Authentication Server構成

以下は、Authentication Serverの構成に必要な手順の概要です。

  1. Hubでサービスアカウントを作成し、Authentication Server APIに認証トークンを発行するための許可を与えます。
  2. Authentication Serverを使用するようにBlue Prism環境を構成します。
  3. Authentication Server経由で認証するようにBlue Prismユーザーを構成します。
  4. Blue Prism環境でAuthentication Serverを有効化します。
  5. Blue Prismアプリケーションサーバーを介してメッセージング機能を構成します。

ご使用の環境のAuthentication Serverを構成および有効化する前に、Blue Prismデータベースの完全で検証可能なバックアップを取っていることを確認してください。詳細については、「フルシステムをバックアップおよび復元する」「」を参照してください。

Hubでサービスアカウントを作成する

サービスアカウントは、アプリケーションがアクセストークンを取得し、それを使ってAPIに認証されたリクエストを行う機能を提供します。Blue Prismは、サービスアカウントを使用してAuthentication Server APIに認証されたリクエストを行い、サードパーティアプリケーションでは、サービスアカウントを使用してBlue Prism APIに認証されたリクエストを行うことができます。

Blue PrismがAuthentication Serverと通信するために使用するサービスアカウントを作成し、これを使用してBlue Prism環境とAuthentication Serverの間でユーザーをマッピングしてします。

  1. 管理者としてBlue Prism Hubにログインします。

  2. プロファイルアイコンをクリックして設定画面を開き、ユーザー管理で[サービスアカウント]をクリックします。

  3. [サービスアカウント]画面で、[アカウントを追加]をクリックします。

  4. クライアントアプリケーションのIDとAuthentication Serverデータベースのクライアントの名前を入力します。

  5. [許可]で[Authentication Server API]を選択します。

  6. サービスアカウントを作成]をクリックします。

    [サービスアカウントを追加]画面に、生成されたシークレットが表示されます。

    これは、Authentication Server APIに認証されたリクエストを行う際や、Blue PrismインタラクティブクライアントでAuthentication Serverを有効にするために必要なAuthentication Server認証情報を構成する際に使用されます。

    サービスアカウント作成確認

  7. [クリップボードにコピー]アイコンをクリックして、生成されたシークレットをクリップボードにコピーしておくと、後でBlue Prismサーバー構成の詳細画面にコピーできます。

サービスアカウントの詳細については、「Hub管理者ガイド」を参照してください。

Authentication Serverを使用するようにBlue Prism環境を構成する

以下のセクションでは、Blue Prismインタラクティブクライアントを使用して、Authentication Serverを使用するようにBlue Prism環境を構成する方法について説明します。

  • Blue Prism認証情報を作成し、Blue PrismがAuthentication Serverに接続して2つのデータベース間でユーザーをマッピングできるようにします。この認証情報には、Hubで作成したサービスアカウントのクライアントIDとシークレットの詳細が含まれます。
  • [システム] > [セキュリティ - サインオン設定]画面で、Authentication Serverの認証情報とAuthentication ServerのURLを追加します。

この構成を実行するには、Hub管理者とBlue Prismインタラクティブクライアントのシステム管理者の権限が必要です。

OAuth 2.0クライアント認証情報を作成する

  1. 管理者としてBlue Prismインタラクティブクライアントにログインします。

  2. Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - 認証情報]に移動します。

  3. 右側のメニューで、[新規]をクリックして新しい認証情報を作成します。

  4. アプリケーション認証情報]タブで、認証情報の名前と説明を入力し、[タイプ]ドロップダウンで[OAuth 2.0(クライアント認証情報)]を選択します。

  5. クライアントID]フィールドに、Hubで作成したサービスアカウントに使用するクライアントIDを入力します。

  6. クライアントシークレット]フィールドに、Hubで生成されたシークレットをクリップボードから貼り付けます。

    新しい認証情報を作成

  7. OK]をクリックして保存します。

プロセス自動化ではアクセスが不要なため、この認証情報にアクセス権を付与しないでください。

サインオン設定を構成する

Authentication Serverを有効化][]オプションは、Blue PrismユーザーがAuthentication Serverを介して認証するよう構成されている場合のみ選択する必要があります。Authentication Serverを有効にすると、Blue Prismに直接アクセスするユーザーはすべてAuthentication Serverを経由することになり、正しく構成されていない場合、ユーザーはログインできなくなります。Authentication Serverの有効化後にもデータベースに直接接続してBlue Prismにログイン可能なBlue Prismネイティブ管理者ユーザーをシステム内に確保するようにしてください。

  1. システム] > [セキュリティ - サインオン設定]の順に選択します。

  2. Authentication Server URL]フィールドに、https://に続けて、Authentication Serverのインストール時に構成されたホスト名を入力します。

    Authentication ServerのURLは、Internet Information Services(IIS)マネージャーの[サイト] > [Blue Prism – Authentication Server] > [サイトバインディング] > [ホスト名]にあります。これは、インストール後にBlue Prism Hubにログインするために使用するURLでもあります。

  3. [Authentication Server認証情報]ドロップダウンで、[システム] > [セキュリティ - 認証情報]画面で作成した認証情報を選択します。

    サインオン設定

  4. Authentication Serverを有効化]オプションが選択されていないことを確認します。

  5. 適用]をクリックします。

Authentication Server経由で認証するようにBlue Prismユーザーを構成する

既存のBlue Prismネイティブユーザーアカウントが引き続きログインできるようにAuthentication Serverデータベースと同期させる必要があります。これを実現するには、マッピングツールを使用して、以下のシナリオでBlue PrismデータベースとAuthentication Serverデータベースの既存のネイティブユーザーを同期する必要があります。

  • Hubユーザーアカウントをまだ持っていない既存のBlue Prismネイティブユーザー向けに、Hubにネイティブユーザーアカウントを作成します。これにより、Blue PrismネイティブユーザーはAuthentication Serverを使用してBlue Prismインタラクティブクライアントで認証できます。

  • Authentication Serverデータベースには存在するがBlue Prismデータベースには存在しないユーザーに対して、Blue PrismにBlue Prismネイティブユーザーアカウントを作成し、HubユーザーがBlue Prism環境にアクセスできるようにします。

  • 両方のシステムにすでに存在するネイティブユーザーのアカウントをリンクして、これらのアカウントがリンクされ、両方のデータベースにアクセスできることを確認します。

マッピングツールを使用してユーザーをマッピングするには、Authentication Server - マップユーザー許可が必要です。

マッピングを開始する前に、システムにBlue Prismのネイティブ管理者ユーザーが存在することを確認し、このユーザーをマッピングファイルから手動で削除してから、以下に示すマッピングプロセスを実行してください。これは、Authentication Serverまたはシステム構成に問題がある場合に、データベースへの直接接続によりログインできる管理者ユーザーが常に存在するようにするためです。

マッピングファイルを作成する

  1. CSVファイルを作成し、次の見出しを追加します。BluePrismUsername、AuthenticationServerUserID、FirstName、LastName、Email。Blue Prismユーザー名またはAuthentication Server IDは、最低限必要です。

    列の順序は、以下の例に示すように保持する必要がありますが、列見出しは必要に応じてカスタマイズできます。

  2. CSVファイルには、該当するシナリオに応じて、Blue PrismデータベースやAuthentication Serverデータベースから使用可能なユーザーの詳細を追加します。

    • まだAuthentication Serverデータベースに存在しない既存のBlue PrismネイティブユーザーのアカウントをAuthentication Serverデータベースに作成する場合は、Blue Prismのユーザー名、名、姓、メールをCSVファイルに追加します。

      追加の[名]、[姓]、[メールアドレス]フィールドは、Blue Prismに存在しないため、Authentication Serverでユーザーを作成するために追加する必要があります。

      Authentication Server経由でログインすべきではないユーザーをファイルから削除する必要があります。少なくとも1人のネイティブ管理者ユーザーをファイルから削除し、データベースへの直接接続を使用してログインできるようにする必要があります。ネイティブ認証を使用してランタイムリソース、AutomateCコマンド、またはWebサービスリクエストを認証する場合は、これらの認証に必要なネイティブユーザーアカウントもファイルから削除する必要があります。

    • Authentication Serverデータベースにはすでに存在するが、Blue Prismデータベースには存在しないユーザーのBlue PrismネイティブアカウントをBlue Prismデータベースに作成する場合は、Authentication Serverデータベースの[Users]テーブルの[PublicId]フィールドからAuthentication Server IDを追加します。

    • 両方のデータベースにすでに存在するユーザーのアカウントをリンクする場合は、Blue Prismユーザー名とAuthentication Server IDを追加します。Authentication Server IDは、Authentication Serverデータベースの[Users]テーブルの[PublicId]フィールドにあります。これにアクセスするには、SQL Management Studioを開き、AuthenticationServerDB - Usersのユーザーリストに移動するか、Authentication Serverデータベースで次のクエリを実行します。

      コピー 
      select username, publicid from Users

    CSVファイルの例:

    CSVファイルの例

    Blue Prism 7.0では、Blue Prismユーザー名には、文字、数字、ピリオド、ハイフン、アンダースコアのシーケンスのみを使用でき、スペースは使用できません。Authentication Serverデータベースへのマッピングに使用した場合はマッピングに失敗します。これ以外の文字を使用している場合は、ユーザーマッピングを試みる前に削除してください。

  3. CSVファイルを保存します。

Authentication Serverのユーザー名がすでにBlue Prismに存在するインスタンスがある場合、マッピングが行われると、新しいユーザー名にランダムな4桁の番号が付加されるため、一意であることを確認し、監査ログでユーザーを区別できます。

AutomateCを使用してマッピングファイルを処理する

  1. 管理者としてコマンドプロンプトを開き、AutomateC.exeを含むBlue Prismインストールディレクトリ(C:\Program Files\Blue Prism Limited\Blue Prism Automateなど)に移動します。

  2. 次のコマンドを実行します。

    コピー 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    ここでは、

    • <input CSV> – 保存したCSVファイルへのパス。
    • <output CSV for errors> – マッピングプロセスにエラーが発生した場合に、自動的に作成されるファイルのパス。
    • <admin username>および<admin password> – Blue Prismのネイティブ管理者ユーザーの認証情報。

    • <Blue Prism server connection name>Blue Prismサーバー設定で設定されたBlue Prismサーバーの接続名。

    例:

    AutomateCマッピングコマンド

    コマンドを実行するマシンがAuthentication Server Webサイトにアクセスできることを確認します。詳細については、「Authentication Serverのトラブルシューティング」を参照してください。

ユーザーが正しくマッピングされたことを確認する

  1. Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - ユーザー]に移動して、以下を確認します。

    • Authentication Serverアカウントタイプは、Authentication Serverデータベースからマッピングされたネイティブユーザーに対して表示されます。
    • Authentication Serverサービスアカウントアカウントタイプは、Authentication Serverデータベースからマッピングされたサービスアカウントに対して表示されます。

    セキュリティ - ユーザー画面

  2. 役割を管理する」「」で説明したように、Hubからマップされたすべてのユーザーに適切な役割と許可を割り当てます。

  3. Hubで、[設定] > [ユーザー]に移動し、ユーザーリストを更新します。

    Blue Prismからマッピングされたユーザーがリストに表示されます。

マッピングは1回しか実行できません。一度マッピングしたユーザーは、再度マッピングすることはできません。Authentication Serverを有効にすると、新しいユーザーがHubで作成され、メッセージングサーバーを介してBlue Prismインタラクティブクライアントで同期されます。

マッピングツールを使用して作成されたユーザーには、初めてログインする前にパスワードを手動で設定するためのメールが送信されます。このステップが完了するまで、Blue Prismにアクセスすることはできません。ユーザーは、Hubでメール設定が構成されている場合にのみ、このメールを受信します。詳細については、「Hub管理者ガイド」を参照してください。

Blue Prism環境で、Authentication Serverを有効にする

  1. Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - サインオン設定]に移動します。

  2. Authentication Serverを有効化][]を選択し、[適用]をクリックします。

    Authentication Serverを有効化

  3. Blue Prismインタラクティブクライアントからサインアウトします。

    ログイン画面には、[Authentication Serverを使用してサインイン]オプションのみが表示されます。

    Authentication Serverを使用してBlue Prismにサインインする

  4. Authentication Serverを使用してサインイン]をクリックします。

    Authentication Serverのログインページが表示されます。

  5. ユーザー名とパスワードを入力し、[ログイン]をクリックします。

    アクセストークンがバックグラウンドでAuthentication Serverから発行され、このアクセストークンを使用してBlue Prismインタラクティブクライアントに自動的にログインします。

    最後にサインインした日時が、ユーザー名を右クリックして表示される[システム] > [セキュリティ - ユーザー]画面に表示されるようになりました。

    ユーザーの最終サインイン日時

Authentication Serverを有効にすると、ネイティブアカウントおよびマッピングされたActive DirectoryアカウントをBlue Prismでローカルに追加、編集、削除できますが、これらのアカウントを使ってインタラクティブクライアントにログインすることはできません。これらのアカウントは、ランタイムリソース、AutomateCコマンド、ランタイムリソースで公開されているWebサービスを呼び出す際の認証にのみ使用できます。

Blue Prismサーバーを介してRabbitMQメッセージングを構成する

Hubで作成された新規ユーザーがAuthentication Server経由でBlue Prism環境にサインインできるようにするには、Authentication Serverによってメッセージキューにパブリッシュされるユーザーイベントを処理するようにBlue Prismアプリケーションサーバーを構成する必要があります。

この設定は、Blue Prismサーバー構成の詳細画面の[Authentication Server統合]タブで行います。

  1. Blue Prismアプリケーションサーバー(C:\Program Files\Blue Prism Limited\Blue Prism AutomateのBPServer.exe)を起動します。
  2. サーバー構成を開くには、[現在の構成]ドロップダウンから該当する環境を選択し、[編集]をクリックします。

  3. [Authentication Server統合]タブで、次の操作を行います。

    1. Blue Prism Hubをインストールするときに構成したブローカー設定を入力します。

      • アドレス – rabbitmq://<host>:<port>/という形式のRabbitMQアドレス
      • ユーザー名 – RabbitMQのユーザー名
      • パスワード – RabbitMQのパスワード

      • 環境識別子 – 構成されたさまざまなBlue Prism環境を区別するために使用されます(該当する場合)。この値には、文字、数字、ハイフン、アンダースコア、ピリオド、コロンの文字列のみを使用できます。

        Authentication Server統合タブ

    2. 保存]をクリックして設定を適用します。

  4. サーバー構成画面に戻り、[開始]をクリックしてBPServerを起動します。

    次の行が表示されると、メッセージバスが正しく構成されていることを確認できます。

    [date stamp]: メッセージバス開始

    [date stamp]: メッセージバス開始

    Blue Prismサーバーが稼働している場合、Hubで作成、編集、削除したユーザーやサービスアカウントは、Blue Prismでも更新されます。Blue Prismサーバーがオフラインになるか、後でオンラインになった場合は、接続が回復すると同期が完了します。

  5. メッセージキューが作成されたことを確認するには、「Blue Prism Hubのインストール」で構成したRabbitMQ URLをブラウザーで起動します(たとえばrabbitmq://localhost:15672/)。

  6. キュー]タブで、上記のAuthentication Server統合の設定で作成したばかりのキュー(blue-prism-app-server.user-synchronization.fresh-installなど)を探します。