Authentication Server 故障排除

以下部分提供了配置 Authentication Server 时可能遇到的特定问题的指南。

在启用 Authentication Server 后登录到 Blue Prism

如果 Blue Prism 部署已配置为要求通过 Authentication Server 路由所有用户身份验证,但 Authentication Server 不可用,请联系 Blue Prism 支持部门以获得指导。

启用 Authentication Server 后,您必须确保 Blue Prism 原生管理员用户仍保留在系统中。在联系 Blue Prism 支持部门之前,请确保您已对您的 Blue Prism 数据库进行完整且可验证的备份。

尝试使用 Authentication Server 登录时显示错误消息

如果在用户尝试使用 Authentication Server 登录时显示“意外浏览器错误。您现在将返回登录屏幕。”,则应检查以下内容:

  • Authentication Server URL 是否可从用户的设备访问,或者是否在“安全—登录设置”屏幕中输入了正确的 Authentication Server URL?

    • 验证是否已在 Blue Prism 中的系统 > 安全—登录设置下配置了正确的 Authentication Server URL。如果当前没有用户能够登录以查看此页面上的 URL,您可以通过对您的 Blue Prism 数据库运行以下查询来查看 URL:

      复制
      从 BPASysConfig 选择 authenticationserverurl

    • 验证 Authentication Server 是否正在运行且可从用户的计算机访问,方法是在浏览器中输入发现文档的 URL:<authentication server URL>/.well-known/openid-configuration

      如果成功,页面加载将包含一些 JSON 以及 Authentication Server 的详细信息,如下所示:

      如果无法访问页面,您可能需要通过 IIS 中的应用程序池重新启动站点。有关更多详细信息,请点击此处

    • 通过打开 IIS Manager (inetmgr.exe) 并找到 Blue Prism - Authentication Server 网站,验证您可以浏览正确的 Authentication Server URL。右键点击网站,然后点击管理网站 > 浏览。Authentication Server 网站将在默认浏览器中打开。有关 Hub 站点(如 Authentication Server)故障排除的更多详细信息,请点击此处

  • 是否存在网络问题?

    • 检查 SSL 证书是否有效。有关更多详细信息,请点击此处

    • 检查代理是否未阻止 Blue Prism 连接到 Authentication Server。

      如果需要将其禁用,您可以在“Internet 属性”>“局域网 (LAN) 设置”下取消选择为您的 LAN 使用代理服务器选项。有关配置代理设置的更多详细信息,请点击此处

首次运行映射功能时,输出 CSV 文件中显示错误消息

在以下情况下首次运行映射功能时,输出 CSV 文件中可能会显示消息“创建 Authentication Server 用户记录时出错”:

  • 如果为在 Blue Prism 和 Authentication Server 之间进行通信而在 Hub 中创建的服务帐户未获得 Authentication Server API 权限。

  • 如果服务帐户的客户端 ID 和客户端密钥未正确添加到 Blue Prism OAuth2.0(客户端凭据),也未在 Blue Prism 的“安全—登录设置”页面上配置。

    要验证这一点:

    1. 请登录到 Blue Prism 交互式客户端并导航到系统 > 安全—登录设置,然后检查在 Authentication Server 凭据下拉列表中选择的凭据名称。

    2. 导航到系统 > 安全—凭据,选择您为 Authentication Server 创建的凭据,然后点击编辑
    3. 检查输入的客户端 ID 是否与 Hub 中的服务帐户中的客户端 ID 匹配。
  • 当将用户从 Blue Prism 映射到 Authentication Server 时,如果您尝试映射的用户已存在于 Authentication Server 数据库中,映射功能将会检查“FirstName”、“LastName”和“电子邮件”详细信息。如果 Authentication Server 中已存在其中一项,则不会映射用户记录。
  • 如果您运行命令的计算机无法访问 Authentication Server 网站。

Authentication Server 用户只有在登录 Blue Prism 交互式客户端时才能访问“主页”和“Digital Exchange”选项卡

Authentication Server 管理用户对 Blue Prism 和 Hub 的访问,但是,角色和权限在每个应用程序的本地管理。系统不会为从 Hub 映射到 Blue Prism 的用户分配任何角色和权限,而且 Blue Prism 系统管理员需要为映射的每个用户手动分配角色和权限。有关更多详细信息,请参阅管理 Blue Prism 用户角色

Authentication Server 设置不会显示在 Blue Prism 环境中

如果您的 Blue Prism 环境已配置为使用 Authentication Server,则配置设置应显示在“系统”>“安全”>“登录设置”下。如果并未显示,原因可能是:

  • 您尚未升级到 Blue Prism 7.0,这是 Authentication Server 可用的第一个版本。

  • 您的 Blue Prism 环境是单一身份验证 (Active Directory SSO) 环境,无法将其配置为使用 Authentication Server。

有关更多详细信息,请参阅本知识库文章

启动 Blue Prism 应用程序服务器时,RabbitMQ 消息总线未启动

如果在启动 Blue Prism 应用程序服务器时 RabbitMQ 消息总线未启动(服务器输出窗口或服务器日志中将显示警告),请检查以下内容:

  • RabbitMQ 是否正在运行?
    • 在已安装 RabbitMQ 的操作系统上的可用服务列表中查找 RabbitMQ,以检查 RabbitMQ 服务是否正在运行。
  • RabbitMQ 地址、虚拟主机和端口详细信息是否正确?
    • 格式应为 {protocol}://{host}:{port}/{virtual host},例如 rabbitmq://<rabbitmqserver>:5672/。
  • RabbitMQ 用户名和密码是否正确?
    • 访客用户仅通过本地主机连接工作。确保已创建具有正确虚拟主机权限的新用户。

可以通过在浏览器中输入 https://<rabbitmqserver>:15672/ 访问 RabbitMQ 管理门户并使用配置的用户凭据登录,以检查上述详细信息。

在 Authentication Server 中创建的用户未出现在 Blue Prism 交互式客户端中

在配置了消息代理设置并启动 BPServer 之后,如果在 Authentication Server 中创建的用户未出现在 Blue Prism 交互式客户端中,请检查以下内容:

  • RabbitMQ 是否正在运行?
    • 在搜索栏中输入“服务”并确保列表中显示 RabbitMQ,以检查 RabbitMQ 服务是否正在运行。
  • 检查 RabbitMQ 管理门户,了解以下内容:
    • 用户同步队列中是否有任何消息?
      • 如果有,BPServer 是否正在运行? BPServer 是用户同步队列的唯一使用者,因此,队列中的消息(在“就绪”列中用正整数表示)表示 BPServer 未运行或 BPServer“Authentication Server 集成”设置不正确。

        • 如果是这种情况,请检查 BPServer 中的“Authentication Server 集成”设置是否与正确的队列匹配。使用以下示例,环境标识符应为 bp

        • 确保 BPServer 已启动。

      • 如果当前用户同步队列中没有消息,队列中是否有消息? 这可以通过检查每个队列的消息速率来进行检查,例如,具有活动的队列将具有 0.00/s 值,而不具有消息的队列将为空。

    • 是否已在用户同步队列中使用任何消息?

      • 如果在 RabbitMQ 管理门户中可见,则表示用户同步功能正在端到端工作,并且处理事件时出现问题。

    • 如果用户或服务帐户创建或更新失败,则将创建另一个包含应用程序错误的队列(这称为错误队列)。队列名称将相同,附加后缀为 _error

  • 可以检查错误(和任何消息)以诊断应用程序中的问题。要执行此操作,请先选择队列,然后选择“获取消息”选项。您可以指定要获取的消息数。由于这是一个队列,如果我们获取 1 条消息,则返回队列前面的消息。队列前面的消息是最早的消息。选中后,您可以看到消息的内容。如果是错误消息,您可以查看异常类型、消息类型以及更详细的堆栈跟踪等详细信息。

  • 您的 RabbitMQ 用户名和密码是否包含以下任何特殊字符:? #/:?@\"$’
    • 如果是,请在 RabbitMQ 管理门户中更改您的用户名或密码,因为不能使用这些字符。
    • 如果这些是安装 Hub 时指定的用户凭据,则需要创建新的 RabbitMQ 连接字符串并使用 Blue Prism Data Protector 工具加密该值。加密后,需要将这个新值添加到 Hub 和 Authentication Server 的相关 appsettings 文件中。有关更多详细信息,请参阅 Blue Prism Data Protector 工具

将 Authentication Server 与使用基于外部证书的身份验证的现有 RabbitMQ 实例一起使用

如果您将 Authentication Server 与使用基于外部证书的身份验证的现有 RabbitMQ 实例一起使用,则需要在他们的实例中启用凭据 (PLAIN) 身份验证。更多详细信息可在此处查看。

如果您从未通过 Blue Prism 应用程序服务器中的“Authentication Server 集成”选项卡配置 RabbitMQ 功能,则 RabbitMQ 管理 UI 将不会为该环境创建队列,这意味着在 Hub 中所做的任何更改都不会排队。但是,一旦该配置设置成功并验证其正常工作,无论 Blue Prism 应用程序服务器是否正在运行,未来在 Hub 中所做的任何更新都将排队。