Configuración de Authentication Server

El siguiente es un resumen de los pasos necesarios para configurar Authentication Server:

  1. Cree una cuenta de servicio en Hub y otórguele permiso a la API de Authentication Server para emitir fichas de autenticación.
  2. Configure su entorno de Blue Prism para usar Authentication Server.
  3. Configure el servidor de aplicaciones de Blue Prism.
  4. Configure usuarios de Blue Prism para autenticar a través de Authentication Server.
  5. Habilite la conexión con el servidor de mensajería.
  6. Habilite el inicio de sesión de Authentication Server en su entorno de Blue Prism.

Asegúrese de haber realizado una copia de seguridad completa y verificable de su base de datos de Blue Prism antes de configurar y habilitar el Authentication Server para su entorno. Para obtener más detalles, consulte Realizar una copia de seguridad y restaurar el sistema completo.

Crear una cuenta de servicio en Hub

Las cuentas de servicio proporcionan la capacidad para que las aplicaciones obtengan fichas de acceso y las utilicen para realizar solicitudes autenticadas a una API. Blue Prism utiliza una cuenta de servicio para realizar solicitudes autenticadas a la API de Authentication Server, y las aplicaciones de terceros pueden utilizar cuentas de servicio para realizar solicitudes autenticadas a Blue Prism API.

Es necesario crear una cuenta de servicio que Blue Prism utilice para comunicarse con Authentication Server, que se utilizará para asignar y sincronizar usuarios entre el entorno de Blue Prism y Authentication Server.

  1. Inicie sesión en Blue Prism Hub como administrador.

  2. Haga clic en el ícono de su perfil para abrir la pantalla Configuración y, en Administración de usuarios, haga clic en Cuentas de servicio.

  3. En la pantalla Cuentas de servicio, haga clic en Agregar cuenta.

  4. Ingrese una Id. para la aplicación del cliente y un nombre para el cliente en la base de datos de Authentication Server.

  5. En Permisos, seleccione API de Authentication Server.

  6. Haga clic en Crear cuenta de servicio.

    Aparece la pantalla Agregar una cuenta de servicio con un secreto generado.

    Es necesario para configurar los detalles del cliente dentro del servidor de aplicaciones de Blue Prism a fin de permitir que esta cuenta de servicio realice solicitudes autenticadas a la API de Authentication Server.

    Confirmación de creación de la cuenta de servicio

  7. Haga clic en el ícono Copiar al portapapeles para copiar el secreto generado en su portapapeles, de modo que pueda copiarlo en la pantalla Detalles de configuración del servidor de Blue Prism más adelante.

Para obtener más detalles sobre las cuentas de servicio, consulte la guía del administrador de Hub.

Configurar Blue Prism para usar Authentication Server

En la siguiente sección se describe cómo utilizar un cliente interactivo de Blue Prism para configurar su entorno de Blue Prism a fin de utilizar Authentication Server:

Solo se debe seleccionar la opción Inicio de sesión de usuario a través de Authentication Server una vez que se configuren los usuarios de Blue Prism para autenticarse a través de Authentication Server. Una vez que se haya habilitado Authentication Server, todo el acceso de usuario directo para Blue Prism se dirigirá a través de Authentication Server y, si no se ha configurado correctamente, los usuarios no podrán iniciar sesión. Asegúrese de que aún exista un usuario administrador nativo de Blue Prism en el sistema que pueda iniciar sesión en Blue Prism a través de una conexión directa a la base de datos una vez que se haya habilitado Authentication Server.

  1. Inicie sesión en el cliente interactivo de Blue Prism como administrador.

  2. Navegue a Sistema > Seguridad: configuración de inicio de sesión.

  3. En el campo URL de Authentication Server, ingrese https:// seguido del nombre de host configurado durante la instalación de Authentication Server.

    La URL de Authentication Server se puede encontrar en el Administrador de Internet Information Services (IIS) en Sitios > Blue Prism: Authentication Server > Enlaces del sitio > Nombre de host. Esta también es la URL que utiliza para iniciar sesión en Blue Prism Hub después de la instalación.

  4. Asegúrese de que la opción Inicio de sesión del usuario a través de Authentication Server no esté seleccionada.

  5. Haga clic en Aplicar.

Configurar el servidor de aplicaciones de Blue Prism

Para agregar usuarios de Authentication Server a Blue Prism y sincronizar los datos de usuario, los detalles de la cuenta de servicio creada para realizar solicitudes autenticadas a la API de Authentication Server deben configurarse en el servidor de aplicaciones de Blue Prism. Además, el servidor de aplicaciones de Blue Prism se puede configurar para manejar eventos de cuentas de usuario y de servicio que se publican en una cola de mensajes por parte de Authentication Server, por lo que las actualizaciones en las cuentas de usuario y de servicio de Authentication Server se aplican a las cuentas de usuario o de servicio de Blue Prism asignadas.

Esto se configura en la pestaña Integración de Authentication Server, en la pantalla Detalles de configuración del servidor de Blue Prism.

  1. Inicie el servidor de aplicaciones de Blue Prism (BPServer.exe desde C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate).
  2. Para abrir la configuración del servidor, seleccione el entorno relevante en el menú desplegable Configuración actual y haga clic en Editar.

  3. En la pestaña Integración de Authentication Server:

    1. Ingrese la configuración del agente según se configuró en la instalación de Blue Prism Hub:

      • Dirección: dirección de RabbitMQ en el formato rabbitmq://<host>:<port>/
      • Nombre de usuario: nombre de usuario de RabbitMQ
      • Contraseña: contraseña de RabbitMQ

      • Identificador de entorno: se utiliza para distinguir entre diferentes entornos configurados de Blue Prism, si corresponde. Este valor solo puede contener una secuencia de los siguientes caracteres: letras, dígitos, guiones, guiones bajos, puntos y dos puntos.

    2. Ingrese los detalles del cliente. Se utilizan para la sincronización de la cuenta de usuario y de servicio y cuando se realizan llamadas directamente a la API de Authentication Server, por ejemplo, cuando se agregan usuarios de Authentication Server a roles de Blue Prism, según se configura en Crear una cuenta de servicio en Hub .

      • Id. del cliente: la Id. del cliente de la cuenta de servicio que utiliza Blue Prism para comunicarse con Authentication Server.
      • Secreto del cliente: la clave del secreto del cliente que genera la cuenta de servicio utilizada por Blue Prism para comunicarse con Authentication Server.

      En Hub 4.7 y versiones posteriores, la Id. del cliente distingue entre mayúsculas y minúsculas. Debe asegurarse de ingresar la Id. del cliente en mayúscula o minúscula según se define en la cuenta de servicio.

    3. Haga clic en Probar conexión para asegurarse de que los detalles ingresados sean válidos.

      No seleccione Habilitar conexión hasta que haya completado la asignación de usuarios. Puede guardar los cambios y regresar para habilitar la conexión una vez que haya completado la asignación de usuarios.

    4. Haga clic en Guardar para aplicar la configuración.

Configurar usuarios de Blue Prism para autenticar a través de Authentication Server

Entornos nuevos de Blue Prism

Si está configurando un nuevo entorno de Blue Prism para usar Authentication Server, primero deben crearse los usuarios de Authentication Server en Blue Prism Hub (consulte la guía del administrador de Hub para obtener más detalles) y luego agregarse a Blue Prism asignándoles un rol de Blue Prism.

Para agregar uno o más usuarios de Authentication Server a un rol de Blue Prism, realice lo siguiente:

  1. En el cliente interactivo de Blue Prism, navegue a Sistema > Seguridad: Roles de usuario.

  2. Seleccione un rol de la lista y edite los permisos asociados si es necesario.

  3. Haga clic en Administrar membresía del rol.

    Aparece la pantalla Membresía del rol.

  4. Haga clic en Agregar.

    Aparece el diálogo Agregar usuarios.

  5. Seleccione los usuarios de Authentication Server que desee agregar al rol seleccionado, o búsquelos usando el cuadro de búsqueda, y haga clic en Aceptar.

    Ahora los usuarios de Authentication Server agregados se muestran en el cuadro de diálogo Membresía del rol.

  6. Haga clic en Aceptar para guardar los cambios.

Los usuarios de Authentication Server configurados para usar la autenticación de Directorio Activo en Hub también se pueden agregar a Blue Prism según su membresía de grupo de seguridad de Directorio Activo. Para obtener más detalles, consulte Agregar usuarios de Directorio Activo a Blue Prism según su membresía de grupo de seguridad.

Entornos existentes de Blue Prism

Si está actualizando un entorno de Blue Prism, las cuentas de usuario nativas y existentes de Blue Prism se deben sincronizar con la base de datos de Authentication Server para que puedan continuar iniciando sesión. Para ello, se debe utilizar una herramienta de asignación a fin de sincronizar los usuarios nativos existentes en sus bases de datos de Blue Prism y Authentication Server en las siguientes situaciones:

  • Crear cuentas de usuario nativas en Hub para los usuarios nativos existentes de Blue Prism que aún no tienen una cuenta de usuario de Hub a fin de que los usuarios nativos de Blue Prism puedan usar Authentication Server para autenticarse en el cliente interactivo de Blue Prism.

  • Vincular cuentas para usuarios nativos que ya existen en ambos sistemas para asegurarse de que estén vinculadas y puedan acceder a ambas bases de datos.

Se requiere el permiso Authentication Server: asignar usuarios para asignar usuarios utilizando la herramienta de asignación.

La herramienta de asignación no se puede utilizar en las siguientes situaciones:

  • Para agregar usuarios de Authentication Server automáticamente a Blue Prism: los usuarios de Authentication Server solo se agregan a Blue Prism en el momento en que se les asigna un rol de Blue Prism. Para obtener más detalles, consulte Entornos nuevos de Blue Prism.
  • Para sincronizar usuarios de Directorio Activo de Blue Prism con Authentication Server: una vez que se haya configurado la autenticación de Directorio Activo en Hub, un usuario de Blue Prism que inicie sesión mediante la autenticación del Directorio Activo por primera vez a través de Authentication Server tendrá una cuenta creada automáticamente en Hub y podrá continuar usando Blue Prism con sus roles existentes. Para obtener detalles sobre cómo administrar usuarios de Directorio Activo en Hub, consulte la guía del administrador de Hub.

Agregar usuarios a través de la herramienta de asignación

Antes de iniciar la asignación, asegúrese de que exista un usuario administrador nativo de Blue Prism en el sistema y que este usuario se elimine manualmente del archivo de asignación antes de llevar a cabo el proceso de asignación descrito a continuación. Esto es para garantizar que, en caso de que haya algún problema con Authentication Server o la configuración del sistema, siempre exista un usuario administrador disponible que pueda iniciar sesión a través de una conexión directa a la base de datos.

Crear cuentas en la base de datos de Authentication Server para usuarios nativos existentes de Blue Prism que aún no tienen las cuentas de usuario de Hub correspondientes
  1. Abra el símbolo del sistema como administrador y navegue hasta el directorio de instalación de Blue Prism que contiene AutomateC.exe (por ejemplo, C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate).

  2. Ejecute el siguiente comando para obtener un archivo de plantilla CSV con una lista de todos los usuarios nativos de Blue Prism en la base de datos que están disponibles para la asignación:

    Copiar 
    automatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd> 

  3. Desde Windows Explorer, abra el archivo de salida y agregue el nombre, el apellido y la dirección de correo electrónico de cada usuario de Blue Prism que desee agregar.

    Los campos Nombre, Apellido y Dirección de correo electrónico no existen en Blue Prism, por lo que se deben agregar para crear los usuarios en Authentication Server.

  4. Elimine cualquier usuario del archivo que no deba iniciar sesión a través de Authentication Server. Se debe eliminar al menos un usuario administrador nativo del archivo para que aún pueda iniciar sesión a través de una conexión directa a la base de datos.

    Si está utilizando la autenticación nativa para autenticar también recursos de tiempo de ejecución, comandos de AutomateC o solicitudes de servicio web, también debe eliminar del archivo todas las cuentas de usuario nativas necesarias para autenticarlas.

  5. Guarde el archivo CSV.

  6. Abra el símbolo del sistema como administrador y navegue hasta el directorio de instalación de Blue Prism que contiene AutomateC.exe.

  7. Ejecute el siguiente comando para completar la asignación de usuarios:

    Copiar 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    Donde:

    • <input CSV>: la ruta al archivo CSV guardado.
    • <output CSV for errors>: la ruta para un archivo creado automáticamente si hay errores en el proceso de asignación.
    • <admin username> y <admin password>: las credenciales para un usuario administrador nativo en Blue Prism.

    • <Blue Prism server connection name>: el nombre de la conexión de su servidor de Blue Prism según se establece en la configuración del servidor de Blue Prism.

    Por ejemplo:

    Comando de asignación de AutomateC

    Asegúrese de que la máquina en la que ejecuta el comando pueda acceder al sitio web de Authentication Server. Para obtener más detalles, consulte Resolución de problemas de Authentication Server.

Asignar usuarios existentes de Blue Prism a usuarios existentes de Authentication Server
  1. Abra el símbolo del sistema como administrador y navegue hasta el directorio de instalación de Blue Prism que contiene AutomateC.exe (por ejemplo, C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate).

  2. Ejecute el siguiente comando para obtener un archivo de plantilla CSV con una lista de todos los usuarios disponibles para la asignación en la base de datos de Blue Prism:

    Copiar 
    automatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd> 

  3. Ejecute el siguiente comando para obtener un archivo de plantilla CSV con una lista de todos los usuarios que están disponibles para la asignación en la base de datos de Authentication Server:

    Copiar 
    automatec /getauthenticationservertemplateforusermapping {outputpath} /dbconname <Blue Prism Server connection name>

  4. Desde Windows Explorer, abra ambos archivos de salida y, para cada usuario de Blue Prism que desee asignar, busque el usuario de Authentication Server correspondiente y copie el nombre de usuario de Blue Prism en el archivo de salida de Authentication Server.

    Como mínimo, se requiere un nombre de usuario de Blue Prism y una Id. de usuario de Authentication Server. Los campos adicionales Nombre, Apellido y Dirección de correo electrónico requeridos en la base de datos de Authentication Server ya deben estar presentes para los usuarios de Authentication Server.

  5. Elimine a todos los usuarios que no se deban asignar desde el archivo de salida de Authentication Server. Se debe eliminar al menos un usuario administrador nativo del archivo para que aún pueda iniciar sesión a través de una conexión directa a la base de datos. También es posible que desee eliminar del archivo todas las cuentas de usuario nativas que se requieran para autenticar recursos de tiempo de ejecución, comandos de AutomateC o solicitudes de servicio web.
  6. Guarde el archivo de salida de Authentication Server.
  7. Abra el símbolo del sistema como administrador y navegue hasta el directorio de instalación de Blue Prism que contiene AutomateC.exe.

  8. Ejecute el siguiente comando para completar la asignación de usuarios:

    Copiar 
    automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>

    Donde:

    • <input CSV>: la ruta al archivo CSV guardado.
    • <output CSV for errors>: la ruta para un archivo creado automáticamente si hay errores en el proceso de asignación.
    • <admin username> y <admin password>: las credenciales para un usuario administrador nativo en Blue Prism.

    • <Blue Prism server connection name>: el nombre de la conexión de su servidor de Blue Prism según se establece en la configuración del servidor de Blue Prism.

    Por ejemplo:

    Comando de asignación de AutomateC

    Asegúrese de que la máquina en la que ejecuta el comando pueda acceder al sitio web de Authentication Server. Para obtener más detalles, consulte Resolución de problemas de Authentication Server.

No se pueden asignar usuarios de Authentication Server a usuarios de Blue Prism que no existan. Si un administrador no ingresa un nombre de usuario de Blue Prism al archivo CSV, pero ingresa una Id. de usuario de Authentication Server, aparece un mensaje de error.

Por ejemplo:

Ejemplo de archivo CSV

Verificar que los usuarios se hayan asignado correctamente

  1. En el cliente interactivo de Blue Prism, navegue a Sistema > Seguridad: Usuarios y verifique lo siguiente:

    • El tipo de cuenta Authentication Server aparece para los usuarios nativos asignados desde la base de datos de Authentication Server.
    • El tipo de cuenta Cuenta de servicio de Authentication Server aparece para las cuentas de servicio asignadas desde la base de datos de Authentication Server.

  2. En Hub, navegue hasta Configuración > Usuarios y actualice la lista de usuarios.

    Los usuarios asignados desde Blue Prism ahora se muestran en la lista.

Solo puede realizar la asignación una vez. Una vez que se hayan asignado los usuarios, no se pueden asignar nuevamente una vez que se haya habilitado Authentication Server.

Los usuarios creados a través de la herramienta de asignación recibirán un correo electrónico para establecer su contraseña manualmente antes de iniciar sesión por primera vez. No podrán acceder a Blue Prism hasta que se haya completado este paso. Los usuarios solo recibirán este correo electrónico si su configuración de correo electrónico se ha configurado en Hub. Para obtener más información, consulte la guía del administrador de Hub.

Habilitar la conexión con el servidor de mensajería

  1. Inicie el servidor de aplicaciones de Blue Prism (BPServer.exe desde C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate).

  2. En la pantalla Configuración del servidor, haga clic en Detener para detener BPServer.

  3. En la pestaña Integración de Authentication Server en la pantalla Detalles de configuración del servidor, seleccione Habilitar conexión y haga clic en Guardar.
  4. Vuelva a la pantalla Configuración del servidor y haga clic en Iniciar para iniciar BPServer.

  5. Compruebe que el bus de mensajes se esté ejecutando. Debería ver las siguientes líneas:

    [marca de fecha]: Iniciando el bus de mensajes

    [marca de fecha]: Bus de mensajes iniciado

    Si el servidor de Blue Prism se está ejecutando correctamente y la conexión está habilitada, cualquier usuario editado o eliminado en Hub, o las cuentas de servicio creadas, editadas o eliminadas en Hub, también se actualizarán en Blue Prism. Si el servidor de Blue Prism se desconecta o se conecta más tarde, la sincronización se completará una vez que se haya restablecido la conexión.

  6. Para verificar que se ha creado la cola de mensajes, inicie la URL de RabbitMQ en un navegador según se configuró en la instalación de Blue Prism Hub, en este ejemplo rabbitmq://localhost:15672/.

  7. En la pestaña Colas, busque la cola recién creada a través de la configuración Integración de Authentication Server anterior; por ejemplo blue-prism-app-server.user-synchronization.fresh-install.

Sincronización manual de cuentas de usuario y de servicio

Las actualizaciones de las cuentas de usuario y de servicio se pueden sincronizar manualmente entre las bases de datos de Blue Prism y Authentication Server fuera del programa de actualizaciones de RabbitMQ en caso de alguna interrupción del servicio mediante la opción Sincronizar usuarios con Authentication Server, disponible en el botón de menú en la pantalla Seguridad: usuarios en el cliente interactivo de Blue Prism.

Para usar esta opción, el cliente interactivo debe conectarse a través de un servidor de aplicaciones de Blue Prism que se haya configurado con los detalles del cliente de la cuenta de servicio utilizada para realizar solicitudes autenticadas a la API de Authentication Server.

Cuando se seleccione, se realizarán las siguientes actualizaciones:

  • Cualquier cuenta de servicio de Authentication Server nueva se agregará a la base de datos de Blue Prism.

    Solo las cuentas de servicio configuradas con el permiso Blue Prism API en Hub se mostrarán en la pantalla Seguridad - Usuarios una vez sincronizadas con Authentication Server.

    Los usuarios de Authentication Server no se agregan al entorno de Blue Prism cuando utilizan esta opción; deben asignarse manualmente a un rol de Blue Prism en la pantalla Membresía de roles; consulte Entornos nuevos de Blue Prism. Esto es para evitar que grandes cantidades de usuarios de Authentication Server que necesitan acceso a Blue Prism, por ejemplo, usuarios de Interact, se agreguen a la base de datos de Blue Prism.

  • Cualquier cuenta de usuario y de servicio que se haya retirado de la base de datos de Authentication Server también se retirará de la base de datos de Blue Prism.
  • Cualquier cuenta de usuario y de servicio que no se haya retirado de la base de datos de Authentication Server tampoco se retirará de la base de datos de Blue Prism.

Si opta por solo utilizar la sincronización manual y no habilitar una conexión en el servidor de mensajería, cuando se haya eliminado una cuenta de usuario en Blue Prism pero no se haya retirado de Hub, se necesitará una sincronización manual para reactivar la cuenta de usuario, antes de que puedan iniciar sesión en Blue Prism a través de Authentication Server.

Habilitar inicio de sesión de Authentication Server en su entorno de Blue Prism

  1. En el cliente interactivo de Blue Prism, navegue a Sistema >Seguridad: configuración de inicio de sesión.

  2. Seleccione Inicio de sesión del usuario a través de Authentication Server y haga clic en Aplicar.

  3. Cierre sesión en el cliente interactivo de Blue Prism.

    La pantalla de inicio de sesión ahora solo muestra la opción Iniciar sesión con Authentication Server.

    Iniciar sesión en Blue Prism con Authentication Server

  4. Haga clic en Iniciar sesión con Authentication Server.

    Se lo direccionará a la página de inicio de sesión de Authentication Server.

  5. Ingrese su nombre de usuario y contraseña y haga clic en Iniciar sesión.

    Se emite una ficha de acceso desde Authentication Server en segundo plano que luego se utilizará para iniciar sesión automáticamente en el cliente interactivo de Blue Prism.

    La fecha y hora de su último inicio de sesión ahora se muestra en la pantalla Sistema > Seguridad: usuarios al hacer clic con el botón derecho del mouse en su nombre de usuario.

    Fecha y hora del último inicio de sesión para un usuario

  6. Cierre sesión en Blue Prism y reinicie el servidor de aplicaciones de Blue Prism para asegurarse de que los cambios se apliquen completamente.

Una vez que se haya habilitado Authentication Server, las cuentas nativas se pueden agregar, editar o eliminar localmente en Blue Prism, pero ya no se podrán usar para iniciar sesión en el cliente interactivo. Estas cuentas solo se pueden utilizar para autenticar recursos de tiempo de ejecución, comandos de AutomateC y al llamar a servicios web expuestos en recursos de tiempo de ejecución.