillez supprimer tous les autres caractères avant de tenter le mappage d'utilisateur.

  3. Enregistrez le fichier CSV.

S'il existe des cas où un nom d'utilisateur Authentication Server existe déjà dans Blue Prism, alors lorsque le mappage a lieu, un numéro aléatoire à 4 chiffres est ajouté au nouveau nom d'utilisateur pour s'assurer qu'il est unique et pour différencier les utilisateurs dans les logs d'audit.

Utiliser AutomateC pour traiter le fichier de mappage

  1. Ouvrez Invite de commande en tant qu'administrateur et accédez au répertoire d'installation de Blue Prism contenant AutomateC.exe (par exemple C:\Program Files\Blue Prism Limited\Blue Prism Automate).

  2. Exécutez la commande suivante :

    Copier 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    Où :

    • <CSV en entrée> : le chemin d'accès à votre fichier CSV enregistré.
    • <CSV en sortie pour les erreurs> : le chemin d'accès à un fichier créé automatiquement s'il y a des erreurs dans le processus de mappage.
    • <nom d'utilisateur administrateur> et <mot de passe administrateur> : les identifiants d'un utilisateur administrateur natif dans Blue Prism.

    • <Nom de connexion au serveur Blue Prism> : le nom de votre connexion au serveur Blue Prism tel que défini dans les réglages du serveur Blue Prism.

    Par exemple :

    Commande de mappage AutomateC

    Assurez-vous que la machine sur laquelle vous exécutez la commande est en mesure d'accéder au site Web d'Authentication Server. Pour plus de détails, voir Dépannage d'Authentication Server.

Vérifier que les utilisateurs ont été correctement mappés

  1. Dans le client interactif Blue Prism, accédez à Système > Sécurité - Utilisateurs et vérifiez ce qui suit :

    • Le type de compte Authentication Server s'affiche pour les utilisateurs natifs mappés à partir de la base de données Authentication Server.
    • Le type de compte Compte de service Authentication Server s'affiche pour les comptes de service mappés à partir de la base de données Authentication Server.

    Écran Sécurité - Utilisateurs

  2. Attribuez les rôles et permissions appropriés à tous les utilisateurs mappés à partir de Hub, comme décrit dans Gérer les rôles.

  3. Dans Hub, accédez à Réglages > Utilisateurs et actualisez la liste des utilisateurs.

    Les utilisateurs mappés à partir de Blue Prism s'affichent maintenant dans la liste.

Vous ne pouvez effectuer le mappage qu'une seule fois. Une fois que les utilisateurs ont été mappés, ils ne peuvent plus être mappés à nouveau. Une fois Authentication Server activé, les nouveaux utilisateurs seront créés dans Hub et synchronisés dans le client interactif Blue Prism via le serveur de messagerie.

Les utilisateurs créés via l'outil de mappage recevront un e-mail pour définir leur mot de passe manuellement avant de se connecter pour la première fois. Ils ne pourront pas accéder à Blue Prism tant que cette étape n'aura pas été effectuée. Les utilisateurs ne recevront cet e-mail que si leurs réglages de messagerie ont été configurés dans Hub. Pour en savoir plus, consultez le guide de l'administrateur de Hub.

Activer la connexion Authentication Server dans votre environnement Blue Prism

  1. Dans le client interactif Blue Prism, accédez à Système > Sécurité - Réglages de connexion.

  2. Sélectionnez Activer Authentication Server et cliquez sur Appliquer.

    Activer Authentication Server

  3. Déconnectez-vous du client interactif Blue Prism.

    L'écran de connexion affiche désormais uniquement une option Se connecter à l'aide d'Authentication Server.

    Se connecter à Blue Prism à l'aide d'Authentication Server

  4. Cliquez sur Se connecter à l'aide d'Authentication Server.

    Vous serez dirigé vers la page de connexion à Authentication Server.

  5. Saisissez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Se connecter.

    Un jeton d'accès est émis à partir d'Authentication Server en arrière-plan qui sera ensuite utilisé pour vous connecter automatiquement au client interactif Blue Prism.

    La date et l'heure de votre dernière connexion s'affichent maintenant sur l'écran Système > Sécurité - Utilisateurs lorsque vous cliquez avec le bouton droit de la souris sur votre nom d'utilisateur.

    Date et heure de la dernière connexion d'un utilisateur

Une fois Authentication Server activé, les comptes natifs et les comptes mappés Active Directory peuvent être ajoutés, modifiés ou supprimés localement dans Blue Prism. Toutefois, ils ne pourront plus être utilisés pour se connecter au client interactif. Ces comptes peuvent uniquement être utilisés pour authentifier les ressources d'exécution, les commandes AutomateC et lors de l'appel de services Web exposés sur les ressources d'exécution.

Configurer la messagerie RabbitMQ via le serveur Blue Prism

Afin que les nouveaux utilisateurs créés dans Hub puissent se connecter à l'environnement Blue Prism via Authentication Server, le serveur d'applications Blue Prism doit être configuré pour gérer les événements utilisateur publiés dans une file d'attente de messages par Authentication Server.

Cela est configuré dans l'onglet Intégration d'Authentication Server sur l'écran Détails de la configuration du serveur Blue Prism.

  1. Lancez le serveur d'applications Blue Prism (BPServer.exe à partir de C:\Program Files\Blue Prism Limited\Blue Prism Automate).
  2. Pour ouvrir la configuration du serveur, sélectionnez l'environnement pertinent dans la liste déroulante Configuration actuelle et cliquez sur Modifier.

  3. Dans l'onglet Intégration d'Authentication Server :

    1. Saisissez les réglages de l'agent tels que configurés dans l'installation de Blue Prism Hub :

      • Adresse : adresse RabbitMQ au format rabbitmq://<host>:<port>/
      • Nom d'utilisateur : nom d'utilisateur RabbitMQ.
      • Mot de passe : mot de passe RabbitMQ.

      • Identificateur de l'environnement : utilisé pour faire la distinction entre les différents environnements Blue Prism configurés, le cas échéant. Cette valeur ne peut contenir qu'une séquence des caractères suivants : lettres, chiffres, traits d'union, traits de soulignement, points et deux-points.

        Onglet Intégration d'Authentication Server

    2. Cliquez sur Enregistrer pour appliquer les réglages.

  4. Revenez à l'écran Configuration du serveur et cliquez sur Démarrer pour démarrer le serveur Blue Prism.

    Pour vérifier que le bus de messages a été configuré correctement, vous devriez voir les lignes suivantes :

    [date stamp] : démarrage du bus de messages

    [date stamp] : bus de messages démarré

    Si le serveur Blue Prism est opérationnel, tous les utilisateurs ou comptes de service créés, modifiés ou supprimés dans Hub seront également mis à jour dans Blue Prism. Si le serveur Blue Prism se déconnecte ou se connecte ultérieurement, la synchronisation se terminera une fois la connexion restaurée.

  5. Pour vérifier que la file d'attente de messages a bien été créée, lancez l'URL de RabbitMQ dans un navigateur tel que configuré dans l'installation de Blue Prism Hub, dans cet exemple rabbitmq://localhost:15672/.

  6. Dans l'onglet Files d'attente, localisez la file d'attente qui vient d'être créée via les réglages d'intégration d'Authentication Server ci-dessus, par exemple blue-prism-app-server.user-synchronization.fresh-install.