シングルサインオン

Blue Prismは、Microsoft Active Directory Domain Servicesを使用したシングルサインオンをサポートしています。このため、オペレーティングシステムによって認証された、適切なドメインとフォレストのメンバーであるユーザーは、認証情報を再送信せずにBlue Prismにログインできます。Active Directoryとの統合は、Blue Prismの特定のインスタンスに対して構成されるため、開発、テスト、本番などの複数の環境で役割を完全に分離できます。

Blue Prismは、プラットフォームに対するActive Directory認証を管理する2つのタイプの環境を提供しています。

  • マルチ認証環境 - Blue Prismで個々のユーザーに対して役割がマッピングされたActive Directoryアカウントをサポートします。マルチ認証環境では、複数のドメインと複数のフォレストにActive Directoryユーザーを含めることができます。
  • シングル認証環境 - 以前のバージョンのBlue PrismではActive Directoryシングルサインオン認証と呼ばれ、役割がActive DirectoryセキュリティグループにマッピングされているActive Directoryアカウントをサポートします。シングル認証環境では、Active Directoryユーザーは複数のドメインと単一のフォレストに含めることができます。

環境タイプは、データベースの作成時に選択され、シングル認証のActive Directory環境をマルチ認証のActive Directory環境に変換する場合にのみ変更できます。

シングル認証環境でのActive Directory構成

Blue Prismが単一のActive Directoryフォレスト内にデプロイされている場合、ユーザーがシングルサインオンを使ってプラットフォームに対して認証できるように構成できます。これには基本的に、Active Directoryセキュリティグループのメンバーシップに基づいて、ユーザーにプラットフォームへのアクセスを付与した後、Active Directoryセキュリティグループをそれぞれ関連するBlue Prismの役割にマップすることが求められます。

シングル認証環境でのシングルサインオンのためにBlue PrismとActive Directoryの統合を構成する際に必要な手順は、次の図のとおりです。

  1. Active Directoryセキュリティグループを構成する - セキュリティグループは、Blue Prism環境のユーザーの各役割を反映するようにActive Directoryに設定する必要があります。その後、ドメイン内のユーザーを関連するセキュリティグループに追加する必要があります。

  2. Active Directoryセキュリティグループをホストするドメインを指定する - Blue Prismは、Active Directoryのセキュリティグループが存在するドメインで構成する必要があります。Blue Prismユーザーの役割に関連付けることができるのは、指定したドメイン内のセキュリティグループのみですが、共通のActive Directoryフォレスト内の任意のドメインのユーザーを、これらのセキュリティグループに割り当てることができます。これらのユーザーは、このグループの直接のメンバーにしたり、ネストしたグループを介してメンバーにしたりできます。構成の一部として、システム管理者権限を付与する前に、ユーザーがメンバーになるActive Directoryセキュリティグループを選択する必要があります。
  3. Blue Prismの役割を構成し、Active Directoryセキュリティグループにマッピングする - 事前構成されたBlue Prismユーザーの役割は、必要に応じて編集できます。新しい役割を追加することもできます。特定のBlue Prism環境のアクティブな各役割を構成されたドメイン内の既存のActive Directoryセキュリティグループにマッピングする必要があります。

    Blue Prismの役割は、Active Directoryで作成したセキュリティグループと関連付ける必要があります。Blue Prismのシングルサインオンは、ビルトイングループや、ドメインユーザーや認証済みユーザーといった派生メンバーシップを伴うグループをサポートしていません。また、使用するセキュリティグループには、Foreign Security Principalを含まないことを推奨します。

構成されたグループに属するユーザーは、これで、Blue Prismにログインし、対応するBlue Prismの役割が許可するアクションを実行できるようにする必要があります。ユーザーはWindowsをログアウトし、再度ログインしてActive Directory変更を有効にする必要があります。

マルチ認証環境でのActive Directory構成

マルチ認証環境でActive Directoryのユーザーアクセスを管理するには、以下の手順が必要です。

  1. Blue PrismでActive Directory認証を有効にする - Active DirectoryドメインのメンバーであるBlue Prism管理者は、Active DirectoryユーザーをBlue Prismの役割にマッピングする前に、Blue Prismの[セキュリティ - サインオン設定]画面でActive Directory認証を有効にする必要があります。

  2. Active DirectoryユーザーをBlue Prismの役割にマッピングする - Active DirectoryのユーザーはActive Directoryのドメインとフォレストから取得され、Blue Prismの[ユーザー作成]ウィザードを介してBlue Prismの役割に個別にマッピングされます。

データベース変換

Blue Prism管理者は、シングル認証のActive Directoryデータベースをマルチ認証のActive Directory環境に変換できます。これは一方向の不可逆的な操作であり、Blue Prism環境内のすべてのシングル認証アカウントをマルチ認証アカウントに変換し、Active Directoryセキュリティグループメンバーシップに基づいて個々のユーザーに役割を自動的にマッピングします(その後、グループメンバーシップは関係なくなります)。

この機能は、シングル認証環境を使用している管理者のシングルサインオン設定で使用できます。

変換を開始する前に以下の点を確認してください。

  • Active Directory認証でサポートされている接続のいずれかを使用している。
  • データベースのバックアップを取得済みである。
  • すべてのプロセスが停止されている。
  • すべてのユーザーとランタイムリソースが環境からログアウトしている。

すべてのランタイムリソースを閉じた後、管理者は変換を実行できるようになるまで2分間待つ必要があります。待たずに実行すると、変換を続行する前にすべてのユーザーがログアウトしなければならないことを示すメッセージが表示されます。

変換するユーザー数や潜在的なレイテンシによっては、データベースの変換に数分かかる場合があります。

シングル認証Active Directory環境をマルチ認証Active Directory環境に変換する場合、管理者は、Blue Prismネイティブ認証を使用するリカバリ管理者ユーザーを作成するよう求められるようになりました。マルチ認証環境のActive Directoryユーザーは、Active Directory認証情報を使用して期限切れのライセンスを更新できないため、変換プロセス中にセキュアパスワードを持つネイティブ ユーザーが必要です。これは、Blue Prismサーバーが期限切れのライセンスで起動できず、Active DirectoryユーザーはSQL Serverデータベース接続を使用してこの環境にサインインできないためです。

このユーザーはデータベースの変換が完了したら削除することができますが、トラブルシューティングの目的で保持することをお勧めします。特に、すべての管理者アカウントがマルチ認証Active Directoryを使用する環境では、これを保持しておくことが推奨されます。

ランタイムリソース認証

ランタイムリソースはリソースの起動時にコマンドラインで/ssoスイッチを渡すことにより、Active Directoryを介してマルチ認証環境またはシングル認証環境で認証できます。/ssoスイッチは上記のクライアント/サーバー接続モードのみをサポートします。

認証は現在ログインしているWindowsユーザーの認証情報を使用して行われます。マルチ認証環境では、ランタイムリソースは、現在ログインしているWindowsユーザーにマッピングされているBlue Prismユーザーの役割を継承します。シングル認証環境では、ランタイムリソースは、現在ログインしているWindowsユーザーに割り当てられているActive DirectoryセキュリティグループにマッピングされているBlue Prismの役割を継承します。

サポートされている接続モード

Active Directory認証では、次のクライアント/サーバー接続モードのみがサポートされています。

  • WCF:メッセージの暗号化とWindows認証を使用するSOAP
  • WCF:トランスポートの暗号化とWindows認証を使用するSOAP
  • .NET Remoting:セキュア

トラブルシューティング

問題が発生した場合は、「シングルサインオンのトラブルシューティング」を参照してください。