Dominios de Directorio Activo

Los administradores de Blue Prism pueden ver, agregar, editar y eliminar dominios de Directorio Activo y credenciales asociadas almacenados en la base de datos de Blue Prism.

Para acceder y administrar dominios de Directorio Activo en Blue Prism, diríjase a SistemaSeguridad > Configuración de inicio de sesión > Dominios de Directorio Activo

Solo debe agregar nuevos dominios de Directorio Activo en entornos multibosque con una relación de confianza unidireccional. Para obtener más detalles, consulte Relaciones de confianza entre dominios.

Requisitos previos

Se deben cumplir los siguientes requisitos previos antes de agregar dominios de Directorio Activo:

  • Asegúrese de que la combinación de cifrado esté configurada: las credenciales de dominio de Directorio Activo están cifradas en la base de datos de Blue Prism utilizando la combinación de cifrado predeterminada, por lo que se debe configurar una combinación de cifrado antes de agregar dominios. Se recomienda almacenar la clave de cifrado en el servidor de aplicaciones. Para obtener más detalles, consulte Combinaciones de cifrado.

  • Asegúrese de que la clave de cifrado sea accesible para Blue Prism API: si la clave de cifrado se almacena en el servidor de aplicaciones, se deben tomar medidas adicionales para que las claves de cifrado estén disponibles para Blue Prism API. Esto es para garantizar que los usuarios de Directorio Activo en distintos dominios puedan usar Control Room basado en el navegador. Para permitir esto, Blue Prism API debe poder descifrar las credenciales de dominio utilizando la combinación de cifrado almacenada en el servidor de aplicaciones. Para obtener más detalles, consulte Configuración de API.

Agregar un dominio

  1. En la pantalla Configuración de inicio de sesión: dominios de Directorio Activo, haga clic en Agregar.

    Aparecerá la pantalla Agregar dominio de Directorio Activo.

  2. Ingrese un nombre de dominio.

    Este debe ser el nombre de dominio completo (FQDN) con el formato subdominio.dominio.com o dominio.com.

  3. Ingrese el nombre de usuario y la contraseña del dominio. Los nombres de usuario deben tener el formato [email protected] o DOMINIO\nombre_de_usuario. Las credenciales deben solicitarse a un administrador del sistema de antemano.

    Las credenciales de dominio de Directorio Activo se almacenan en la base de datos y se cifran antes de su almacenamiento. Las credenciales almacenadas para cada dominio deben ser las de una cuenta de servicio de Directorio Activo. La contraseña de la cuenta de servicio no debe vencer, la cuenta de servicio no debe ser una cuenta de usuario y debe seguir las mejores prácticas de la cuenta de servicio de Directorio Activo. Solo debe ingresar credenciales de dominio en un entorno multibosque con confianza unidireccional.

  4. Haga clic en Agregar.

    El nombre de dominio y las credenciales se validan contra el controlador de dominio de Directorio Activo y el dominio agregado se muestra en la lista de dominios.

Editar un dominio

  1. En la pantalla Configuración de inicio de sesión: dominios de Directorio Activo, seleccione un dominio y haga clic en Editar.

    Solo puede editar un dominio a la vez.

  2. Cambie la información según sea necesario. Deberá volver a ingresar su contraseña.

    No puede editar nombres de dominio.

  3. Haga clic en Guardar para aplicar los cambios.

Eliminar dominios

  1. En pantalla Configuración de inicio de sesión: dominios de Directorio Activo, seleccione los dominios correspondientes y haga clic en Eliminar.

    Aparece un mensaje que le pide que confirme la eliminación.

  2. Haga clic en Eliminar para eliminar el/los dominio(s) seleccionado(s).

Relaciones de confianza entre dominios

Para entornos multibosque, las relaciones de confianza deben configurarse entre dominios. Pueden ser bidireccionales o unidireccionales respecto del dominio en el que se debe confiar.

Por ejemplo:

  • En una confianza unidireccional entre el Dominio A y el Dominio B, los usuarios en el Dominio A pueden acceder a los recursos en el Dominio B. Sin embargo, los usuarios en el Dominio B no pueden acceder a los recursos en el Dominio A.

  • En una confianza bidireccional, el Dominio A confía en el Dominio B y el Dominio B confía en el Dominio A. Esto significa que las solicitudes de autenticación pueden pasarse entre los dos dominios en ambas direcciones.

Las confianzas bidireccionales no requieren que el usuario proporcione credenciales de dominio si el usuario que ejecuta el servidor de aplicaciones de Blue Prism tiene acceso de lectura correspondiente al dominio al que pertenece el usuario. En estos ejemplos, el servidor de aplicaciones de Blue Prism residiría en el Dominio B. Las confianzas bidireccionales requieren que se proporcionen credenciales cuando el usuario necesita consultar un dominio de confianza utilizando una cuenta diferente a la que ejecuta el servidor de aplicaciones de Authentication Server. Las confianzas unidireccionales requieren que se cree un dominio con credenciales.

Se admiten los siguientes tipos de confianza:

  • Externa

  • Principal-secundaria

  • Árbol-raíz

  • Bosque

Para obtener más información, consulte Infraestructura de Directorio Activo compatible.