Authentication Server 配置

以下是配置 Authentication Server 所需的步骤摘要:

  1. 在 Hub 中创建服务帐户,然后将其权限分配给 Authentication Server API,以颁发身份验证令牌。
  2. 配置您的 Blue Prism 环境以使用 Authentication Server。
  3. 配置 Blue Prism 用户 以通过 Authentication Server 进行身份验证。
  4. 启用 Authentication Server 在 Blue Prism 环境中。
  5. 通过 Blue Prism 应用程序服务器配置消息传递功能

请先确保您已对您的 Blue Prism 数据库进行完全、可验证的备份,然后再为您的环境配置和启用 Authentication Server。如需了解详细信息,请参阅备份并还原整个系统

在 Hub 中创建服务帐户

服务帐户使应用程序能够获得访问令牌并使用该令牌向 API 发出经过身份验证的请求。Blue Prism 使用服务帐户向 Authentication Server API 发出经过身份验证的请求,而第三方应用程序可以使用服务帐户向 Blue Prism API 发出经过身份验证的请求。

您需要创建 Blue Prism 用于与 Authentication Server 通信的服务帐户,而且该帐户将用于在 Blue Prism 环境和 Authentication Server 之间映射用户。

  1. 以管理员身份登录 Blue Prism Hub。

  2. 点击您的基本信息图标打开“设置”屏幕,然后在“用户管理”下点击服务帐户

  3. 在“服务帐户”屏幕上,点击“添加帐户”。

  4. 在 Authentication Server 数据库中输入客户端应用程序的 ID 和客户端的名称。

  5. 在“权限”下,选择“Authentication Server API”。

  6. 点击创建服务帐户

    此时会显示“添加服务帐户”屏幕和生成的密钥。

    它用于向 Authentication Server API 发出经过身份验证的请求,以及配置在 Blue Prism 交互式客户端中启用 Authentication Server 所需的 Authentication Server 凭据

    服务帐户创建确认

  7. 点击“复制到剪贴板”图标,将生成的密钥复制到剪贴板,以便稍后将其复制到 Blue Prism 服务器配置详细信息屏幕上。

如需了解有关服务帐户的更多详细信息,请参阅 Hub 管理员指南

配置 Blue Prism 以使用 Authentication Server

以下部分描述了如何使用 Blue Prism 交互式客户端通过以下步骤将 Blue Prism 环境配置为使用 Authentication Server:

  • 创建 Blue Prism 凭据,Blue Prism 将使用该凭据连接到 Authentication Server,以允许跨两个数据库映射用户。此凭据将包含客户端 ID 和在 Hub 中创建的服务帐户的密钥详细信息。
  • 在“系统”>“安全—登录设置”屏幕中添加 Authentication Server 凭据和 Authentication Server URL。

要执行此配置,您需要获得 Hub 管理员和 Blue Prism 交互式客户端系统管理员权限。

创建 OAuth 2.0 客户端凭据

  1. 以管理员身份登录 Blue Prism 交互式客户端。

  2. 在 Blue Prism 交互式客户端中,导航到系统 > 安全—凭据

  3. 在右侧菜单中,点击“新建”以创建新凭据。

  4. 在“应用程序凭据”选项卡中,输入凭据的名称和描述,然后在“类型”下拉列表中选择“OAuth 2.0(客户端凭据)”。

  5. 在“客户端 ID”字段中,输入您在 Hub 中创建的服务帐户使用的客户端 ID。

  6. 在“客户端密钥”字段中,从剪贴板粘贴在 Hub 中生成的密钥。

    创建新凭据

  7. 点击确定以保存。

请勿授予对此凭据的访问权限,因为流程自动化不需要访问权限。

配置登录设置

只有当 Blue Prism 用户配置为通过 Authentication Server 进行身份验证后,才能选择启用 Authentication Server选项。一旦启用了 Authentication Server,Blue Prism 的所有直接用户访问都将经由 Authentication Server,而如果未正确配置该服务器,用户将无法登录。请确保系统中仍然存在 Blue Prism 本地管理员用户,该用户在 Authentication Server 启用后可以通过直接数据库连接登录 Blue Prism。

  1. 导航到系统 > 安全登录设置

  2. 在“Authentication Server URL”字段中,输入 https://,后跟在 Authentication Server 安装期间配置的主机名。

    要查找 Authentication Server URL,请打开 Internet Information Services (IIS) 管理器,然后转到“站点”>“Blue Prism—Authentication Server”>“网站绑定”>“主机名”。这也是您在安装后用于登录 Blue Prism Hub 的 URL。

  3. 在“Authentication Server 凭据”下拉列表中,选择在“系统”>“安全—凭据”屏幕上创建的凭据。

    登录设置

  4. 确保启用 Authentication Server选项未选中。

  5. 单击应用

将 Blue Prism 用户配置为通过 Authentication Server 进行身份验证。

现有 Blue Prism 原生用户帐户与 Authentication Server 数据库同步,以便这些用户可以继续登录。为此,必须使用映射工具将 Blue Prism 和 Authentication Server 数据库中的现有原生用户与以下场景同步:

  • 在 Hub 中为尚未拥有 Hub 用户帐户的现有 Blue Prism 原生用户创建原生用户帐户,以便 Blue Prism 原生用户可以使用 Authentication Server 在 Blue Prism 交互式客户端中进行身份验证。

  • 在 Blue Prism 中为已在 Authentication Server 数据库中但不在 Blue Prism 数据库中的用户创建 Blue Prism 原生用户帐户,以允许 Hub 用户访问 Blue Prism 环境。

  • 为两个系统中都存在的原生用户关联帐户,以确保这些帐户关联在一起且可以访问两个数据库。

需要 Authentication Server—映射用户权限才能使用映射工具来映射用户。

在开始映射之前,请确保系统中存在 Blue Prism 原生管理员用户,并且先将此用户从映射文件中手动移除,然后执行下面概述的映射流程。这是为了确保在 Authentication Server 或系统配置出现任何问题时,始终有管理员用户可以通过直接数据库连接登录。

创建映射文件

  1. 创建 CSV 文件并添加以下标题:BluePrismUsername、AuthenticationServerUserID、FirstName、LastName 和 Email。至少要提供 Blue Prism 用户名或 Authentication Server ID。

    必须如下例所示保持列顺序,但可以根据需要自定义列标题。

  2. 在 CSV 文件中,添加 Blue Prism 和/或 Authentication Server 数据库中的可用用户详细信息,具体取决于适用的情形:

    • 如果要在 Authentication Server 数据库中为不在 Authentication Server 数据库中的现有 Blue Prism 原生用户创建帐户,请将他们的 Blue Prism 用户名以及“名字”、“姓氏”和“电子邮件地址”添加到 CSV 文件。

      Blue Prism 中不存在“名字”、“姓氏”和“电子邮件地址”字段,因此必须添加这些字段才能在 Authentication Server 中创建用户。

      您应从此文件中删除不应通过 Authentication Server 登录的所有用户。至少应从此文件中删除一个原生管理员用户,以便他们仍然可以通过直接数据库连接登录。如果您使用原生身份验证来验证运行时资源、AutomateC 命令或 Web 服务请求,则还应从此文件中移除验证这些内容所需的所有原生用户帐户。

    • 如果要在 Blue Prism 数据库中为已在 Authentication Server 数据库中但不在 Blue Prism 数据库中的用户创建 Blue Prism 原生帐户,请通过 Authentication Server 数据库中的“用户”表的“PublicId”字段添加他们的 Authentication Server ID。

    • 如果要为两个数据库中都存在的用户链接帐户,请添加他们的 Blue Prism 用户名和 Authentication Server ID。Authentication Server ID 位于 Authentication Server 数据库中的“用户”表的“PublicId”字段中。要访问此表,请打开 SQL Management Studio,然后导航至“AuthenticationServerDB—用户”中的用户列表,或者对 Authentication Server 数据库运行以下查询:

      复制 
      select username, publicid from Users

    CSV 文件示例:

    CSV 文件示例

    在 Blue Prism 7.0 中,Blue Prism 用户名只能包含字母、数字、句点、连字符或下划线的序列,并且在映射到 Authentication Server 数据库时不能包含空格,否则映射将失败。请在尝试进行用户映射之前删除任何其他字符。

  3. 保存 CSV 文件。

如果在任何实例中 Authentication Server 用户名已在 Blue Prism 中存在,则在进行映射时,系统会向新用户名附加一个随机的 4 位数,以确保其唯一,以及区分审计日志中的用户。

使用 AutomateC 处理映射文件

  1. 以管理员身份打开命令提示符,导航到包含 AutomateC.exe 的 Blue Prism 安装目录(例如 C:\Program Files\Blue Prism Limited\Blue Prism Automate)。

  2. 运行以下命令:

    复制 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    其中:

    • <输入 CSV>—CSV 文件的保存路径。
    • <错误的输出 CSV>—在映射流程中出现错误时系统自动创建的文件的路径。
    • <管理员用户名><管理员密码>—Blue Prism 中的原生管理员用户的凭据。

    • <Blue Prism 服务器连接名称>—在Blue Prism 服务器设置中设置的 Blue Prism 服务器连接的名称。

    例如:

    AutomateC 映射命令

    确保您运行命令的计算机能够访问 Authentication Server 网站。有关更多详细信息,请参阅 Authentication Server 故障排除

验证用户是否已正确映射

  1. 在 Blue Prism 交互式客户端中,导航到系统 > 安全—用户,并检查以下内容:

    • 对于从 Authentication Server 数据库映射的原生用户,系统将显示“Authentication Server”帐户类型。
    • 对于从 Authentication Server 数据库映射的服务帐户,系统将显示“Authentication Server 服务帐户”帐户类型。

    “安全—用户”屏幕

  2. 按照管理角色中所述,将相应的角色和权限分配给从 Hub 映射的所有用户。

  3. 在 Hub 中,导航到设置 > 用户,然后刷新用户列表。

    从 Blue Prism 映射的用户现在显示在列表中。

您只能执行一次映射。映射用户后,。一旦启用 Authentication Server,系统将在 Hub 中创建新用户,并通过消息传递服务器在 Blue Prism 交互式客户端中同步新用户。

通过映射工具创建的用户会在初次登录之前收到一封要求其手动设置密码的电子邮件。在执行此步骤之前,他们将无法访问 Blue Prism。如果用户的电子邮件设置已在 Hub 中配置,则用户将仅收到此电子邮件。如需了解更多详细信息,请参阅 Hub 用户指南

在 Blue Prism 环境中启用 Authentication Server

  1. 在 Blue Prism 交互式客户端中,导航到系统 > 安全—登录设置

  2. 选择启用 Authentication Server并点击应用

    启用 Authentication Server

  3. 从 Blue Prism 交互式客户端中注销。

    登录屏幕现在仅显示“使用 Authentication Server 登录”选项。

    使用 Authentication Server 登录 Blue Prism

  4. 点击“使用 Authentication Server 登录”。

    您将转到 Authentication Server 登录页面。

  5. 输入您的用户名和密码,然后点击“登录”。

    系统在后台通过 Authentication Server 颁发访问令牌,该令牌随后用于自动让您登录 Blue Prism 交互式客户端。

    现在,右键点击您的用户名时,您上次登录的日期和时间将显示在“系统”>“安全—用户”屏幕上。

    用户的上次登录日期和时间

启用 Authentication Server 后,可以在 Blue Prism 中本地添加、编辑或删除原生帐户和已映射的 Active Directory 帐户,但这些帐户将无法用于登录交互式客户端。这些帐户只能用于验证运行时资源和 AutomateC 命令,以及调用在运行时资源上公开的 Web 服务。

通过 Blue Prism 服务器配置 RabbitMQ 消息传递

为了使在 Hub 中创建的新用户能够通过 Authentication Server 登录到 Blue Prism 环境,必须将 Blue Prism 应用程序服务器配置为处理 Authentication Server 发布到消息队列的用户事件。

此配置在 Blue Prism“服务器配置详细信息”屏幕的“Authentication Server 集成”选项卡中进行。

  1. 启动 Blue Prism 应用程序服务器(C:\Program Files\Blue Prism Limited\Blue Prism Automate 中的 BPServer.exe)。
  2. 要打开“服务器配置”,请从“当前配置”下拉列表中选择相关环境,然后点击“编辑”。

  3. 在 Authentication Server 集成选项卡中:

    1. 输入 Blue Prism Hub 安装中配置的代理设置:

      • 地址—格式为 rabbitmq://<host>:<port>/ 的 RabbitMQ 地址
      • 用户名—RabbitMQ 用户名
      • 密码—RabbitMQ 密码

      • 环境标识符—用于区分不同配置的 Blue Prism 环境(如适用)。此值只能包含以下字符的序列:字母、数字、连字符、下划线、句号和冒号。

        “Authentication Server 集成”选项卡

    2. 点击保存应用设置。

  4. 返回“服务器配置”屏幕,然后点击“开始”以启动 BPServer。

    要确认消息总线已正确配置,您应该看到以下行:

    [date stamp]:启动消息总线

    [date stamp]:消息总线已启动

    只要 Blue Prism 服务器已启动并正在运行,则在 Hub 中创建、编辑或删除的任何用户或服务帐户也将在 Blue Prism 中更新。如果 Blue Prism 服务器离线或稍后上线,同步将在连接恢复后完成。

  5. 要验证消息队列已创建,在浏览器中打开在 Blue Prism Hub 安装中配置的 RabbitMQ URL(比如 rabbitmq://localhost:15672/)。

  6. 在“队列”选项卡中,找到刚才通过上述“Authentication Server 集成”设置创建的队列,例如 blue-prism-app-server.user-synchronization.fresh-install