单点登录

Blue Prism 支持使用 Microsoft Active Directory 域服务的单点登录,该服务允许经过操作系统身份验证且作为相应域和林成员的用户在无需重新提交凭据的情况下登录 Blue Prism。与 Active Directory 的集成专为 Blue Prism 特定实例配置,可在多种环境(例如开发、测试和生产)中进行角色完全分离。

Blue Prism 提供两种类型的环境,用于管理对平台的 Active Directory 身份验证:

  • 多重身份验证环境—支持 Active Directory 帐户,其中角色映射到 Blue Prism 中的各个用户。在多重身份验证环境中,Active Directory 用户可以包含在多个域和多个林中。
  • 单一身份验证环境—在以前的 Blue Prism 版本中称为 Active Directory 单点登录身份验证,它支持 Active Directory 帐户,而且角色映射到 Active Directory 安全组。在单一身份验证环境中,Active Directory 用户可以包含在多个域中,但只能包含在一个林中。

已在创建数据库时选择了环境类型,并且仅在由单一身份验证 Active Directory 环境转换为多重身份验证 Active Directory 环境时才能更改此环境类型。

单一身份验证环境中的 Active Directory 配置

Blue Prism 部署在单个 Active Directory 林中时,可以对其进行配置以允许用户使用单点登录针对平台进行身份验证。它本质上要求先将 Active Directory 安全组映射到每个相关的 Blue Prism 角色,之后才允许用户凭借其 Active Directory 安全组成员身份访问平台。

配置与 Active Directory 的 Blue Prism 集成以在单一身份验证环境中进行单点登录所需的步骤如下图所示:

  1. 配置 Active Directory 安全组—应在 Active Directory 中设置安全组,以反映 Blue Prism 环境中的各个用户角色。然后应将域中包含的用户添加至相关的安全组。

  2. 指定托管 Active Directory 安全组的域—必须使用托管 Active Directory 安全组的域配置 Blue Prism。只有特定域中的安全组可与 Blue Prism 用户角色相关联,但是来自通用 Active Directory 林中的任何域的用户可以分配至这些安全组。他们可以是这个组的直接成员,或通过嵌套组被授予成员资格。作为配置的一部分,必须先选择用户所属的 Active Directory 安全组,然后才能授予用户系统管理员权限。

  3. 配置并映射 Blue Prism 角色至 Active Directory 安全组—根据需要编辑预配置的 Blue Prism 用户角色,还可以添加新角色。给定 Blue Prism 环境中的每个活跃角色都必定将映射至配置域中现有的 Active Directory 安全组。

    Blue Prism 角色必须与在 Active Directory 中创建的安全组关联。Blue Prism 的单点登录不支持内置组或具有派生成员身份(例如域用户或经过身份验证的用户)的组。此外,还建议使用的安全组不包含外部安全主体。

属于已配置组的用户现在应该能够登录 Blue Prism 并执行相应 Blue Prism 角色允许的操作。用户可能需要注销 Windows 并重新登录才能使 Active Directory 变更生效。

多重身份验证环境中的 Active Directory 配置

管理 Active Directory 用户访问多重身份验证环境需要执行以下步骤:

  1. 在 Blue Prism 中启用 Active Directory 身份验证—作为 Active Directory 域成员,在将 Active Directory 用户映射至 Blue Prism 角色前,Blue Prism 管理员必须在 Blue Prism 中的“安全—登录设置”界面中启用 Active Directory 身份验证。

  2. 将 Active Directory 用户映射至 Blue Prism 角色—Active Directory 用户从 Active Directory 域和林中获取,并通过 Blue Prism 中的创建用户向导分别映射至 Blue Prism 角色。

数据库转换

Blue Prism 管理员可将单一身份验证 Active Directory 数据库转换为多重身份验证 Active Directory 环境。这是一项单向的不可逆操作,可将 Blue Prism 环境中的所有单一身份验证帐户转换为多重身份验证帐户,并会根据 Active Directory 安全组成员身份自动将角色映射到各个用户(之后,组成员身份不再相关)。

使用单一身份验证环境的管理员可以在单点登录设置中使用该功能。

开始转换前的注意事项:

  • 您正在使用 Active Directory 身份验证支持的连接之一。
  • 您已备份您的数据库。
  • 您已停止了所有流程。
  • 环境中的所有用户和运行时资源均已注销。

关闭任何运行时资源后,管理员将需要等待两分钟,才能执行转换操作,否则,系统会提醒管理员,必须注销所有用户后才能执行转换操作。

请注意,根据您转换的用户的数量以及可能存在的延迟,数据库转换可能需要花费一些时间。

在将单一身份验证 Active Directory 环境转换为多重身份验证 Active Directory 环境时,系统现在会提示管理员创建恢复管理员用户,该用户将使用 Blue Prism 原生身份验证。在多重身份验证环境中,Active Directory 用户无法使用 Active Directory 凭据更新过期的许可证,因为 Blue Prism 服务器无法使用过期许可证启动,且 Active Directory 用户无法使用直接 SQL Server 数据库连接登录到此环境,所以转换过程中需要具有安全密码的原生用户。

数据库转换完成后,可删除该用户,但出于故障排除的目的,建议保留该用户,尤其是在所有管理员帐户都使用多重身份验证 Active Directory 的环境中。

有关管理多重身份验证用户帐户的更多信息,请参阅管理用户

运行时资源身份验证

在多重身份验证或单一身份验证环境中,运行时资源可以通过 Active Directory 进行身份验证,方法是当资源启动时在命令行中传递 /sso 开关。/sso 开关仅支持上述客户端/服务器连接模式

使用当前登录的 Windows 用户的凭据进行身份验证。在多重身份验证环境中,运行时资源继承映射到当前登录的 Windows 用户的 Blue Prism 用户角色。在单一身份验证环境中,运行时资源继承映射到当前登录的 Windows 用户已分配到的 Active Directory 安全组的 Blue Prism 角色。

支持的连接模式

Active Directory 身份验证仅支持以下客户端/服务器连接模式:

  • WCF:带消息加密和 Windows 身份验证的 SOAP
  • WCF:带传输加密和 Windows 身份验证的 SOAP
  • .NET Remoting:安全。

故障排除

如果遇到任何问题,请参阅单点登录故障排除