Domaines Active Directory

Les administrateurs Blue Prism peuvent afficher, ajouter, modifier et supprimer les domaines Active Directory et les identifiants associés stockés dans la base de données Blue Prism.

Pour accéder aux domaines Active Directory dans Blue Prism et les gérer, accédez à SystèmeSécurité > Réglages d'authentification > Domaines Active Directory

Il vous suffit d'ajouter de nouveaux domaines Active Directory dans les environnements multiforêts avec une relation d'approbation à sens unique. Voir Relations d'approbation entre les domaines pour en savoir plus.

Prérequis

Les prérequis suivants doivent être remplis avant d'ajouter des domaines Active Directory :

  • Assurez-vous que le schéma de chiffrement est configuré : les identifiants du domaine Active Directory sont chiffrés dans la base de données Blue Prism à l'aide du schéma de chiffrement par défaut, de sorte qu'un schéma de chiffrement doit être configuré avant d'ajouter des domaines. Il est recommandé de stocker la clé de chiffrement sur le serveur d'applications. Pour en savoir plus, consultez la section Schémas de chiffrement.

  • Assurez-vous que la clé de chiffrement est accessible par Blue Prism API : si la clé de chiffrement est stockée sur le serveur d'applications, des mesures supplémentaires doivent être prises pour rendre les clés de chiffrement disponibles pour Blue Prism API. Cela permet de s'assurer que les utilisateurs d'Active Directory dans plusieurs domaines peuvent utiliser Control Room sur navigateur. Pour ce faire, Blue Prism API doit être en mesure de déchiffrer les identifiants du domaine à l'aide du schéma de chiffrement stocké sur le serveur d'applications. Pour en savoir plus, consultez la section Configuration de l'API.

Ajouter un domaine

  1. Sur l'écran Réglages d'authentification – Domaines Active Directory, cliquez sur Ajouter.

    L'écran Ajouter un domaine Active Directory s'affiche.

  2. Saisissez un nom de domaine.

    Il doit s'agir du nom de domaine explicite au format sousdomaine.domaine.com ou domaine.com.

  3. Saisissez le nom d'utilisateur et le mot de passe du domaine. Les noms d'utilisateur doivent être au format [email protected] ou DOMAINE\nomutilisateur. Les identifiants doivent être demandés au préalable à un administrateur système.

    Les identifiants du domaine Active Directory sont stockés dans la base de données et sont chiffrés avant le stockage. Les identifiants stockés pour chaque domaine doivent être ceux d'un compte de service Active Directory. Le mot de passe du compte de service ne doit pas expirer, le compte de service ne doit pas être un compte utilisateur et doit suivre les meilleures pratiques du compte de service Active Directory. Vous devez uniquement saisir les identifiants du domaine dans un environnement multiforêts avec une approbation à sens unique.

  4. Cliquez sur Ajouter.

    Le nom de domaine et les identifiants sont validés en fonction du contrôleur de domaine Active Directory et le domaine ajouté s'affiche dans la liste des domaines.

Modifier un domaine

  1. Sur l'écran Réglages d'authentification – Domaines Active Directory, sélectionnez un domaine et cliquez sur Modifier.

    Vous ne pouvez modifier qu'un seul domaine à la fois.

  2. Modifiez les informations comme requis. Vous devrez saisir à nouveau votre mot de passe.

    Vous ne pouvez pas modifier les noms de domaine.

  3. Cliquez sur Enregistrer pour appliquer vos modifications.

Supprimer les domaines

  1. Sur l'écran Réglages d'authentification – Domaines Active Directory, sélectionnez le(s) domaine(s) requis et cliquez sur Supprimer.

    Un message s'affiche vous demandant de confirmer la suppression.

  2. Cliquez sur Supprimer pour supprimer le(s) domaine(s) sélectionné(s).

Relations d'approbation entre les domaines

Pour les environnements multiforêts, les relations d'approbation doivent être configurées entre les domaines. Elles peuvent être bidirectionnelles ou à sens unique vers le domaine approuvé.

Par exemple :

  • Dans une approbation à sens unique entre le domaine A et le domaine B, les utilisateurs du domaine A peuvent accéder aux ressources du domaine B. Cependant, les utilisateurs du domaine B ne peuvent pas accéder aux ressources du domaine A.

  • Dans une approbation bidirectionnelle, le domaine A fait confiance au domaine B et le domaine B fait confiance au domaine A. Cela signifie que les requêtes d'authentification peuvent être transmises entre les deux domaines dans les deux directions.

Les approbations bidirectionnelles n'exigent pas que l'utilisateur fournisse des identifiants de domaine si l'utilisateur exécutant le serveur d'applications Blue Prism dispose d'un accès en lecture pertinent au domaine auquel l'utilisateur appartient. Dans ces exemples, le serveur d'applications Blue Prism résiderait dans le domaine B. Les approbations bidirectionnelles nécessitent des identifiants lorsque l'utilisateur doit interroger un domaine approuvé à l'aide d'un compte différent du compte exécutant le serveur d'applications Blue Prism. Les approbations à sens unique nécessitent la création d'un domaine avec des identifiants.

Les types d'approbation suivants sont pris en charge :

  • Externe

  • Parent-enfant

  • Arbre-racine

  • Forêt

Pour plus d'informations, voir Infrastructure Active Directory prise en charge.