Solución de problemas de Authentication Server

Las siguientes secciones proporcionan orientación para problemas específicos que pueden experimentarse al configurar el Authentication Server.

Inicio de sesión en Blue Prism después de habilitar el Authentication Server

Cuando se haya configurado una implementación de Blue Prism para requerir que toda la autenticación de usuario se enrute a través de Authentication Server, pero cuando Authentication Server no esté disponible, comuníquese con el Soporte de Blue Prism para obtener orientación.

Una vez que se haya habilitado Authentication Server, asegúrese de que un usuario administrador nativo de Blue Prism permanezca en el sistema. Asegúrese de haber realizado una copia de seguridad completa y verificable de su base de datos de Blue Prism antes de comunicarse con el Soporte de Blue Prism.

Aparece un mensaje de error al intentar iniciar sesión con el Authentication Server

Si aparece el mensaje Error inesperado del navegador. Ahora regresará a la pantalla de inicio. cuando un usuario intenta iniciar sesión con Authentication Server, se debe comprobar lo siguiente:

  • ¿Se puede acceder a la URL de Authentication Server desde el dispositivo del usuario y se ingresó la URL correcta de Authentication Server en la pantalla Seguridad - Configuración de inicio de sesión?

    • Valide que se haya configurado la URL correcta de Authentication Server en Blue Prism en Sistema > Seguridad - Configuración de inicio de sesión. Si actualmente ningún usuario puede iniciar sesión para ver la URL en esta página, puede ver la URL ejecutando la siguiente consulta en su base de datos de Blue Prism:

      Copiar
      SELECT authenticationserverurl FROM BPASysConfig

    • Valide que Authentication Server se esté ejecutando y que se pueda acceder a él desde la máquina del usuario ingresando la URL para el documento de descubrimiento en un navegador: <authentication server URL>/.well-known/openid-configuration

      Si se realiza correctamente, la página se cargará con algunos JSON con detalles del Authentication Server como se muestra a continuación:

      Si no se puede acceder a la página, es posible que deba reiniciar el sitio desde el grupo de aplicaciones en Internet Information Services. Para obtener más detalles, haga clic aquí.

    • Para validar que puede buscar la URL correcta del Authentication Server, abra el Administrador de Internet Information Services (inetmgr.exe) y localice el sitio web Blue Prism - Authentication Server. Haga clic con el botón derecho en el sitio web y haga clic en Administrar sitio web > Examinar. El sitio web del Authentication Server se abrirá en su navegador predeterminado. Para obtener más detalles sobre la solución de problemas de los sitios de Hub, como el Authentication Server, haga clic aquí.

  • ¿Hay algún problema de red?

    • Compruebe que el certificado SSL sea válido. Para obtener más detalles, haga clic aquí.

    • Compruebe que un proxy no esté impidiendo que Blue Prism se conecte al Authentication Server.

      Si necesita deshabilitarla, puede hacerlo en Propiedades de Internet > Configuración de red de área local (LAN) al deseleccionar la opción Usar un servidor proxy para su LAN. Para obtener más detalles sobre cómo configurar los ajustes de proxy, haga clic aquí.

  • ¿Se instaló el tiempo de ejecución de WebView2 en la máquina que ejecuta el cliente interactivo de Blue Prism?

Inicio de sesión en Authentication Server con autenticación de Directorio Activo

Si se experimentan errores o problemas de rendimiento durante el proceso de inicio de sesión a través de Directorio Activo, los administradores del sistema pueden verificar si es necesario agregar más configuraciones de Directorio Activo al archivo appsettings.json de Authentication Server. Para editar el archivo appsettings.json:

  1. Abra Windows Explorer y navegue hasta la ubicación de instalación de Authentication Server.

    Para verificar la ubicación de instalación, abra el Administrador de Internet Information Services (IIS), seleccione el sitio de Authentication Server y haga clic en Explorar.

  2. Realice una copia de seguridad del archivo appsettings.json.

  3. Abra el archivo appsettings.json en un editor de texto.
  4. Ubique la sección Ims del archivo.

  5. Si aún no existe, agregue una sección de ActiveDirectory.

    Si ya existe la sección de ActiveDirectory, es posible que vea otra configuración en esa sección según la configuración de Directorio Activo; por este motivo, los ejemplos en las secciones siguientes solo son ilustrativos.

  6. Guarde el archivo si realizó algún cambio.

Authentication Server debe reiniciarse después de realizar cualquier cambio en el archivo appsettings.json.

Para reiniciar Authentication Server:

  1. Abra el administrador de Internet Information Services (IIS).

  2. En la lista de conexiones, seleccione Blue Prism: Authentication Server.

    Este es el nombre de sitio predeterminado; si ha utilizado un nombre de sitio personalizado, seleccione la conexión adecuada.

  3. Haga clic en Reiniciar desde los controles Administrar sitio web.

Verifique si es necesario configurar el tiempo límite de Directorio Activo

Cuando Authentication Server intenta consultar un controlador de dominio, esperará cinco segundos de forma predeterminada para obtener una respuesta antes de activar un error System.TimeoutException. Sin embargo, este valor puede configurarse si es necesario en los siguientes escenarios:

  • Si los usuarios experimentan problemas de rendimiento al iniciar sesión a través del Directorio Activo y los registros muestran varias instancias de System.TimeoutException: tiempo límite después de 5 segundos, es posible que deba disminuirse el valor. El rango está entre 1 y 60 segundos.
  • Si se impide a los usuarios iniciar sesión a través del Directorio Activo y los registros muestran varias instancias de System.TimeoutException: tiempo límite después de 5 segundos, es posible que deba aumentarse el valor. El rango está entre 1 y 60 segundos.

Para configurar el tiempo límite del Directorio Activo:

  1. En la sección de ActiveDirectory del archivo appsettings.json, agregue una configuración QueryTimeoutSeconds y un valor según su escenario; consulte el ejemplo a continuación para ver un valor reducido.

    Copiar 
    {"Ims" : {"ActiveDirectory": {"QueryTimeoutSeconds": 3}}}
  2. Guarde el archivo.
  3. Reinicie Authentication Server.

Compruebe si los dominios del Directorio Activo utilizados durante el inicio de sesión deben configurarse manualmente

Para reducir el tiempo que tarda la memoria caché de Directorio Activo en completarse durante el inicio de sesión del usuario, los administradores del sistema pueden configurar manualmente los dominios de confianza de Directorio Activo que se consultarán durante el proceso de inicio de sesión.Si al menos un dominio de Directorio Activo se configura de forma manual, estos ajustes se utilizarán durante el proceso de inicio de sesión para consultar solo los dominios configurados, en lugar de identificar de forma programática los dominios que se pueden consultar.

Cuando se agrega un nuevo dominio al Directorio Activo, también se debe agregar a la configuración. De lo contrario, se ignorará y los usuarios que pertenezcan a este dominio no podrán iniciar sesión hasta que se haya actualizado la configuración.

Cualquier dominio de Directorio Activo que cumpla con uno o varios de los siguientes criterios se puede configurar manualmente si se utiliza Authentication Server 4.6:

  • Contienen usuarios que deben poder iniciar sesión.
  • Contienen grupos de seguridad que se asignan directamente a los roles de Hub o Interact en Authentication Server.
  • Contienen grupos de seguridad principales que incluyen grupos de seguridad asignados directamente a los roles de Hub o Interact en Authentication Server.

Si utiliza Authentication Server 4.7, solo los dominios de Directorio Activo que cumplan con los siguientes criterios deben configurarse manualmente:

  • Contienen usuarios que tienen un sufijo alternativo de nombre principal de usuario (UPN) que es diferente al nombre del sistema de nombres de dominio (DNS) del dominio de Directorio Activo. Por ejemplo, corp.dir.company.com (nombre de DNS) y empresa.com (sufijo de alias), donde [email protected] es el UPN.

La configuración manual requiere agregar el nombre de dominio del Directorio Activo, el nombre de bosque y el identificador de seguridad en el archivo appsettings.json de Authentication Server para cada dominio requerido. Para hacerlo, siga estos pasos:

  1. En la sección de Directorio Activo del archivo appsettings.json, agregue una sección de TrustedDomains.

  2. Agregue la información requerida para cada dominio, por ejemplo:

    • Nombre de dominio: el nombre de los dominios del Directorio Activo que se configurarán manualmente.

    • ForestName: el nombre del bosque en el que reside el dominio del Directorio Activo.

    • Sid: el identificador de seguridad para el dominio del Directorio Activo.

    Copiar 
    {  "Ims": {    "ActiveDirectory": {"TrustedDomains": [{             "DomainName": "domain.com",             "ForestName": "my.domain.com",             "Sid": "S-1-27-1-3452"            },           {             "DomainName": "company.com",             "ForestName": "my.company.com",             "Sid": "S-2-23-1-3458"           },           {             "DomainName": "enterprise.com",             "ForestName": "enterprise.com",             "Sid": "S-3-23-1-3459"           }]},
  3. Guarde el archivo.
  4. Reinicie Authentication Server.

Verifique si es necesario configurar la configuración de cache para los dominios almacenados del Directorio Activo

Para mejorar más el rendimiento durante el proceso de inicio de sesión, el comportamiento de la cache que almacena los dominios descubiertos se puede configurar estableciendo un intervalo de actualización y una duración máxima de cache en el archivo appsettings.json de Authentication Server.

  • El intervalo de actualización es el intervalo en minutos en el cual los datos almacenados en cache se actualizarán desde Directorio Activo. El valor se puede establecer entre 5 y 1440 minutos. El valor predeterminado es 5.

  • La duración máxima de la cache es la cantidad de tiempo en minutos que los datos se conservarán en la cache antes de que se invaliden. El valor se puede establecer entre 5 y 1440 minutos. El valor predeterminado es 30 si se utiliza Authentication Server 4.6. Si utiliza Authentication Server 4.7, el valor predeterminado es 1440.

    Estas dos configuraciones se deben establecer como un par, y la duración máxima de la cache se debe establecer más alta que el intervalo de actualización. Si no se estableció una o ambas configuraciones, se utilizarán los valores predeterminados.

La cache se completa en Authentication Server cuando suceda lo siguiente:

  • Inicio o reinicio del sitio de Authentication Server.

  • Habilitación de la autenticación del Directorio Activo en Blue Prism Hub> Configuración de autenticación.

    La cache no se completa en Authentication Server a menos que se haya habilitado la autenticación del Directorio Activo.

Para agregar la configuración de cache al archivo appsettings.json de Authentication Server:

  1. En la sección de Directorio Activo, agregue la configuración MaxCacheDurationMinutes y CacheRefreshIntervalMinutes y sus valores, por ejemplo:

    Copiar 
    {"Ims" : {"ActiveDirectory": {"MaxCacheDurationMinutes": 60,"CacheRefreshIntervalMinutes": 10}
  2. Guarde el archivo.
  3. Reinicie Authentication Server.

Verifique si es necesario configurar las asignaciones de nombres del controlador de dominio

Podría aparecer el siguiente mensaje de error al buscar usuarios o grupos de seguridad del Directorio Activo y al agregar o editar dominios del Directorio Activo: Credenciales no válidas. Verifique sus credenciales. Esto podría ocurrir si el dominio de interés está en una red diferente de la red en la que se ejecuta Authentication Server.

Si está seguro de que proporcionó las credenciales correctas al crear un registro de dominio del Directorio Activo, puede configurar las asignaciones de nombre del controlador de dominio en el archivo appsettings.json para que las consultas del Directorio Activo para el dominio especificado en DomainName se dirijan al punto de conexión definido en DomainControllerName.

Para hacerlo, siga estos pasos:

  1. En la sección de Directorio Activo del archivo appsettings.json, agregue una sección de DomainControllerNameMappings.

  2. Agregue la información requerida para cada dominio y controlador de dominio, por ejemplo:

    • DomainName: el nombre de su dominio del Directorio Activo o el nombre de DNS del dominio.

    • DomainControllerName: el nombre de DNS del dominio o el FQDN de un controlador de dominio en el dominio.

    Copiar 
    {  "Ims": {"ActiveDirectory": {"DomainControllerNameMappings": [{ "DomainName": "company.com","DomainControllerName": "server-id.company.com"}, { "DomainName": "my.company.com","DomainControllerName": "server-id.my.company.com"}],
  3. Guarde el archivo.

  4. Reinicie Authentication Server.

Aparece un mensaje de error en el archivo CSV de salida cuando se ejecuta la función de mapeo por primera vez

El mensaje Se produjo un error al crear el registro de usuario del servidor de Authentication Server podría aparecer en el archivo CSV de salida cuando se ejecuta la función de mapeo por primera vez en los siguientes escenarios:

Los usuarios del Authentication Server solo tienen acceso a las pestañas Inicio y Digital Exchange cuando inician sesión en el cliente interactivo de Blue Prism

El Authentication Server administra el acceso de los usuarios a Blue Prism y Hub; sin embargo, los roles y permisos se administran localmente en cada aplicación. Comuníquese con los administradores de su sistema Blue Prism para que le asignen los roles y los permisos que le permitirán ver toda la aplicación Blue Prism.

El bus de mensajes de RabbitMQ no se inicia al iniciar el servidor de aplicaciones de Blue Prism

Si el bus de mensajes de RabbitMQ no se inicia al iniciar el servidor de aplicaciones de Blue Prism (se mostrará una advertencia en la ventana de salida del servidor o en los registros del servidor), verifique lo siguiente:

  • ¿Está funcionando RabbitMQ?
    • Verifique que el servicio RabbitMQ se esté ejecutando al localizar RabbitMQ en la lista de servicios disponibles en el sistema operativo donde se ha instalado RabbitMQ.
  • ¿Son correctos la dirección de RabbitMQ, el host virtual y los detalles del puerto? 
    • El formato debe ser {protocol}://{host}:{port}/{virtual host}, por ejemplo, rabbitmq://<rabbitmqserver>:5672/.
  • ¿El nombre de usuario y la contraseña de RabbitMQ son correctos?
    • El usuario invitado solo funciona en una conexión localhost. Asegúrese de que se haya creado un nuevo usuario con los permisos de host virtual correctos.
  • ¿La Id. del cliente y la clave del secreto del cliente coinciden con los valores ingresados para la cuenta de servicio creada en Hub?
  • ¿Hizo clic en Probar conexión para verificar si la conexión es válida?

Los detalles anteriores se pueden verificar accediendo al portal de administración de RabbitMQ desde un navegador a través de https://<rabbitmqserver>:15672/ e iniciando sesión con las credenciales del usuario configuradas.

Las actualizaciones de usuarios y cuentas de servicio creadas en Authentication Server no aparecen en el cliente interactivo de Blue Prism

Si las cuentas de servicio creadas en Authentication Server no aparecen en Blue Prism, o los usuarios o las cuentas de servicio eliminados o restaurados no se actualizan en Blue Prism, verifique lo siguiente:

  • ¿Está funcionando RabbitMQ?
    • Compruebe que el servicio RabbitMQ se esté ejecutando al ingresar Servicios en la barra de búsqueda y asegurándose de que RabbitMQ se muestre en la lista.
  • Consulte el portal de administración de RabbitMQ para ver lo siguiente:
    • ¿Hay mensajes en la cola de sincronización de usuarios?
      • Si la respuesta es sí, ¿se está ejecutando BPServer? BPServer es el único consumidor de la cola de sincronización de usuarios; por lo tanto, los mensajes en la cola (indicados por un número entero positivo en la columna Listo) significan que BPServer no se está ejecutando o que la configuración de integración del Authentication Server de BPServer es incorrecta.

        • Si ese es el caso, verifique que la configuración de Integración del Authentication Server en BPServer coincida con la cola correcta. Utilizando el ejemplo a continuación, el identificador de entorno debe ser bp.

        • Asegúrese de que BPServer esté encendido.

      • Si no hay mensajes en la cola de sincronización de usuarios actualmente, ¿ha habido mensajes en la cola? Esto se puede verificar inspeccionando las tasas de mensajes para cada cola, por ejemplo, una cola con actividad tendrá un valor 0.00/s, mientras que una cola sin mensajes estará vacía.

    • ¿Se ha consumido algún mensaje en la cola de sincronización del usuario?

      • Si está visible en el portal de administración de RabbitMQ, esto indica que la función de sincronización de usuario está funcionando de extremo a extremo y ha habido un problema al procesar el evento.

    • Si no se ha podido crear o actualizar una cuenta de servicio o de usuario, habrá otra cola que se creará que contiene errores de aplicación (esto se conoce como cola de errores). El nombre de la cola será idéntico, con un sufijo adicional de _error.

  • Los errores (y cualquier mensaje) se pueden inspeccionar para diagnosticar problemas dentro de la aplicación. Para hacerlo, primero seleccione la cola y luego seleccione la opción Obtener mensajes. Puede especificar cuántos mensajes obtener. Como esta es una cola, si obtenemos 1 mensaje, entonces se devuelve el mensaje en el frente de la cola. El mensaje en el frente de la cola es el mensaje más antiguo. Una vez seleccionado, puede ver el contenido del mensaje. En caso de un mensaje de error, puede ver detalles como el tipo de excepción, el tipo de mensaje y un seguimiento de pila más detallado.

Uso del Authentication Server con una instancia RabbitMQ existente que utiliza autenticación externa basada en certificados

Si está utilizando el Authentication Server con una instancia RabbitMQ existente que utiliza autenticación externa basada en certificados, la autenticación de credenciales (PLAIN) deberá habilitarse en su instancia. Hay más detalles disponibles aquí.

Si nunca configuró la función RabbitMQ a través de la pestaña de Integración de Authentication Server en el servidor de aplicaciones de Blue Prism, la interfaz de usuario de Administración de RabbitMQ no tendría una cola creada para ese entorno, lo que significa que los cambios realizados en Hub no estarían en cola. Sin embargo, una vez que se haya establecido y verificado que la configuración funciona correctamente, cualquier actualización futura realizada en Hub se pondrá en cola, independientemente de que el servidor de aplicaciones de Blue Prism se esté ejecutando o no.

La página de inicio de sesión de Authentication Server integrada se carga indefinidamente

Al iniciar sesión en el cliente interactivo de Blue Prism mediante Authentication Server, es posible que el diálogo de inicio de sesión de Authentication Server integrado a través del navegador Microsoft Edge WebView2 no se represente por completo y se cargue indefinidamente, sin que aparezcan errores en los registros.

Parece que esto lo causa la carpeta de datos del usuario (UDF) que crea el navegador WebView2 en C:\Users\<username>\AppData\Roaming\Blue Prism Limited\Automate V3 cuando intenta iniciar sesión por primera vez con Authentication Server. Esta carpeta contiene datos del navegador, como cookies, permisos y recursos en cache. Para obtener más información, consulte Administrar carpetas de datos de usuario en Microsoft Edge.

Para solucionar este problema, debe eliminar la carpeta de datos de usuario de C:\Users\<username>\AppData\Roaming\Blue Prism Limited\Automate V3, reiniciar Blue Prism e iniciar sesión nuevamente con Authentication Server.