Authentication Serverのトラブルシューティング
次のセクションでは、Authentication Serverの構成中に発生する可能性のある特定の問題について説明します。
Authentication Serverを有効にした後のBlue Prismへのログイン
すべてのユーザー認証をAuthentication Server経由でルーティングするようBlue Prismのデプロイメントが構成されているにもかかわらず、Authentication Serverが利用できない場合、 Blue Prismサポートにお問い合わせください。
Authentication Serverが有効になったら、Blue Prismネイティブ管理者ユーザーがシステムに留まっていることを確認する必要があります。Blue Prismサポートに連絡する前に、Blue Prismデータベースの完全で検証可能なバックアップを取っていることを確認してください。
Authentication Serverを使用してサインインしようとすると、エラーメッセージが表示されます。
「予期しないブラウザーエラーが発生しました。サインイン画面に戻ります。」というメッセージが、Authentication Serverを使用してサインインを試みたときに表示された場合は、以下を確認してください。
- Authentication ServerのURLはユーザーのデバイスからアクセス可能で、[セキュリティ - サインオン設定]画面でAuthentication ServerのURLは正しく入力されていますか?
Blue Prismの[システム]>[セキュリティ - サインオン設定]で正しいAuthentication Server URLが構成されていることを確認します。現在、このページのURLを表示するためにログインできるユーザーがいない場合は、Blue Prismデータベースに対して以下のクエリを実行することで、URLを表示することができます。
コピーSELECT authenticationserverurl FROM BPASysConfig
Authentication Serverが実行中でユーザーのマシンからアクセス可能なことを確認するために、探索ドキュメントの次のURLをブラウザーに入力します:<authentication server URL>/.well-known/openid-configuration。
確認できた場合、Authentication Serverの詳細を含む以下のようなJSONデータが読み込まれます。
ページにアクセスできない場合は、IISのアプリケーションプールからサイトの再起動が必要になることがあります。詳細については、こちらをクリックしてください。
IIS Manager(inetmgr.exe)を開き、Blue Prism - Authentication Server Webサイトを見つけて、正しいAuthentication Server URLを参照できることを確認します。ウェブサイトを右‑クリックし、[ウェブサイトの管理] > [参照]をクリックします。Authentication Serverのウェブサイトがデフォルトのブラウザで開きます。Authentication ServerなどのHubサイトのトラブルシューティングについては、こちらをクリックしてください。
- ネットワークに問題がありますか?
マッピング機能を初めて実行したときに、出力されるCSVファイルにエラーメッセージが表示される
以下の場合、マッピング機能を初めて実行したときに、出力されるCSVファイルに「Authentication Serverのユーザーレコード作成時にエラーが発生しました」というメッセージが表示されることがありました。
-
Blue PrismとAuthentication Server間の通信用にHubで作成したサービスアカウントにAuthentication Server APIの許可が付与されていない場合。
-
サービスアカウントのクライアントIDとクライアントシークレットキーがBlue Prism OAuth2.0(クライアント認証情報)に正しく追加されておらず、Blue Prismの[セキュリティ - サインオン設定]ページで構成されていない場合。
これを検証するには以下を行ってください。
-
Blue Prismインタラクティブクライアントにログインし、[システム] > [セキュリティ - サインオン設定]に移動し、Authentication Serverの認証情報ドロップダウンで選択した認証情報の名前を確認します。
- [システム] > [セキュリティ – 認証情報]の順に移動し、Authentication Server用に作成した認証情報を選択し、[編集]をクリックします。
- 入力したクライアントIDが、HubのサービスアカウントのクライアントIDと一致することを確認します。
- Blue PrismからAuthentication Serverにユーザーをマッピングする際、マッピングしようとしているユーザーがすでにAuthentication Serverのデータベースに存在する場合、マッピング機能によって、[名]、[姓]、[メール]の詳細がチェックされます。そのうちの1つがすでにAuthentication Serverに存在する場合、ユーザーレコードはマッピングされません。
- コマンドを実行するマシンがAuthentication Server Webサイトにアクセスできない場合。
Authentication Serverユーザーは、Blue Prismインタラクティブクライアントにサインインしたときにのみ[Home]タブと[Digital Exchange]タブにアクセスできます。
Authentication Serverは、Blue PrismとHubへのユーザーのアクセスを管理しますが、役割と許可は各アプリケーションでローカルに管理されます。
Blue Prism環境でAuthentication Server設定が表示されない
Blue Prism環境がAuthentication Serverを使用するように構成されている場合、構成設定は[システム] > [セキュリティ] > [サインオン設定]に表示されます。そうでない場合、次のような理由が考えられます。
- Authentication Serverが使用可能な最初のバージョンであるBlue Prism 7.0にアップグレードしていません。
-
お客様のBlue Prism環境はシングル認証(Active Directory SSO)環境で、Authentication Serverを使用するように構成することはできません。
詳細については、こちらのナレッジベースの記事を参照してください。
Blue Prismアプリケーションサーバーの起動時に、RabbitMQメッセージバスが起動しない
Blue Prismアプリケーションサーバーの起動時にRabbitMQメッセージバスが起動しない場合(警告がサーバー出力ウィンドウまたはサーバーログに表示される)、以下を確認します。
- RabbitMQは実行中ですか?
- RabbitMQがインストールされているオペレーティングシステムで利用可能なサービスリストでRabbitMQを見つけて、RabbitMQサービスが実行されていることを確認します。
- RabbitMQのアドレス、仮想ホスト、ポートの詳細は正しいですか?
- 形式は、{protocol}://{host}:{port}/{virtual host}(例:rabbitmq://<rabbitmqserver>:5672/)である必要があります。
- RabbitMQのユーザー名とパスワードは正しいですか?
- ゲストユーザーは、ローカルホスト接続を介してのみ動作します。新しいユーザーが、正しい仮想ホストの許可のもとに作成されていることを確認します。
上記の詳細は、ブラウザー内からhttps://<rabbitmqserver>:15672/を介してRabbitMQ管理ポータルにアクセスし、構成済みのユーザーの認証情報でログインすることで確認できます。
Authentication Serverで作成されたユーザーが、Blue Prismインタラクティブクライアントに表示されない
Authentication Serverで作成されたユーザーが、メッセージブローカー設定を構成し、BPServerを起動した後にBlue Prismインタラクティブクライアントに表示されない場合は、以下を確認します。
- RabbitMQは実行中ですか?
- 検索バーに「Services」と入力してRabbitMQサービスが実行されていることを確認し、リストにRabbitMQが表示されていることを確認します。
- RabbitMQ管理ポータルで以下を確認します。
- ユーザー同期キューにメッセージはありますか?
- 「はい」の場合、BPServerは実行されていますか? BPServerはユーザー同期キューの唯一のコンシューマであるため、キュー上のメッセージ([Ready]列に正の整数で示される)は、BPServerが実行されていない、またはBPServerのAuthentication Serverの統合設定が正しくないことを意味します。
その場合は、BPServerのAuthentication Serverの統合設定が正しいキューと一致しているかを確認します。以下の例では、環境識別子はbpである必要があります。
BPServerが起動していることを確認します。
ユーザー同期キューに現在メッセージがない場合、キューにメッセージはありますか? これは、各キューのメッセージレートを調べることで確認できます。たとえば、アクティビティのあるキューには0.00/秒の値があり、メッセージのないキューには空になります。
- 「はい」の場合、BPServerは実行されていますか? BPServerはユーザー同期キューの唯一のコンシューマであるため、キュー上のメッセージ([Ready]列に正の整数で示される)は、BPServerが実行されていない、またはBPServerのAuthentication Serverの統合設定が正しくないことを意味します。
ユーザー同期キューで消費されたメッセージはありますか?
- RabbitMQ管理ポータルに表示される場合、ユーザー同期機能がエンドツーエンドで機能しており、イベントを処理する際に問題が発生したことを示しています。
ユーザーアカウントまたはサービスアカウントの作成または更新に失敗した場合、アプリケーションエラーを含む別のキューが作成されます(エラーキューと呼ばれます)。キュー名は同一で、_errorというサフィックスが追加されます。
- ユーザー同期キューにメッセージはありますか?
-
エラー(およびメッセージ)を検査して、アプリケーション内の問題を診断できます。これを行うには、まずキューを選択し、次に[メッセージを取得]オプションを選択します。取得するメッセージの数を指定できます。これはキューであるため、1つのメッセージを受信すると、キューの先頭にあるメッセージが返されます。キューの先頭にあるメッセージは、最も古いメッセージです。選択すると、メッセージの内容が表示されます。エラーメッセージが発生した場合、例外タイプ、メッセージタイプ、詳細なスタックトレースなどを確認できます。
- RabbitMQのユーザー名とパスワードに、次の特殊文字(? #/:?@\\"$')が含まれていますか?
- 「はい」の場合、RabbitMQ管理ポータルでユーザー名またはパスワードを変更してください。これらの文字は承認されません。
- これらがHubのインストール時に指定されたユーザー認証情報である場合は、新しいRabbitMQ接続文字列を作成し、Blue Prism Data Protectorツールを使用して値を暗号化する必要があります。暗号化されると、この新しい値をHubおよびAuthentication Serverに関連するappsettingsファイルに追加する必要があります。詳細については、「Blue Prism Data Protectorツール」を参照してください。
外部証明書ベースの認証使用する既存の RabbitMQインスタンスでAuthentication Serverを使用する
外部の証明書‑ベースの認証を使用する既存のRabbitMQインスタンスでAuthentication Serverを使用している場合は、認証情報(PLAIN)認証をインスタンスで有効にする必要があります。詳細については、こちらを参照してください。
Blue Prismアプリケーションサーバーの[Authentication Server統合]タブを使用してRabbitMQ機能を構成したことがない場合、RabbitMQ管理UIにはその環境用に作成されたキューはありません。つまり、Hubで行った変更はキューに入れられません。ただし、この構成を設定し、正常に動作することを確認した後は、Blue Prismアプリケーションサーバーが動作しているかどうかにかかわらず、Hubで行われる今後の更新はキューに入れられます。