Dépannage d'Authentication Server

Connexion à Authentication Server à l'aide de l'authentification Active Directory

Si des échecs de connexion ou des problèmes de performance sont rencontrés pendant le processus de connexion via Active Directory, les administrateurs système peuvent vérifier si d'autres réglages Active Directory doivent être ajoutés au fichier appsettings.json d'Authentication Server. Pour modifier le fichier appsettings.json :

1. Ouvrez l'Explorateur Windows et accédez à l'emplacement d'installation d'Authentication Server.

   Pour vérifier l'emplacement d'installation, ouvrez le gestionnaire d'Internet Information Services (IIS), sélectionnez le site d'Authentication Server et cliquez sur Explorer.

2. Sauvegardez le fichier appsettings.json.

3. Ouvrez le fichier appsettings.json dans un éditeur de texte.
4. Localisez la section Ims du fichier.

5. Si elle n'est pas déjà présente, ajoutez une section ActiveDirectory.

   Si la section ActiveDirectory est déjà présente, vous pouvez y voir d'autres réglages en fonction de votre configuration Active Directory. Les exemples dans les sections ci-dessous ne sont fournis qu'à titre indicatif.

6. Enregistrez le fichier si vous avez apporté des modifications.

Authentication Server doit être redémarré une fois toutes les modifications apportées au fichier appsettings.json.

Pour redémarrer Authentication Server :

1. Ouvrez le gestionnaire d'Internet Information Services (IIS).

2. Dans la liste des connexions, sélectionnez Blue Prism - Authentication Server.

   Il s'agit du nom de site par défaut ; si vous avez utilisé un nom de site personnalisé, sélectionnez la connexion appropriée.

3. Cliquez sur Redémarrer dans les commandes de la fonctionnalité Gérer le site Web.

Vérifier si la limite du délai d'expiration Active Directory doit être configurée

Lorsqu'Authentication Server tente d'interroger un contrôleur de domaine, il attend par défaut cinq secondes une réponse avant de déclencher une erreur System.TimeoutException. Cependant, cette valeur peut être configurée si nécessaire dans les scénarios suivants :

• Si les utilisateurs rencontrent des problèmes de performance lors de la connexion via Active Directory et que les logs affichent plusieurs instances de System.TimeoutException: Timeout after 5 seconds, il peut être nécessaire de diminuer la valeur. La plage est comprise entre 1 et 60 secondes.
• Si les utilisateurs ne peuvent pas se connecter via Active Directory et que les logs affichent plusieurs instances de System.TimeoutException: Timeout after 5 seconds, il peut être nécessaire d'augmenter la valeur. La plage est comprise entre 1 et 60 secondes.

Pour configurer la limite du délai d'expiration Active Directory :

1. Dans la section ActiveDirectory du fichier appsettings.json, ajoutez un réglage QueryTimeoutSeconds et une valeur en fonction de votre scénario. Voir l'exemple ci-dessous pour une valeur réduite.

   Copier

   {"Ims" : {"ActiveDirectory": {"QueryTimeoutSeconds": 3}}}

2. Enregistrez le fichier.
3. Redémarrez Authentication Server.

Vérifier si les domaines Active Directory utilisés lors de la connexion doivent être configurés manuellement

Pour réduire le temps nécessaire au remplissage du cache Active Directory lors de la connexion de l'utilisateur, les administrateurs système peuvent configurer manuellement les domaines Active Directory approuvés qui seront interrogés lors du processus de connexion.Si au moins un domaine Active Directory est configuré manuellement, cesréglages seront utilisés pendant le processus de connexion pour interroger uniquement le(s) domaine(s) configuré(s), plutôt que d'identifier par programmation les domaines qui peuvent être interrogés.

Lorsqu'un nouveau domaine est ajouté à Active Directory, il doit également être ajouté à la configuration. Sinon, il sera ignoré et les utilisateurs appartenant à ce domaine ne pourront pas se connecter tant que la configuration n'aura pas été mise à jour.

Tous les domaines Active Directory qui répondent à un ou plusieurs des critères suivants peuvent être configurés manuellement si vous utilisez Authentication Server 4.6 :

• Contient des utilisateurs qui doivent être en mesure de se connecter.
• Contient des groupes de sécurité qui sont affectés directement aux rôles Hub ou Interact dans Authentication Server.
• Contient des groupes de sécurité parents qui incluent des groupes de sécurité qui sont directement affectés aux rôles Hub ou Interact dans Authentication Server.

Si vous utilisez Authentication Server 4.7, seuls les domaines Active Directory qui répondent aux critères suivants doivent être configurés manuellement :

• Ceux qui contiennent des utilisateurs avec un suffixe de nom d'utilisateur principal (UPN) différent du nom du système de noms de domaine (DNS) du domaine Active Directory. Par exemple, corp.dir.entreprise.com (nom DNS) et entreprise.com (suffixe d'alias), où [email protected] est l'UPN.

La configuration manuelle nécessite l'ajout du nom de domaine Active Directory, du nom de forêt et de l'identificateur de sécurité dans le fichier appsettings.json d'Authentication Server pour chaque domaine requis. Pour ce faire :

1. Dans la section ActiveDirectory du fichier appsettings.json, ajoutez une section TrustedDomains.

2. Ajoutez les informations requises pour chaque domaine. Par exemple :

   • DomainName : le nom du ou des domaines Active Directory qui seront configurés manuellement.

   • ForestName : le nom de la forêt où se trouve le domaine Active Directory.

   • Sid : l'identificateur de sécurité du domaine Active Directory.

   Copier

   {  "Ims": {    "ActiveDirectory": {"TrustedDomains": [{             "DomainName": "domain.com",             "ForestName": "my.domain.com",             "Sid": "S-1-27-1-3452"            },           {             "DomainName": "company.com",             "ForestName": "my.company.com",             "Sid": "S-2-23-1-3458"           },           {             "DomainName": "enterprise.com",             "ForestName": "enterprise.com",             "Sid": "S-3-23-1-3459"           }]},

3. Enregistrez le fichier.
4. Redémarrez Authentication Server.

Vérifier si les réglages de cache pour les domaines Active Directory stockés doivent être configurés

Pour améliorer davantage les performances lors du processus de connexion, le comportement du cache qui stocke les domaines découverts peut être configuré en définissant un intervalle d'actualisation et une durée de cache maximale dans le fichier appsettings.json d'Authentication Server.

• L'intervalle d'actualisation est l'intervalle en minutes auquel les données mises en cache seront mises à jour à partir d'Active Directory. La valeur peut être définie entre 5 et 1 440 minutes. La valeur par défaut est 5.

• La durée maximale du cache est la durée en minutes pendant laquelle les données seront conservées dans le cache avant d'être invalidées. La valeur peut être définie entre 5 et 1 440 minutes. La valeur par défaut est réglée sur 30 si vous utilisez Authentication Server 4.6. Si vous utilisez Authentication Server 4.7, la valeur par défaut est réglée sur 1440.

  Ces deux réglages doivent être configurés ensemble et la durée maximale du cache doit être supérieure à l'intervalle d'actualisation. Si un ou les deux réglages ne sont pas configurés, les valeurs par défaut seront utilisées.

Le cache est renseigné dans Authentication Server lors des actions suivantes :

• Démarrage ou redémarrage du site d'Authentication Server.

• Activation de l'authentification Active Directory dans Blue Prism Hub > Réglages d'authentification.

  Le cache n'est pas renseigné dans Authentication Server sauf si l'authentification Active Directory a été activée.

Pour ajouter les réglages de cache au fichier appsettings.json d'Authentication Server :

1. Dans la section ActiveDirectory, ajoutez les réglages MaxCacheDurationMinutes et CacheRefreshIntervalMinutes et leurs valeurs. Par exemple :

   Copier

   {"Ims" : {"ActiveDirectory": {"MaxCacheDurationMinutes": 60,"CacheRefreshIntervalMinutes": 10}

2. Enregistrez le fichier.
3. Redémarrez Authentication Server.

Vérifier si les mappages de noms de contrôleur de domaine doivent être configurés

Le message d'erreur suivant peut s'afficher lors de la recherche d'utilisateurs Active Directory ou de groupes de sécurité, et lors de l'ajout ou de la modification de domaines Active Directory : Identifiants non valides. Veuillez vérifier vos identifiants. Cela peut se produire si le domaine d'intérêt se trouve sur un réseau différent du réseau sur lequel Authentication Server s'exécute.

Si vous êtes certain d'avoir fourni les bons identifiants lors de la création d'un enregistrement de domaine Active Directory, vous pouvez configurer les mappages de noms de contrôleur de domaine dans le fichier appsettings.json afin que les requêtes Active Directory pour le domaine spécifié dans DomainName soient dirigées vers le point de terminaison défini dans DomainControllerName.

Pour ce faire :

1. Dans la section ActiveDirectory du fichier appsettings.json, ajoutez une section DomainControllerNameMappings.

2. Ajoutez les informations requises pour chaque domaine et contrôleur de domaine. Par exemple :

   • DomainName : le nom de votre domaine Active Directory ou le nom DNS du domaine.

   • DomainControllerName : le nom DNS du domaine ou le nom de domaine explicite d'un contrôleur de domaine dans le domaine.

   Copier

   {  "Ims": {"ActiveDirectory": {"DomainControllerNameMappings": [{ "DomainName": "company.com","DomainControllerName": "server-id.company.com"}, { "DomainName": "my.company.com","DomainControllerName": "server-id.my.company.com"}],

3. Enregistrez le fichier.

4. Redémarrez Authentication Server.

Le bus de messages RabbitMQ ne démarre pas lors du démarrage du serveur d'applications Blue Prism

Si le bus de messages RabbitMQ ne démarre pas au démarrage du serveur d'applications Blue Prism (un avertissement s'affiche dans la fenêtre de sortie du serveur ou les logs du serveur), vérifiez les points suivants :

• RabbitMQ est-il en cours d'exécution ?
  • Vérifiez que le service RabbitMQ est en cours d'exécution en localisant RabbitMQ dans la liste des services disponibles sur le système d'exploitation sur lequel RabbitMQ a été installé.
• Les détails de l'adresse RabbitMQ, de l'hôte virtuel et du port sont-ils corrects ? 
  • Le format doit être le suivant : {protocole}://{hôte}:{port}/{hôte virtuel}, par exemple, rabbitmq://<rabbitmqserver>:5672/.
• Les nom d'utilisateur et mot de passe RabbitMQ sont-ils corrects ?
  • L'utilisateur invité travaille uniquement sur une connexion localhost. Assurez-vous qu'un nouvel utilisateur a été créé avec les permissions hôte virtuel appropriées.
• L'ID client et la clé secrète client correspondent-ils aux valeurs saisies pour le compte de service créé dans Hub ?
• Avez-vous cliqué sur Tester la connexion pour vérifier si la connexion était valide ?

Les détails ci-dessus peuvent être vérifiés en accédant au portail de gestion RabbitMQ à partir d'un navigateur via https://<rabbitmqserver>:15672/ et en se connectant avec les identifiants de l'utilisateur configuré.

Les mises à jour des utilisateurs et des comptes de service dans Authentication Server n'apparaissent pas dans le client interactif Blue Prism.

Si les comptes de service créés dans Authentication Server n'apparaissent pas dans Blue Prism, ou si les comptes de service ou les utilisateurs supprimés ou restaurés ne sont pas mis à jour dans Blue Prism, vérifiez ce qui suit :

• RabbitMQ est-il en cours d'exécution ?
  • Vérifiez que le service RabbitMQ est en cours d'exécution en saisissant Services dans votre barre de recherche et en vous assurant que RabbitMQ s'affiche dans la liste.
• Consultez le portail de gestion RabbitMQ pour les éléments suivants :
  • Y a-t-il des messages dans la file d'attente de synchronisation des utilisateurs ?
    • Si oui, est-ce que BPServer est en cours d'exécution ? BPServer est le seul consommateur de la file d'attente de synchronisation des utilisateurs. Par conséquent, les messages dans la file d'attente (indiqués par un nombre entier positif dans la colonne Prêt) signifient que BPServer n'est pas en cours d'exécution ou que les réglages d'intégration d'Authentication Server BPServer sont incorrects.

      • Si c'est le cas, vérifiez que les réglages d'intégration d'Authentication Server dans BPServer correspondent à la file d'attente correcte. Dans l'exemple ci-dessous, l'identificateur d'environnement doit être bp.

        

      • Assurez-vous que BPServer est démarré.

    • S'il n'y a actuellement aucun message dans la file d'attente de synchronisation des utilisateurs, y a-t-il eu des messages dans la file d'attente ? Cela peut être vérifié en inspectant les taux de message pour chaque file d'attente. Par exemple, une file d'attente avec une activité aura une valeur de 0,00/s, tandis qu'une file d'attente sans message sera vide.

      

  • Des messages ont-ils été consommés dans la file d'attente de synchronisation des utilisateurs ?

    • Si cela est visible dans le portail de gestion RabbitMQ, cela indique que la fonction de synchronisation des utilisateurs fonctionne de bout en bout et qu'un problème est survenu lors du traitement de l'événement.

  • Si la création ou la mise à jour d'un compte utilisateur ou de service a échoué, une autre file d'attente sera créée et contiendra les erreurs d'application (appelée file d'attente d'erreurs). Le nom de la file d'attente sera identique, avec un suffixe supplémentaire _error.

    

• Les erreurs (et tous les messages) peuvent être inspectées pour diagnostiquer les problèmes dans l'application. Pour ce faire, sélectionnez d'abord la file d'attente, puis sélectionnez l'option Obtenir les messages. Vous pouvez spécifier le nombre de messages à obtenir. Puisqu'il s'agit d'une file d'attente, si nous obtenons 1 message, le message en tête de la file d'attente est renvoyé. Le message en tête de la file d'attente est le message le plus ancien. Une fois le message sélectionné, vous pouvez voir son contenu. Dans le cas d'un message d'erreur, vous pouvez voir des détails tels que le type d'exception, le type de message et une arborescence des appels de procédure plus détaillée.

  

  

Utilisation d'Authentication Server avec une instance RabbitMQ existante qui fonctionne via une authentification basée sur certificat externe

Si vous utilisez Authentication Server avec une instance RabbitMQ existante qui utilise une authentification externe basée sur certificat, l'authentification des identifiants (PLAIN) devra être activée dans leur instance. Plus de détails sont disponibles ici.

Si vous n'avez jamais configuré la fonction RabbitMQ via l'onglet Intégration d'Authentication Server dans le serveur d'applications Blue Prism, l'interface utilisateur de gestion RabbitMQ n'a pas de file d'attente créée pour cet environnement, ce qui signifie que les modifications apportées dans Hub n'ont pas été mises en file d'attente. Cependant, une fois que cette configuration a été définie et que son bon fonctionnement a été vérifié, toutes les mises à jour futures effectuées dans Hub seront mises en file d'attente, que le serveur d'applications Blue Prism soit en cours d'exécution ou non.

Chargement indéfini de la page de connexion Authentication Server intégrée

Lors de la connexion au client interactif Blue Prism à l'aide d'Authentication Server, la boîte de dialogue de connexion Authentication Server intégrée via le navigateur Microsoft Edge WebView2 peut ne pas être entièrement rendue et peut charger indéfiniment, sans qu'aucune erreur ne s'affiche dans les logs.

Cela semble être dû au dossier de données utilisateur (UDF) créé par le navigateur WebView2 dans C:\Users\<username>\AppData\Roaming\Blue Prism Limited\Automate V3 lorsque vous essayez de vous connecter pour la première fois à Authentication Server. Ce dossier contient des données de navigateur telles que des cookies, des permissions et des ressources mises en cache. Pour plus d'informations, voir Gérer les dossiers de données utilisateur dans Microsoft Edge.

Pour résoudre ce problème, vous devez supprimer le dossier de données utilisateur de C:\Users\<username>\AppData\Roaming\Blue Prism Limited\Automate V3, redémarrer Blue Prism et vous reconnecter à l'aide d'Authentication Server.