Configuration du serveur ASCR

Les clients interactifs n'ont plus de connexions directes à chaque ressource d'exécution lorsqu'ils fonctionnent avec Application Server Controlled Resources. Cependant, certaines informations doivent être transmises en temps opportun à partir des ressources d'exécution. À cette fin, une nouvelle connexion de rappel est établie par chaque client interactif avec son serveur d'applications pour permettre la transmission de ces informations. Une fois que le client a établi une connexion avec le serveur, il télécharge les informations de rappel spécifiées sur le serveur et les utilise pour établir une connexion secondaire que le serveur utilise à cette fin.

Cette section décrit comment configurer la connexion de rappel dans la configuration du serveur d'applications, qui est référencée par Automate.config. Cette configuration peut être définie de la manière suivante :

Les réglages ASCR sont appliqués à tous les clients interactifs qui se connectent via un serveur d'applications avec Blue Prism version 7. Lors de la mise à niveau d'un serveur d'applications Blue Prism de la version 6 vers la version 7, la sortie de la console du serveur affiche un message informant l'utilisateur que le mode de sécurité ne peut pas être aucun. Ceci permet de s'assurer que les réglages d'ASCR sont configurés, comme décrit ci-dessous.

Pour obtenir des conseils sur le dépannage des problèmes potentiels que les utilisateurs peuvent rencontrer lors de l'utilisation d'ASCR, y compris le logging, les connexions et l'équilibrage de charge ASCR, veuillez consulter Logging et dépannage d'ASCR.

Configuration d'ASCR via le serveur Blue Prism

Cette procédure montre comment configurer ASCR dans le serveur Blue Prism et doit être effectuée pour tous les serveurs d'applications Blue Prism.

  1. Ouvrez BPServer.exe. Par défaut, il se trouve dans C:\Program Files\Blue Prism Limited\Blue Prism Automate ou C:\Program Files (x86)\Blue Prism Limited\Blue Prism Automate\ en fonction de votre environnement d'installation.
  2. Pour ouvrir la configuration du serveur, sélectionnez l'environnement pertinent dans Configuration actuelle et cliquez sur Modifier.

  3. Sélectionnez l'onglet Réglages d'ASCR.

  4. Dans Réglages du protocole, sélectionnez la méthode Protocole de rappel requise parmi les options suivantes :

    gRPC

    Il s'agit du canal de rappel par défaut qui nécessite HTTP/2. Le serveur d'applications et tous les clients interactifs qui s'y connectent doivent exécuter Windows 11, Windows 10, ou Windows Server 2016 ou une version ultérieure.

    C'est l'option recommandée.

    WCF

    Ce canal de rappel prend en charge Windows 11, Windows 10, et Windows Server 2016 et versions antérieures.

    WCF doit être utilisé uniquement si gRPC ne peut pas être utilisé.

    Si vous sélectionnez cette option et que le compte de connexion au service n'est pas un administrateur local, vous devrez exécuter les commandes ci-dessous pour accorder à l'utilisateur du compte de connexion au service les permissions de démarrer l'écouteur à l'aide des réglages de port par défaut :

    Si le nom d'hôte ASCR est vide, utilisez la commande suivante, qui contient un caractère générique :

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Si le nom d'hôte ASCR est explicite, utilisez la commande suivante et incluez le nom d'hôte :

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

  5. Sous Réglages de liaison, saisissez le nom d'hôte du canal auquel se lier.

    Il s'agit du nom d'hôte du serveur d'applications qui sera utilisé par les clients pour se connecter au serveur d'applications afin d'établir la connexion de rappel. Le nom d'hôte doit être configuré de sorte que lorsqu'il est utilisé à partir des clients interactifs, il soit résolu au serveur d'applications sur le port configuré.

  6. Saisissez le port sortant/entrant requis pour le protocole de rappel sélectionné. La valeur par défaut est 10000.

    Pour WCF, cette valeur est appliquée à la fonction sortante uniquement. La fonction entrante est par défaut le port 80, qui est ouvert sur le client interactif et n'est pas configurable.

  7. Sous Réglages de sécurité, sélectionnez le mode de sécurité que vous souhaitez appliquer au canal duplex parmi les options suivantes :

    Certificat

    Utilisez un certificat SSL (Secure Socket Layer).

    Windows

    Sécurité et authentification intégrées à Windows. Cette option est disponible pour le protocole de rappel WCF uniquement.

    Non sécurisé

    Le protocole de rappel ne sera pas sécurisé.

  8. Si vous sélectionnez le mode de sécurité Certificat, les options de certificat suivantes sont activées et doivent être complétées :

    Nom du certificat

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du serveur d'applications sera récupéré.

    Nom du certificat client

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Le certificat client doit être configuré pour le même point de terminaison sur le serveur. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du client interactif sera récupéré.
  9. Cliquez sur Enregistrer pour enregistrer les modifications et appliquer les réglages de sécurité.

Configuration d'ASCR via une ligne de commande

Les réglages d'ASCR peuvent également être configurés via AutomateC à l'aide des commandes suivantes :

AutomateC /ascrconfig <servername> <conntype> <hostname> <port> <connectionmode> <certificatename> <clientcertificatename> <servercertstore> <clientcertstore>

Les options de certificat sont uniquement requises lorsque <connectionmode> spécifie des certificats.

Le tableau suivant répertorie les commandes pertinentes et les valeurs possibles :

Commandes

Valeurs
<conntype>
  • 1 – grpc
  • 2 – wcf
<servername>

Le nom de la configuration du serveur dans BPServer.exe. Default est la valeur par défaut.
<connectionmode>
  • 1 – certificate
  • 2 – windows
  • 3 – insecure

Pour plus d'informations sur ces commandes et d'autres, consultez l'aide relative aux lignes de commande en saisissant /help dans une ligne de commande AutomateC.

Exigences en matière de certificat

Le mode de sécurité Certificat chiffre toutes les données échangées entre le client et le serveur. Étant donné que le canal ASCR utilise la messagerie WCF, l'objectif principal de la sécurité par certificat est de chiffrer les événements de données de changement de ressource d'exécution plutôt que d'authentifier l'identité.

Si vous avez choisi d'utiliser le mode de sécurité Certificat, vous aurez besoin d'un serveur et d'un certificat client, qui doivent tous deux exister dans le magasin de certificats spécifié sur le serveur d'applications. Le certificat client sera fourni à la demande à une connexion client établie.

Le certificat ou la paire de certificats doit répondre aux exigences suivantes :

gRPC uniquement

  • Utiliser un fournisseur de services cryptographiques RSA.
  • Les deux certificats doivent inclure une clé privée exportable.

WCF et gRPC

  • Le DNS du certificat doit s'aligner sur le nom d'hôte configuré.

  • Inclure une clé privée.

  • Le certificat client doit inclure une clé privée exportable.

  • S'ils sont différents, le serveur et le certificat client doivent être signés par rapport à la même autorité.

Connexion directe de la base de données aux ressources d'exécution

Pour éviter des problèmes de performances potentiels causés par un nombre élevé de ressources, si un client interactif se connecte directement au serveur SQL plutôt que via un serveur d'applications, les commandes suivantes sont appliquées lors de la connexion :

  • Si moins de 200 ressources sont détectées, les connexions sont établies et aucun message d'avertissement ne s'affiche.
  • Si entre 200 et 800 ressources sont détectées, un message s'affiche pour inviter l'utilisateur à choisir de se connecter ou non aux ressources. Si l'utilisateur choisit de ne pas se connecter, les connexions aux ressources sont désactivées.

    • Si l'utilisateur choisit de ne pas se connecter aux ressources, le statut des ressources peut toujours être affiché dans la salle de contrôle, mais elles ne peuvent pas être instruites par le client interactif en cours d'utilisation.

  • Si plus de 800 ressources sont détectées, la connexion automatique est désactivée et un avertissement s'affiche pour vous informer que la connexion n'a pas été établie.

Dans la salle de contrôle du client interactif Blue Prism, l'option de menu Basculer les connexions peut être utilisée pour activer ou désactiver la connexion directe aux ressources d'exécution, selon les besoins.