Solución de problemas: inicio de sesión único

En esta página se describen algunos problemas comunes y soluciones sugeridas para que los administradores del sistema usen y administren el Inicio de sesión único de Blue Prism.

Los usuarios no pueden iniciar sesión o hay problemas de rendimiento durante el inicio de sesión

Si se encuentran errores o problemas de rendimiento durante el proceso de inicio de sesión a través de Directorio Activo, los administradores del sistema pueden verificar si se trata de alguna de las siguientes situaciones y realizar la acción adecuada.

Es posible que se requieran algunos scripts de base de datos adicionales para solucionar los problemas. Estos se pueden descargar desde el portal de Blue Prism según se requiera. Cuando sea necesario, el script apropiado de la base de datos se nombra en los siguientes escenarios.

  • Cierre sesión y vuelva a iniciarla: si todas las configuraciones del usuario, como los grupos de seguridad, son correctas, intente cerrar sesión y volver a iniciar sesión en la máquina del usuario. Cuando se agrega un usuario a un grupo de Directorio Activo, el cambio se hace efectivo la próxima vez que inicie sesión.

  • Verifique los roles de Blue Prism del usuario y su membresía en el grupo de seguridad de Directorio Activo: si el usuario es miembro del grupo de administradores de Blue Prism .

    Si un usuario intenta iniciar sesión después de una actualización de producto y recibe el mensaje de error “Error al iniciar sesión. Este usuario no tiene roles asignados en Blue Prism”, descargue el script de la base de datos BP‑9497‑ConfigureTrustedDomain.sql desde el Portal de Blue Prism y siga los pasos descritos en este artículo de la base de conocimientos.

    Verifique que se haya creado la cuenta de usuario y que se le haya asignado al menos un rol de Blue Prism, ya sea directamente o a través de la membresía del grupo de seguridad.

    Primero debe sincronizar usuarios con Directorio Activo en la pantalla Seguridad: usuarios. Si la cuenta de usuario no aparece en la lista de usuarios, significa que aún no se creó:

    • Si los roles de usuario se administran en Blue Prism, debe crear la cuenta de usuario, y asignarle los roles requeridos.
    • Si los roles de usuario se administran en Directorio Activo, debe verificar qué grupos de Directorio Activo están asignados a los roles de Blue Prism en SistemaSeguridad > Roles de usuario. El usuario debe ser miembro de al menos uno de estos grupos. De lo contrario, el administrador de su red debe agregar la cuenta al grupo de seguridad adecuado antes de sincronizar la lista de usuarios con Directorio Activo nuevamente para verificar que la cuenta aparezca en la lista de usuarios.
    • Si los roles se administran tanto en Blue Prism como en Directorio Activo, debe crear la cuenta de usuario y asignarle los roles requeridos directamente o a través de la membresía del grupo de seguridad, según sea necesario.
  • Verifique la conexión del servidor de aplicaciones de Blue Prism: asegúrese de que el usuario esté conectado a un servidor de aplicaciones de Blue Prism con un modo de conexión válido y seguro, y de que exista un registro de usuario de Directorio Activo para el usuario de Windows conectado actualmente.
  • Verifique si necesita configurar el tiempo límite de Directorio Activo: si un usuario no puede iniciar sesión a través de Directorio Activo o está experimentando problemas de rendimiento durante el proceso de inicio de sesión, y los registros muestran varias instancias de System.TimeoutException: Tiempo límite después de 5 segundos, puede establecer un tiempo límite máximo de Directorio Activo en la base de datos. Hay un script de base de datos BP‑9268‑SetActiveDirectoryQueryTimeout.sql disponible para descargar desde el portal de Blue Prism para este fin. Esto modificará la configuración del tiempo límite de los servidores de aplicaciones y todas las instancias de API que señalen la base de datos de Blue Prism. Haga una copia de seguridad de su base de datos antes de ejecutar este script en su base de datos de Blue Prism.

  • Verifique si debe configurar manualmente los dominios de Directorio Activo que se consultarán durante el proceso de inicio de sesión: para reducir el tiempo que tarda en completarse la memoria caché de Directorio Activo, los administradores del sistema pueden configurar manualmente los dominios de confianza de Directorio Activo que se consultarán durante el proceso de inicio de sesión. Si al menos un dominio de Directorio Activo se configura de forma manual, estos ajustes se utilizarán durante el proceso de inicio de sesión para consultar solo los dominios configurados, en lugar de identificar de forma programática los dominios que se pueden consultar. Hay un script de base de datos BP‑9497‑ConfigureTrustedDomain.sql disponible para descargar desde el portal de Blue Prism para este fin.

    Cuando se agrega un nuevo dominio a Directorio Activo, también debe agregarse a la configuración; de lo contrario, se ignorará y los usuarios que pertenezcan a este dominio no podrán iniciar sesión hasta que se haya actualizado la configuración.

    Antes de ejecutar el script, asegúrese de lo siguiente:

    • Guardó una copia de seguridad de su base de datos de Blue Prism.
    •  Se configura manualmente cualquier dominio del Directorio Activo que cumpla con uno o más de los siguientes criterios (si se usan las versiones 7.1.0 o 7.1.1 de Blue Prism):
      • Contienen usuarios que deben poder iniciar sesión.
      • Contiene grupos de seguridad que se asignan directamente a los roles de Blue Prism.
      • Contiene grupos de seguridad principales que incluyen grupos de seguridad que están asignados directamente a roles de Blue Prism.
    •  Se configura manualmente cualquier dominio del Directorio Activo que cumpla con uno o más de los siguientes criterios (si se usa la versión 7.1.2 o posterior de Blue Prism):
      • Contienen usuarios que necesitan iniciar sesión mediante comandos o procesos de telnet expuestos como servicios web usando un formato de nombre de usuario de inicio de sesión (anterior a Windows 2000). Por ejemplo, john en lugar de DOMAIN\john o [email protected].
      • Contienen usuarios que tienen un sufijo de alias de nombre principal de usuario (UPN) que es diferente al nombre del sistema de nombres de dominio (DNS) del dominio de Directorio Activo. Por ejemplo, corp.dir.company.com (nombre de DNS) y empresa.com (sufijo de alias), donde [email protected] es el UPN. Hay un script de base de datos opcional para configurar sufijos de alias disponibles (BP-10681-ConfigureUpnSuffixes.sql) para descargar desde el portal de Blue Prism.
    • El nombre de host del dominio, el identificador de seguridad (SID) y el nombre del bosque en el que reside el dominio se brindaron para cada dominio que debe consultarse.

  • Verifique si necesita establecer la configuración de la cache del dominio: para mejorar más el rendimiento durante el inicio de sesión, el comportamiento de la cache que almacena los dominios descubiertos se puede configurar estableciendo un intervalo de actualización y una duración máxima de la cache. Hay un script de base de datos BP‑9654‑SetCacheDurationAndRefreshInterval.sql disponible para descargar desde el portal de Blue Prism para este fin. Haga una copia de seguridad de su base de datos antes de ejecutar este script en su base de datos de Blue Prism.

    • El intervalo de actualización es el intervalo en minutos en el cual los datos almacenados en cache se actualizarán desde Directorio Activo. El valor se puede establecer entre 5 y 1440 minutos. El valor predeterminado es 5.

    • La duración máxima de la cache es la cantidad de tiempo en minutos que los datos se conservarán en la cache antes de que se invaliden. El valor se puede establecer entre 5 y 1440 minutos. El valor predeterminado se establece en 30 si se utilizan las versiones 7.1.0 o 7.1.1 de Blue Prism, y en 1440 si se utiliza la versión 7.1.2 o posterior de Blue Prism.

      Estas dos configuraciones se deben establecer como un par, y la duración máxima de la cache se debe establecer más alta que el intervalo de actualización. Si no se estableció una o ambas configuraciones, se utilizarán los valores predeterminados.

  • Verifique si debe configurar las asignaciones de nombre del controlador de dominio: es posible que deba configurar las asignaciones de nombre del controlador de dominio en la base de datos si se muestran el siguiente mensaje de error y registro al buscar usuarios o grupos de seguridad de Directorio Activo, y al agregar o editar dominios de Directorio Activo:

    • Mensaje de error: o se pudo guardar el registro de dominio: Credenciales no válidas. Verifique sus credenciales.

    • Registro de error: El nombre de usuario o la contraseña son incorrectos. Si las credenciales de dominio para dc=example,dc=com son válidas, proporcione un registro de asignación del controlador de dominio.

      Esto podría ocurrir si el dominio de interés está en una red diferente de la red en la que se ejecuta el servidor de aplicaciones de Blue Prism. Si está seguro de que las credenciales proporcionadas son correctas, debe agregar parámetros domainName y domainControllerName a la base de datos para que las consultas de Directorio Activo del dominio especificado en domainName se direccionen al punto de conexión definido en domainControllerName.

      Para hacerlo, siga estos pasos:

      1. Haga una copia de seguridad de su base de datos de Blue Prism.
      2. Descargue el script BP-9420-AddDomainNamePreferences.sql del portal de Blue Prism y ábralo en un editor adecuado.

      3. Actualice los valores del marcador de posición para los parámetros domainName y domainControllerName de cada dominio requerido con sus propios valores, por ejemplo:

        • domainName: el nombre de su dominio de Directorio Activo o el nombre de DNS del dominio, por ejemplo, company.com.
        • domainControllerName: el nombre de DNS del dominio, por ejemplo, company.com o el nombre de dominio completo (FQDN) de un controlador de dominio en el dominio, por ejemplo, server-id.company.com.

      4. Ejecute el script en su base de datos de Blue Prism.

Se requieren credenciales de Windows

Si después de iniciar sesión a través de Directorio Activo, se le indica que ingrese las credenciales de Windows, verifique que haya configurado un nombre principal del servicio (SPN) con la cuenta de Directorio Activo en la que se ejecuta cada instancia de servicio del servidor de Blue Prism y un dominio de Kerberos para cada conexión del servidor de Blue Prism en el cliente interactivo de Blue Prism. Para obtener más detalles, consulte Configuración de SPN.

Visualización de mensajes de error

Falló la relación de confianza entre esta estación de trabajo y el dominio principal.

Este error indica un problema con su configuración de red. En ocasiones, puede ser un síntoma de un espacio de nombre inconexo (una situación en la que el sufijo del sistema de nombre de dominio principal [DNS] de un equipo no coincide con el nombre de dominio DNS donde reside el equipo).

El dominio especificado no existe o no puede establecerse contacto con él.

A veces, un equipo puede parecer miembro de un dominio, pero mal configurado. Si solo sucede desde un equipo específico, mientras que otros equipos funcionan sin problemas, este puede ser el problema. En este caso, retire el equipo del dominio y vuelva a conectarlo (un administrador de dominio deberá llevar a cabo esta acción).

El equipo local no es un miembro de un dominio de Directorio Activo o no se puede establecer contacto con el dominio.

Si recibe este mensaje, esto significa que debe solicitar al administrador de dominio de Directorio Activo que lo agregue a un dominio de Directorio Activo antes de configurar la autenticación de Directorio Activo.

No se pueden recuperar los miembros del grupo de seguridad {Security Group Name} porque contiene miembros que son entidades de seguridad externas o tienen SID no resueltos.

Algunos grupos de seguridad de Directorio Activo (p. ej., algunos grupos integrados) presentan dificultades de consulta y, por lo tanto, no se recomiendan tales configuraciones. Si bien los usuarios de estos grupos podrán iniciar sesión con los permisos correctos, es posible que algunas pantallas de Blue Prism no puedan mostrar con precisión la información de membresía.