Fehlerbehebung – Single Sign-on

Auf dieser Seite werden einige häufige Probleme und Lösungsvorschläge für Systemadministratoren zur Verwendung und Verwaltung von Single Sign-on in Blue Prism beschrieben.

Benutzer können sich nicht anmelden oder es treten Leistungsprobleme während der Anmeldung auf

Wenn während des Anmeldevorgangs über Active Directory Anmeldefehler oder Leistungsprobleme auftreten, können Systemadministratoren überprüfen, ob eines der folgenden Szenarien zutrifft, und die entsprechende Aktion durchführen.

Für die Fehlerbehebung sind möglicherweise einige zusätzliche Datenbankskripte erforderlich. Diese können bei Bedarf im Blue Prism Portal heruntergeladen werden. Soweit erforderlich, wird das geeignete Datenbankskript für die folgenden Szenarien genannt.

Ab- und Anmelden – Wenn Sie der Meinung sind, dass alle Benutzereinstellungen einschließlich der Sicherheitsgruppen korrekt sind, dann versuchen Sie, sich am Computer des Benutzers ab- und wieder anzumelden. Wenn ein Benutzer zu einer Active Directory-Gruppe hinzugefügt wird, wird die Änderung bei seiner nächsten Anmeldung wirksam.
Überprüfen Sie die Blue Prism Rollen des Benutzers und seine Active Directory-Sicherheitsgruppenmitgliedschaft – Wenn der Benutzer ein Mitglied der Blue Prism Administratorengruppe ), sollte er sich anmelden können.

Wenn ein Benutzer versucht, sich nach einem Produkt-Upgrade anzumelden, und die Fehlermeldung „Anmeldung fehlgeschlagen. Diesem Benutzer sind keine Rollen in Blue Prism zugewiesen“ angezeigt wird, laden Sie das Datenbankskript BP‑9497‑ConfigureTrustedDomain.sql aus dem Blue Prism Portal herunter und befolgen Sie die in diesem Knowledge-Base-Artikel beschriebenen Schritte.

Überprüfen Sie, ob das Benutzerkonto erstellt und mindestens einer Blue Prism Rolle zugewiesen wurde, entweder direkt oder über eine Sicherheitsgruppenmitgliedschaft.

Zunächst sollten Sie auf dem Bildschirm „Sicherheit – Benutzer“ Benutzer mit Active Directory synchronisieren. Wenn das Benutzerkonto nicht in der Benutzerliste angezeigt wird, bedeutet dies, dass es noch nicht erstellt wurde:
- Wenn Benutzerrollen in Blue Prism verwaltet werden, sollten Sie das Benutzerkonto erstellen und ihm die erforderlichen Rollen zuweisen.
- Wenn Benutzerrollen in Active Directory verwaltet werden, sollten Sie überprüfen, welche Active Directory-Gruppen den Blue Prism Rollen zugeordnet sind unter System > Sicherheit > Benutzerrollen. Der Benutzer sollte Mitglied mindestens einer dieser Gruppen sein. Wenn nicht, sollte Ihr Netzwerkadministrator das Konto der entsprechenden Sicherheitsgruppe hinzufügen, bevor Sie die Benutzerliste erneut mit Active Directory synchronisieren, um zu überprüfen, ob das Konto in der Benutzerliste angezeigt wird.
- Wenn Rollen sowohl in Blue Prism als auch in Active Directory verwaltet werden, sollten Sie das Benutzerkonto erstellen und die erforderlichen Rollen direkt und/oder über die Sicherheitsgruppenmitgliedschaft zuweisen.

Überprüfen Sie die Verbindung zum Blue Prism Anwendungsserver – Stellen Sie sicher, dass der Benutzer mit einem Blue Prism Anwendungsserver mit einem gültigen und sicheren Verbindungsmodus verbunden ist und dass ein Active Directory-Benutzerdatensatz für den aktuell angemeldeten Windows-Benutzer vorhanden ist.

Überprüfen Sie, ob Sie das Active Directory-Timeout-Limit konfigurieren müssen – Wenn sich ein Benutzer entweder nicht mittels Active Directory anmelden kann oder während des Anmeldevorgangs Leistungsprobleme auftreten und die Logs mehrmals System.TimeoutException: Timeout nach 5 Sekunden enthalten, können Sie ein Active Directory-Timeout-Limit in der Datenbank festlegen. Das Datenbankskript BP‑9268‑SetActiveDirectoryQueryTimeout.sql kann zu diesem Zweck im Blue Prism Portal heruntergeladen werden. Dies ändert die Timeout-Einstellungen für den/die Anwendungsserver und alle API-Instanzen, die auf die Blue Prism Datenbank verweisen. Sichern Sie Ihre Datenbank, bevor Sie dieses Skript für Ihre Blue Prism Datenbank ausführen.
Überprüfen Sie, ob Sie die Active Directory-Domains manuell konfigurieren müssen, die während des Anmeldeprozesses abgefragt werden – Damit der Active Directory-Cache schneller aufgefüllt wird, können Systemadministratoren die vertrauenswürdigen Active Directory-Domains manuell konfigurieren, die während des Anmeldevorgangs abgefragt werden. Wenn mindestens eine Active Directory-Domain manuell konfiguriert wurde, werden diese Einstellungen während des Anmeldevorgangs verwendet, um nur die konfigurierte(n) Domain(s) abzufragen, anstatt programmatisch zu identifizieren, welche Domains abgefragt werden können. Das Datenbankskript BP‑9497‑ConfigureTrustedDomain.sql kann zu diesem Zweck im Blue Prism Portal heruntergeladen werden.

Wenn eine neue Domain zu Active Directory hinzugefügt wird, muss sie auch zur Konfiguration hinzugefügt werden. Ansonsten wird sie ignoriert und Benutzer, die zu dieser Domain gehören, können sich erst anmelden, wenn die Konfiguration aktualisiert wurde.

Bevor Sie das Skript ausführen, stellen Sie bitte sicher, dass:
- Sie ein Backup Ihrer Datenbank erstellt haben.
- Alle Active Directory-Domains, die eines oder mehrere der folgenden Kriterien erfüllen, werden manuell konfiguriert (wenn Blue Prism Version 7.1.0 oder 7.1.1 verwendet wird):
  - Enthalten Benutzer, die sich anmelden können müssen.
  - Enthalten Sicherheitsgruppen, die Blue Prism Rollen direkt zugewiesen sind.
  - Enthalten übergeordnete Sicherheitsgruppen, die Sicherheitsgruppen umfassen, die Blue Prism Rollen direkt zugewiesen sind.
- Alle Active Directory-Domains, die eines oder mehrere der folgenden Kriterien erfüllen, werden manuell konfiguriert (wenn Blue Prism Version 7.1.2 oder höher verwendet wird):
  - Enthalten Benutzer, die sich mit Telnet-Befehlen oder Prozessen anmelden müssen, die als Webdienste mit dem Benutzernamenformat „Benutzeranmeldename“ (vor Windows 2000) verfügbar gemacht werden. Zum Beispiel „john“ im Gegensatz zu „DOMAIN\john“ oder „[email protected]“.
  - Enthält Benutzer mit einem Alias-UPN-Suffix (User Principal Name), das sich vom DNS-Namen (Domain Name System der Active Directory-Domain unterscheidet. Zum Beispiel corp.dir.company.com (DNS-Name) und company.com (Alias-Suffix), wobei [email protected] der UPN ist. Ein optionales Datenbankskript zum Konfigurieren von Alias-Suffixen (BP-10681-ConfigureUpnSuffixes.sql) kann im Blue Prism Portal heruntergeladen werden.
- Der Domain-Hostname, die Sicherheitsidentifikation (SID) und der Name der Gesamtstruktur, in der sich die Domain befindet, wurden für jede Domain bereitgestellt, die abgefragt werden muss.
Überprüfen Sie, ob Sie die Domain-Cache-Einstellungen konfigurieren müssen – Um die Leistung während der Anmeldung weiter zu verbessern, kann das Verhalten des Cache konfiguriert werden, der die erkannten Domains speichert, indem ein Aktualisierungsintervall und eine maximale Cache-Dauer festgelegt werden. Das Datenbankskript BP‑9654‑SetCacheDurationAndRefreshInterval.sql kann zu diesem Zweck im Blue Prism Portal heruntergeladen werden. Sichern Sie Ihre Datenbank, bevor Sie dieses Skript für Ihre Blue Prism Datenbank ausführen.
- Das Aktualisierungsintervall ist das Intervall in Minuten, in dem die zwischengespeicherten Daten aus Active Directory aktualisiert werden. Der Wert kann zwischen 5 und 1440 Minuten eingestellt werden. Der Standardwert ist 5.
- Die maximale Cache-Dauer ist die Zeitdauer in Minuten, in der die Daten im Cache gespeichert bleiben, bevor sie ungültig werden. Der Wert kann zwischen 5 und 1440 Minuten eingestellt werden. Der Standardwert ist auf 30 festgelegt, wenn Blue Prism Version 7.1.0 oder 7.1.1 verwendet wird, und auf 1440 bei Blue Prism Version 7.1.2 oder höher.
  
  Diese beiden Einstellungen müssen paarweise konfiguriert werden, wobei die maximale Cache-Dauer einen höheren Wert als das Aktualisierungsintervall haben muss. Wenn eine oder beide Einstellungen nicht konfiguriert sind, werden die Standardwerte verwendet.
- Dieser Cache wird in Blue Prism aufgefüllt, wenn:
  - eine direkte Datenbankverbindung hergestellt wird.
    Wenn Sie sich mit einer direkten Datenbankverbindung anmelden, können sich Benutzer möglicherweise nicht erfolgreich anmelden, während der Cache gefüllt wird. Die zum Ausfüllen des Cache erforderliche Zeit kann variieren, aber Sie können vertrauenswürdige Active Directory-Domains, die während des Anmeldevorgangs abgefragt werden, manuell konfigurieren, um die Wartezeit zu verkürzen.
  - Starten eines Blue Prism Anwendungsservers.
  - Aktivieren der Active Directory-Authentifizierung unter System > Sicherheit > Anmeldungseinstellungen.
  Der Cache wird in Blue Prism nicht ausgefüllt, es sei denn, die Active Directory-Authentifizierung wurde aktiviert.
  Weitere Details zum Active Directory-Domain-Cache finden Sie in diesem Knowledge-Base-Artikel.
Prüfen Sie, ob Sie Domaincontroller-Namenszuordnungen konfigurieren müssen – Möglicherweise müssen Sie Domaincontroller-Namenszuordnungen in der Datenbank konfigurieren, wenn die folgende Fehlermeldung und das folgende Log angezeigt werden, wenn Sie nach Active Directory-Benutzern oder -Sicherheitsgruppen suchen und Active Directory-Domains hinzufügen oder bearbeiten:
- Fehlermeldung: Der Domain-Datensatz konnte nicht gespeichert werden: Ungültige Anmeldedaten. Überprüfen Sie Ihre Anmeldedaten.
- Fehler-Log: Der Benutzername oder das Passwort ist falsch. Wenn die Domain-Anmeldedaten für dc=example,dc=com gültig sind, geben Sie bitte einen Domaincontroller-Zuordnungsdatensatz an.
  
  Dies kann auftreten, wenn sich die Domain von Interesse in einem anderen Netzwerk befindet als das Netzwerk, in dem der Blue Prism Anwendungsserver ausgeführt wird. Wenn Sie sicher sind, dass die angegebenen Anmeldeinformationen korrekt sind, müssen Sie der Datenbank Parameter für domainName und domainControllerName hinzufügen, damit Active Directory-Abfragen für die in domainName angegebene Domain an den in domainControllerName definierten Endpunkt geleitet werden.
  
  Gehen Sie dazu wie folgt vor:
  1. Sichern Sie Ihre Blue Prism Datenbank.
  2. Laden Sie das Skript BP-9420-AddDomainNamePreferences.sql aus dem Blue Prism Portal herunter und öffnen Sie es in einem geeigneten Editor.
  3. Aktualisieren Sie die Platzhalterwerte für die Parameter domainName und domainControllerName für jede erforderliche Domain mit Ihren eigenen Werten, z. B.:
    - domainName – Der Name Ihrer Active Directory-Domain oder der DNS-Name der Domain, z. B. company.com.
    - domainControllerName – Der DNS-Name der Domain, z. B. company.com oder der FQDN eines Domänencontrollers in der Domain, z. B. server-id.company.com.
  4. Führen Sie das Skript gegen Ihre Blue Prism Datenbank aus.

Windows-Anmeldedaten sind erforderlich

Wenn Sie nach der Anmeldung über Active Directory aufgefordert werden, Windows-Anmeldedaten einzugeben, überprüfen Sie bitte, ob Sie einen Service Principal Name (SPN) für das Active Directory-Konto konfiguriert haben, unter dem jede Blue Prism Serverdienst-Instanz ausgeführt wird. Darüber hinaus muss ein Kerberos-Bereich für jede BP Server Verbindung im interaktiven Blue Prism Client konfiguriert werden. Weitere Informationen finden Sie unter SPN-Konfiguration.

Fehlermeldungen werden angezeigt

Die Vertrauensstellung zwischen dieser Workstation und der primären Domain konnte nicht hergestellt werden.

Dieser Fehler weist auf ein Problem mit Ihrer Netzwerkkonfiguration hin. Das kann ein Symptom eines zusammenhanglosen Namespace sein (in diesem Szenario stimmt das primäre DNS-Suffix (Domain Name System) eines Computers nicht mit dem Namen der DNS-Domain überein, in der sich der Computer befindet).

Die angegebene Domain existiert nicht oder kann nicht kontaktiert werden.

Manchmal scheint ein Computer Mitglied einer Domain zu sein, ist aber falsch konfiguriert. Wenn das nur einen bestimmten Computer betrifft und andere Computer problemlos funktionieren, kann es sein, dass genau dieses Problem vorliegt. In diesem Fall müssen Sie den Computer aus der Domain entfernen und erneut anhängen (diese Aktion muss von einem Domain-Administrator durchgeführt werden).

Der lokale Computer ist kein Mitglied einer Active Directory-Domain oder die Domain ist nicht erreichbar.

Wenn Sie diese Meldung bei dem Versuch erhalten, bedeutet das, dass Sie Ihren Active Directory-Domain-Administrator darum bitten müssen, Sie zu einer Active Directory-Domain hinzuzufügen, bevor Sie die Active Directory-Authentifizierung konfigurieren können.

Die Mitglieder der Sicherheitsgruppe {Name der Sicherheitsgruppe} konnten nicht abgerufen werden, da sie Mitglieder beinhaltet, die entweder Foreign Security Principals sind oder nicht aufgelöste SIDs aufweisen.

Einige Active Directory-Sicherheitsgruppen (z. B. einige integrierte Gruppen) bereiten Abfrageschwierigkeiten, weshalb derartige Konfigurationen nicht empfohlen werden. Die Benutzer in diesen Gruppen können sich mit den richtigen Berechtigungen zwar anmelden, auf einigen Blue Prism Bildschirmen können die Mitgliedschaftsinformationen aber möglicherweise nicht richtig angezeigt werden.

	Klicken Sie hier, um die Dokumentation für alle Blue Prism Produkte anzuzeigen.
© 2024 Blue Prism Limited