Authentification unique

Blue Prism prend en charge l'authentification unique à l'aide des services de domaine Microsoft Active Directory, ce qui permet aux utilisateurs qui se sont authentifiés sur le système d'exploitation, et qui sont membres des forêts et domaines appropriés, de se connecter à Blue Prism sans devoir fournir à nouveau leurs identifiants. L'intégration à Active Directory est configurée pour les instances spécifiées de Blue Prism, permettant ainsi la séparation intégrale des rôles sur plusieurs environnements (par exemple, Développement, Test et Production).

Blue Prism propose deux types d'environnement pour la gestion de l'authentification Active Directory à la plateforme :

  • Environnement à authentification multiple : prend en charge les comptes Active Directory dans lesquels les rôles sont mappés aux utilisateurs individuels dans Blue Prism. Dans les environnements à authentification multiple, les utilisateurs Active Directory peuvent se trouver dans plusieurs domaines et forêts.
  • Environnement à authentification unique : cet environnement, appelé l'authentification unique Active Directory dans les versions précédentes de Blue Prism, prend en charge les comptes Active Directory avec les rôles mappés à des groupes de sécurité Active Directory. Dans les environnements à authentification unique, les utilisateurs Active Directory peuvent se trouver dans plusieurs domaines, mais uniquement dans une seule forêt.

Le type d'environnement est sélectionné lors de la création de la base de données, et il peut uniquement être modifié en convertissant un environnement Active Directory à authentification unique en un environnement Active Directory à authentification multiple.

Configuration d'Active Directory dans un environnement à authentification unique

Quand Blue Prism est déployé au sein d'une forêt unique d'Active Directory, il peut être configuré pour permettre aux utilisateurs de s'authentifier sur la plateforme avec l'authentification unique. Il faut simplement que le groupe de sécurité Active Directory soit mappé à chaque rôle Blue Prism concerné, après quoi les utilisateurs se verront accorder un accès à la plateforme en fonction de leur appartenance à un groupe de sécurité Active Directory.

Les étapes nécessaires pour configurer l'intégration de Blue Prism dans Active Directory pour l'authentification unique dans un environnement à authentification unique sont illustrées dans le schéma ci-dessous :

  1. Configurer les groupes de sécurité Active Directory : les groupes de sécurité doivent être configurés dans Active Directory de façon à refléter le rôle de chaque utilisateur dans un environnement Blue Prism. Les utilisateurs dans ce domaine doivent ensuite être ajoutés au groupe de sécurité correspondant.

  2. Spécifier le domaine qui héberge les groupes de sécurité Active Directory : Blue Prism doit être configuré avec le domaine dans lequel les groupes de sécurité Active Directory résideront. Seuls les groupes de sécurité se trouvant dans le domaine spécifié peuvent être associés à un rôle d'utilisateur Blue Prism. Cependant, les utilisateurs appartenant à n'importe quel domaine de la forêt Active Directory commune peuvent être affectés à ces groupes de sécurité. Ils peuvent être membres directs de ce groupe ou en devenir membres via un groupe imbriqué. Dans le cadre de la configuration, il est nécessaire de sélectionner quels utilisateurs du groupe de sécurité Active Directory doivent en être membres avant de leur accorder les droits réservés d'administrateur système.

  3. Configurer et mapper les rôles Blue Prism aux groupes de sécurité Active Directory : les rôles d'utilisateur Blue Prism préconfigurés peuvent être modifiés si nécessaire, et de nouveaux rôles peuvent également être ajoutés. Chaque rôle actif dans un environnement Blue Prism donné doit ensuite être mappé à un groupe de sécurité Active Directory existant au sein du domaine configuré.

    Les rôles Blue Prism doivent être associés aux groupes de sécurité créés dans Active Directory. L'authentification unique pour Blue Prism ne prend pas en charge les groupes intégrés ou ceux ayant une appartenance dérivée comme les utilisateurs de domaine ou les utilisateurs authentifiés. Il est également recommandé que les groupes de sécurité utilisés ne contiennent pas d'entité principale de sécurité.

Les utilisateurs appartenant aux groupes configurés devraient à présent pouvoir se connecter à Blue Prism et effectuer les actions permises par le rôle Blue Prism correspondant. Les utilisateurs devront se déconnecter de Windows et se reconnecter afin que les changements dans Active Directory soient effectifs.

Configuration d'Active Directory dans un environnement à authentification multiple

Les étapes suivantes sont nécessaires pour gérer l'accès des utilisateurs Active Directory à un environnement à authentification multiple :

  1. Activer l'authentification Active Directory dans Blue Prism : les administrateurs Blue Prism qui sont membres d'un domaine Active Directory doivent activer l'authentification Active Directory sur l'écran Sécurité - Réglages d'authentification dans Blue Prism avant de mapper les utilisateurs Active Directory à des rôles Blue Prism.

  2. Mapper les utilisateurs Active Directory aux rôles Blue Prism : les utilisateurs Active Directory sont récupérés depuis les domaines et les forêts Active Directory, puis ils sont mappés individuellement à des rôles Blue Prism via l'assistant Créer un utilisateur dans Blue Prism.

Conversion de la base de données

Les administrateurs Blue Prism peuvent convertir une base de données Active Directory à authentification unique en un environnement Active Directory à authentification multiple. Cette opération à sens unique est irréversible. Elle permet de convertir tous les comptes à authentification unique d'un environnement Blue Prism en comptes à authentification multiple en mappant automatiquement les rôles vers les utilisateurs individuels en fonction de leur appartenance au groupe de sécurité Active Directory (après quoi l'appartenance au groupe n'est plus pertinente).

Cette fonctionnalité est disponible dans les réglages de l'authentification unique pour les administrateurs utilisant l'environnement à authentification unique.

Avant de procéder à la conversion, vérifiez que :

  • vous utilisez l'une des connexions prises en charge pour l'authentification Active Directory ;
  • vous avez sauvegardé votre base de données ;
  • vous avez arrêté tous vos processus ;
  • l'ensemble des utilisateurs et des ressources d'exécution est déconnecté de l'environnement.

Après avoir fermé toutes les ressources d'exécution, l'administrateur doit attendre deux minutes avant de pouvoir procéder à la conversion. Sinon, il recevra un rappel lui indiquant que tous les utilisateurs doivent être déconnectés avant de pouvoir procéder à la conversion.

Notez bien qu'en fonction du nombre d'utilisateurs et de la latence potentielle, la conversion de la base de données peut prendre plusieurs minutes.

Lors de la conversion d'un environnement Active Directory à authentification unique en environnement Active Directory à authentification multiple, les administrateurs sont invités à créer un utilisateur administrateur de récupération qui utilise l'authentification native Blue Prism. Un utilisateur natif avec un mot de passe sécurisé est requis pendant le processus de conversion, car les utilisateurs Active Directory dans un environnement à authentification multiple ne peuvent pas mettre à jour une licence expirée à l'aide des identifiants Active Directory, puisqu'un serveur Blue Prism ne peut pas être démarré avec une licence expirée et les utilisateurs Active Directory ne peuvent pas se connecter à cet environnement à l'aide d'une connexion directe à une base de données de serveur SQL.

Cet utilisateur peut être supprimé une fois la conversion de la base de données terminée, mais il est recommandé de le conserver à des fins de dépannage, en particulier dans les environnements où tous les comptes administrateur utilisent un compte Active Directory à authentification multiple.

Pour plus d'informations sur la gestion des comptes d'utilisateurs à authentification multiple, voir Gérer les utilisateurs.

Authentification des ressources d'exécution

Les ressources d'exécution peuvent s'authentifier via Active Directory dans un environnement à authentification multiple ou unique en transmettant le commutateur /sso dans la ligne de commande au démarrage de la ressource. Le commutateur /sso ne prend en charge que les modes de connexion client/serveur mentionnés ci-dessus.

L'authentification est réalisée à l'aide des identifiants de l'utilisateur Windows actuellement connecté. Dans un environnement à authentification multiple, la ressource d'exécution hérite des rôles d'utilisateur de Blue Prism mappés à l'utilisateur Windows actuellement connecté. Dans un environnement à authentification unique, la ressource d'exécution hérite des rôles d'utilisateur de Blue Prism mappés aux groupes de sécurité Active Directory auxquels l'utilisateur Windows actuellement connecté a été attribué.

Modes de connexion pris en charge

Seuls les modes de connexion client/serveur suivants sont pris en charge pour l'authentification Active Directory :

  • WCF : SOAP avec chiffrement des messages et authentification Windows
  • WCF : SOAP avec cryptage de transport et authentification Windows
  • .NET Remoting : sécurisé

Résolution des problèmes

Si vous rencontrez des problèmes, consultez Dépannage de l'authentification unique.