Serveur Blue Prism

Blue Prism peut fonctionner dans deux architectures réseau différentes :

  • Accès direct : les clients Blue Prism, qu'ils utilisent le logiciel client Blue Prism complet ou fonctionnent simplement comme une ressource d'exécution, bénéficient d'un accès direct à la base de données qui régit l'environnement Blue Prism. Chaque client doit donc enregistrer les informations d'authentification de la base de données et, selon le mode d'authentification utilisé, peut obtenir un accès complet à la base de données Blue Prism, mais cela n'est pas recommandé.
  • Serveur Blue Prism : les clients et ressources Blue Prism se connectent au service de serveur Blue Prism fonctionnant sur une machine centrale. Cela sert de proxy pour la base de données et devient le seul endroit dans le système qui requiert les données d'authentification pour accéder aux données et les modifier.

Le diagramme ci-dessous présente une comparaison entre les architectures d'accès direct et du serveur Blue Prism.

Configurations du serveur - Cliquer pour agrandir l'image

Le planificateur Blue Prism fonctionne également dans un service de serveur Blue Prism et il est possible de conserver une architecture d'accès direct avec une instance du serveur Blue Prism qui fonctionne principalement dans le but d'exécuter le planificateur.

Configurer un serveur Blue Prism

Un service de serveur Blue Prism est installé dans le cadre du processus d'installation du logiciel Blue Prism. Il se trouve dans la liste Services installés dans le menu Démarrer sous : Tous les programmes : Outils administratifs : Services.

Le serveur est configuré en exécutant BPServer.exe, qui est installé dans le répertoire d'installation de Blue Prism (généralement C:\Program Files\Blue Prism Limited\Blue Prism Automate).

La boîte de dialogue qui s'ouvre peut être utilisée pour spécifier plusieurs configurations du serveur Blue Prism, qui peuvent se connecter à des bases de données disparates et écouter plusieurs clients.

Configuration du serveur Blue Prism

Cette boîte de dialogue n'est plus utilisée pour configurer le planificateur d'événements Blue Prism. Vous pouvez maintenant le configurer à l'échelle de l'environnement dans le gestionnaire du système.

Modifier une configuration existante

Lors de l'installation, une configuration par défaut intitulée « Par défaut » est créée pour le serveur Blue Prism. Lors de l'ouverture de la boîte de dialogue de configuration du serveur, cette configuration est sélectionnée dans la liste déroulante Configuration actuelle.

Pour modifier une configuration, sélectionnez-la dans la liste déroulante Configuration actuelle et cliquez sur Modifier.

Cela ouvre la boîte de dialogue Informations de configuration du serveur contenant les informations actuelles enregistrées pour la configuration sélectionnée.

Le serveur d'applications Blue Prism doit être redémarré pour que les modifications soient prises en compte.

Le service de serveur Blue Prism qui est installé par défaut lors de l'installation de Blue Prism tente de charger une configuration de serveur intitulée « Par défaut ». Il ne démarrera pas si elle n'existe pas. Consultez Exécution de plusieurs serveurs Blue Prism pour obtenir des conseils sur la configuration d'un service afin de charger une configuration différente.

Créer une configuration

Pour créer une configuration, cliquez sur Nouvelle configuration. Cela ouvrira la boîte de dialogue Détails de la configuration du serveur dans laquelle vous pouvez spécifier la configuration.

Supprimer une configuration

Pour supprimer une configuration, sélectionnez-la dans la liste déroulante Configuration et cliquez sur Supprimer.

La configuration sera supprimée et les modifications immédiatement enregistrées.

Informations de configuration du serveur

Dans la boîte de dialogue Informations de configuration du serveur, vous pouvez spécifier :

Détails

Nom

Le nom de la configuration. Il est essentiellement de nature documentaire, mais sert également à indiquer la configuration de serveur que doit utiliser un service lors de la définition de plusieurs services de serveur Blue Prism. Notez que dans ce cas, un nom simple sans espaces ni ponctuation est recommandé afin de simplifier l'installation du service correspondant.

Connexion

Les réglages de connexion que la configuration du serveur doit utiliser pour se connecter à la base de données Blue Prism qu'elle gère. Les connexions disponibles proviennent des connexions configurées dans la boîte de dialogue Connexions du client Blue Prism, disponible sur la page de connexion.

Mode de connexion

Les modes de connexion suivants peuvent être utilisés pour les connexions entre un client interactif Blue Prism et le serveur Blue Prism :

  • WCF : SOAP avec chiffrement de messages et authentification Windows
    • Nécessite une relation d'approbation entre les appareils : Oui
    • Prend en charge Active Directory : Oui
    • Nécessite un certificat côté serveur : Non

    • Transport : SOAP sur HTTP

    Seul le contenu du message est chiffré.  Les en-têtes SOAP et HTTP restent non chiffrés, ce qui facilite le routage complexe, les équilibreurs de charge, les proxy, etc.  L'identité du client et du serveur est validée via Windows/Active Directory.

  • WCF : SOAP avec chiffrement de transport et authentification Windows
    • Nécessite une relation d'approbation entre les appareils : Oui
    • Prend en charge Active Directory : Oui
    • Nécessite un certificat côté serveur : Oui

    • Transport : SOAP sur HTTPS

    Le transport, y compris les en-têtes SOAP, est chiffré à l'aide d'un chiffrement basé sur un certificat. L'identité du client et du serveur est validée via Windows/Active Directory.

    Si vous sélectionnez l'un des modes de connexion qui utilise l'authentification Windows, un nom de principal de service (SPN) doit être configuré pour chaque instance de service de serveur Blue Prism exécutée sur chaque serveur d'applications. Pour en savoir plus, veuillez consulter le guide d'installation.

  • WCF : SOAP avec cryptage de transport
    • Nécessite une relation d'approbation entre les appareils : Non
    • Prend en charge Active Directory : Non
    • Nécessite un certificat côté serveur : Oui
    • Transport : SOAP sur HTTPS

    Le transport, y compris les en-têtes SOAP, est chiffré à l'aide d'un chiffrement basé sur un certificat. L'identité du serveur est validée à l'aide de certificats.

  • .NET Remoting : Sécurisé
    • Nécessite une relation d'approbation entre les appareils : Oui
    • Prend en charge Active Directory : Oui
    • Nécessite un certificat côté serveur : Non
    • Transport : TcpChannel sur SChannel

    Fourni pour la rétrocompatibilité. Le chiffrement est négocié entre le client et le serveur. L'identité du client et du serveur est validée via Windows/Active Directory.

  • .NET Remoting : Non sécurisé
    • Nécessite une relation d'approbation entre les appareils : Non
    • Prend en charge Active Directory : Non
    • Nécessite un certificat côté serveur : Non
    • Transport : TcpChannel

    Non recommandé, fourni pour la rétrocompatibilité. La sécurité des connexions devra être entièrement assurée par des solutions tierces.

  • WCF : Non sécurisé
    • Nécessite une relation d'approbation entre les appareils : Non
    • Prend en charge Active Directory : Non
    • Nécessite un certificat côté serveur : Non
    • Transport : SOAP sur HTTP

    Non recommandé. La sécurité des connexions devra être entièrement assurée par des solutions tierces.

Nom d'hôte ou adresse IP

Lorsqu'un serveur possède plusieurs interfaces réseau, vous pouvez spécifier l'adresse IP que le serveur doit utiliser pour écouter les connexions. Lorsque vous utilisez les modes de connexion WCF, un nom d'hôte peut être utilisé à la place d'une adresse IP.

Si ce champ reste vide, alors le serveur Blue Prism accepte les requêtes sur n'importe quelle adresse.

Port du serveur

Le port TCP/IP sur lequel il doit écouter les connexions des clients Blue Prism. Si vous exécutez plusieurs serveurs simultanément, ceux-ci doivent être différents pour chaque configuration de serveur, sinon le serveur risque de ne pas pouvoir démarrer.

Désactiver le planificateur d'événements

Si cette option est cochée, le serveur qui utilise cette configuration ne tentera d'exécuter aucune tâche planifiée. Cela peut s'avérer utile dans les environnements à plusieurs serveurs où un seul serveur doit être chargé de l'exécution des plannings.

Certificat (modes de connexion WCF uniquement)

Liste des certificats

Toutes les liaisons de certificat trouvées sur la machine pour le port actuel sont répertoriées dans ce panneau. Toutes les liaisons pour le port sont répertoriées afin que l'utilisateur puisse déterminer si elles s'appliquent à l'adresse IP ou au nom d'hôte sélectionné.

Vous pouvez ajouter de nouvelles liaisons de certificat à partir de cette section. Vous pouvez consulter ou supprimer les liaisons de certificat existantes.

Ajouter une nouvelle fenêtre de liaison de certificat (modes de connexion WCF uniquement)

Vous pouvez ajouter de nouvelles liaisons de certificat à partir de l'onglet Certificat.

  • Adresse de liaison du certificat : cette section vous permet de choisir si vous souhaitez ajouter votre liaison de certificat pour le port actuel à l'aide d'une adresse IP en « caractères génériques », d'une adresse IP spécifique ou d'un nom d'hôte. Les options varient en fonction de l'adresse IP ou du nom d'hôte spécifié pour le serveur.

    Notez que les systèmes d'exploitation antérieurs à Windows 8 ne prennent pas en charge les liaisons utilisant des noms d'hôte. Un avertissement s'affiche et vous devez ajouter une liaison en utilisant l'option Toute adresse IP à la place.

  • Magasin de certificats de la machine locale : cela vous permet de spécifier le magasin dans lequel vous souhaitez sélectionner les certificats. Dans la plupart des cas, vous devriez utiliser l'option par défaut Mes certificats (personnel). Vous serez invité à sélectionner un certificat dans ce magasin après avoir cliqué sur OK.

Magasin de clés

Clés de chiffrement

Les clés associées aux schémas de chiffrement définis dans Blue Prism qui ne sont pas conservées dans la base de données doivent être ajoutées au magasin de clés du serveur avec le nom du schéma auquel elles sont associées.

Une fois en place, et une fois le serveur démarré, les clients interactifs Blue Prism connectés pourront utiliser les clés pour chiffrer et déchiffrer les identifiants et les données des éléments de la file d'attente pour cette connexion.

Conserver les clés séparément dans des fichiers individuels

Lorsque cette option est sélectionnée, les clés sont conservées séparément de la configuration du serveur principal, ce qui permet de contrôler leur accès via les permissions du système d'exploitation et les politiques de chiffrement si nécessaire. Chaque clé est écrite dans un fichier séparé du dossier spécifié et nommée en fonction du nom du schéma de chiffrement associé.

Nous vous recommandons d'utiliser le dossier spécifié uniquement pour conserver les fichiers de clés de chiffrement Blue Prism. Notez que plusieurs configurations de serveur ne peuvent pas utiliser le même dossier.

Si l'utilisateur qui modifie la configuration de serveur n'a pas accès en lecture à un ou plusieurs fichiers de clés, cette option sera désactivée pour éviter la perte accidentelle de clés.

Services du serveur

Liste des services Windows

Une liste des services Windows du serveur Blue Prism Server qui ont été détectés sur la machine locale est affichée ici. La liste n'affiche que les services associés à la configuration en cours de modification. La liste comprend des informations sur la configuration et le statut du service.

De plus, elle indique également si le compte utilisateur qui exécute le service est autorisé à écouter l'adresse et le port spécifiés pour la configuration de serveur. Cliquer sur Gestion des permissions fait apparaître une fenêtre dans laquelle vous pouvez gérer ces permissions.

Si aucun service Windows n'est détecté sur la machine locale pour la configuration en cours de modification, vous pouvez créer un service en cliquant sur Créer un service ou en exécutant l'exemple de texte de commande affiché dans l'onglet à partir d'une invite de commande élevée.

Gestion des permissions d'URL (modes de connexion WCF uniquement)

Liste des permissions d'URL : toutes les permissions d'URL trouvées sur la machine pour l'adresse et le port de la configuration sont répertoriées dans ce panneau.

Notez que les permissions d'URL configurées pour une URL http ne fonctionnent pas avec un serveur qui utilise https et vice versa. Il est également impossible de configurer des permissions d'URL distinctes pour les URL http et https (lorsque les URL sont identiques, sauf pour la partie http/https). La liste comprend les permissions qui utilisent à la fois les URL http et https afin que l'utilisateur puisse voir les éventuels conflits.

Vous pouvez ajouter de nouvelles permissions d'URL à partir de cette section. Vous pouvez modifier ou supprimer les permissions existantes.

Ajouter/Modifier les permissions d'URL (modes de connexion WCF uniquement)

Vous pouvez ajouter ou modifier les permissions d'URL dans la boîte de dialogue Gestion des permissions d'URL.

  • URL : cette section vous permet de choisir si vous souhaitez ajouter votre permission d'URL à l'aide d'une adresse IP en « caractères génériques », d'une adresse IP spécifique ou d'un hôte utilisé par le serveur. Les options disponibles varient en fonction de l'adresse spécifiée pour le serveur.
  • Utilisateurs : cette section vous permet de sélectionner les comptes utilisateur qui sont configurés pour exécuter les services Windows détectés sur la machine (ainsi que les autres comptes qui appartiennent à une permission d'URL existante lors de la modification).

Logging

  • Envoi des messages de statut de service au Journal des événements : cochez cette case pour enregistrer les messages de statut dans le Journal des événements Windows pour cette configuration.
  • Messages verbaux du log : si cette option est cochée, tous les messages « marshalés » et « déconnectés » sont enregistrés dans le Journal des événements Windows en plus des messages de statut.
  • Informations de trafic du log : lorsque cette option est activée, tous les appels de clients vers des instances d'objets distantes sur le serveur sont enregistrés. Cette option est uniquement fournie à des fins de diagnostic.

Cliquez sur OK pour valider vos modifications et les enregistrer définitivement, ou sur Annuler pour les supprimer.

Réglages de Data Gateways

  • Activer le processus de la passerelle de données : active le processus de la passerelle de données pour ce serveur.
  • Port de communications : saisissez le port que le serveur d'applications écoutera pour que les commandes démarrent ou arrêtent le processus de passerelles de données.

    Ce port est également utilisé par d'autres serveurs d'applications Blue Prism dans le même environnement pour contrôler le moteur des passerelles de données. Cela peut être laissé comme port par défaut (8101) à moins qu'il y ait un autre processus sur le serveur d'applications qui utilise déjà ce port.

    Le serveur d'applications doit être arrêté avant de changer le numéro de port.

  • Passerelles de données de log, sortie vers la console : envoie des messages de haut niveau des passerelles de données au log de la console dans BPServer. Vous pouvez utiliser ces données pour aider à diagnostiquer tout problème potentiel lié à l'intégration de Data Gateways. 
  • Activer le logging des traces : active le logging verbal de Data Gateways, qui permet de mieux diagnostiquer tout problème entre Blue Prism et Data Gateways.

  • Passerelles de données, informations sur l'utilisateur : sélectionnez l'une des options suivantes :

    • Exécuter en tant qu'utilisateur en cours : si vous utilisez l'authentification SQL avec l'utilisateur SQL des passerelles de données, le service s'exécutera dans le contexte du service des passerelles de données. Les identifiants utilisés pour accéder à SQL doivent être fournis séparément via la configuration des passerelles de données Blue Prism. Voir Activer le processus Data Gateways pour en savoir plus.

      Si vous utilisez l'authentification Windows, le processus des passerelles de données s'exécute dans le même contexte utilisateur que le service de serveur d'applications Blue Prism. Cette option n'est pas recommandée lors de l'utilisation de l'authentification Windows.

    • Exécuter en tant qu'utilisateur spécifique : si vous utilisez l'authentification Windows (sécurité intégrée), cette option vous permet d'exécuter les passerelles de données dans un contexte utilisateur différent de celui du service de serveur Blue Prism. Il s'agit de la configuration recommandée lors de l'utilisation de l'authentification Windows.

Cliquez sur Enregistrer pour appliquer les réglages. Consultez le guide de Data Gateways pour en savoir plus.

Réglages ASCR

  1. Ouvrez BPServer.exe. Par défaut, il se trouve dans C:\Program Files\Blue Prism Limited\Blue Prism Automate ou C:\Program Files (x86)\Blue Prism Limited\Blue Prism Automate\ en fonction de votre environnement d'installation.
  2. Pour ouvrir la configuration du serveur, sélectionnez l'environnement pertinent dans Configuration actuelle et cliquez sur Modifier.

  3. Sélectionnez l'onglet Réglages d'ASCR.

  4. Dans Réglages du protocole, sélectionnez la méthode Protocole de rappel requise parmi les options suivantes :

    gRPC

    Il s'agit du canal de rappel par défaut qui nécessite HTTP/2. Le serveur d'applications et tous les clients interactifs qui s'y connectent doivent exécuter Windows 11, Windows 10, ou Windows Server 2016 ou une version ultérieure.

    C'est l'option recommandée.

    WCF

    Ce canal de rappel prend en charge Windows 11, Windows 10, et Windows Server 2016 et versions antérieures.

    WCF doit être utilisé uniquement si gRPC ne peut pas être utilisé.

    Si vous sélectionnez cette option et que le compte de connexion au service n'est pas un administrateur local, vous devrez exécuter les commandes ci-dessous pour accorder à l'utilisateur du compte de connexion au service les permissions de démarrer l'écouteur à l'aide des réglages de port par défaut :

    Si le nom d'hôte ASCR est vide, utilisez la commande suivante, qui contient un caractère générique :

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Si le nom d'hôte ASCR est explicite, utilisez la commande suivante et incluez le nom d'hôte :

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

  5. Sous Réglages de liaison, saisissez le nom d'hôte du canal auquel se lier.

    Il s'agit du nom d'hôte du serveur d'applications qui sera utilisé par les clients pour se connecter au serveur d'applications afin d'établir la connexion de rappel. Le nom d'hôte doit être configuré de sorte que lorsqu'il est utilisé à partir des clients interactifs, il soit résolu au serveur d'applications sur le port configuré.

  6. Saisissez le port sortant/entrant requis pour le protocole de rappel sélectionné. La valeur par défaut est 10000.

    Pour WCF, cette valeur est appliquée à la fonction sortante uniquement. La fonction entrante est par défaut le port 80, qui est ouvert sur le client interactif et n'est pas configurable.

  7. Sous Réglages de sécurité, sélectionnez le mode de sécurité que vous souhaitez appliquer au canal duplex parmi les options suivantes :

    Certificat

    Utilisez un certificat SSL (Secure Socket Layer).

    Windows

    Sécurité et authentification intégrées à Windows. Cette option est disponible pour le protocole de rappel WCF uniquement.

    Non sécurisé

    Le protocole de rappel ne sera pas sécurisé.

  8. Si vous sélectionnez le mode de sécurité Certificat, les options de certificat suivantes sont activées et doivent être complétées :

    Nom du certificat

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du serveur d'applications sera récupéré.

    Nom du certificat client

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Le certificat client doit être configuré pour le même point de terminaison sur le serveur. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du client interactif sera récupéré.
  9. Cliquez sur Enregistrer pour enregistrer les modifications et appliquer les réglages de sécurité.

Intégration de Authentication Server

  1. Saisissez les réglages de l'agent tels que configurés dans l'installation de Blue Prism Hub :

    • Adresse : adresse RabbitMQ au format rabbitmq://<host>:<port>/
    • Nom d'utilisateur : nom d'utilisateur RabbitMQ.
    • Mot de passe : mot de passe RabbitMQ.

    • Identificateur de l'environnement : utilisé pour faire la distinction entre les différents environnements Blue Prism configurés, le cas échéant. Cette valeur ne peut contenir qu'une séquence des caractères suivants : lettres, chiffres, traits d'union, traits de soulignement, points et deux-points.

  2. Saisissez les détails du client. Ils sont utilisés pour la synchronisation des utilisateurs et des comptes de service et lors des appels directement à l'API Authentication Server, par exemple, lors de l'ajout d'utilisateurs Authentication Server à des rôles Blue Prism, comme configuré dans Créer un compte de service dans Hub .

    • ID client : l'ID client du compte de service utilisé par Blue Prism pour communiquer avec Authentication Server.
    • Secret client : clé secrète client générée par le compte de service utilisé par Blue Prism pour communiquer avec Authentication Server.

    Dans Hub 4.7 et les versions ultérieures, l'ID client est sensible à la casse. Vous devez vous assurer de saisir l'ID client dans le même cas que celui défini dans le compte de service.

  3. Cliquez sur Tester la connexion pour vous assurer que les détails saisis sont valides.

    Ne sélectionnez pas Activer la connexion tant que vous n'avez pas terminé le mappage d'utilisateur. Vous pouvez enregistrer vos modifications et revenir pour activer la connexion une fois que vous avez terminé le mappage d'utilisateur.

  4. Cliquez sur Enregistrer pour appliquer les réglages.

Consultez le guide d'Authentication Server pour en savoir plus.

Exécuter un serveur Blue Prism

Le serveur peut être exécuté directement à partir du programme de configuration en sélectionnant les informations de configuration de serveur souhaitées dans la liste déroulante Configuration et en cliquant sur le bouton Démarrer. Le serveur s'exécute jusqu'à ce que vous fermiez le programme ou que vous cliquiez sur le bouton Arrêter.

Il peut également être exécuté sous la forme d'un service Windows. Ouvrez l'outil administratif des services et localisez l'entrée Serveur Blue Prism.

Vous pouvez alors démarrer ou arrêter le service, le faire démarrer automatiquement chaque fois que Windows démarre et le configurer pour qu'il redémarre en cas d'erreur. Notez que cela utilise, par défaut, la configuration intitulée Par défaut. Si celle-ci a été renommée ou supprimée, le service ne démarrera pas.

Exécuter plusieurs serveurs Blue Prism

Vous pouvez exécuter plusieurs instances de serveur Blue Prism sur la même machine simultanément, en vous connectant potentiellement à différentes bases de données et en gérant différents clients.

Si l'exécution est effectuée à partir du programme de configuration de serveur, vous pouvez simplement l'ouvrir plusieurs fois, sélectionner différentes configurations à utiliser et démarrer chaque configuration indépendamment.

Si l'exécution est effectuée en tant que service, plusieurs services doivent être configurés pour l'activer.

Un service peut être configuré à l'aide du programme de contrôle de service de Microsoft. Consultez l'article Q251192 de la base de connaissances Microsoft pour en savoir plus sur le programme de contrôle de service (SC).

Une fois la configuration requise définie dans la boîte de dialogue de configuration, un service peut être spécialement enregistré pour cette configuration en exécutant la commande :

sc create {SERVICENAME} binPath= "C:\Program Files\Blue Prism Limited\Blue Prism Automate\BPServerService.exe {CONFIGURATIONNAME}"

{SERVICENAME} correspond au nom du service à utiliser et {CONFIGURATIONNAME} est le nom de la configuration de serveur que le service doit utiliser.

Notez que l'espace manquant entre « binPath » et le signe égal, et l'espace ajouté entre le signe égal et le chemin sont importants.

Si le nom du service souhaité contient des espaces, il doit être placé entre guillemets, par exemple

sc create "BP Server II" binPath= ...etc...

Le nom de la configuration ne doit pas contenir d'espaces ou de guillemets afin d'être correctement référencé par le programme de contrôle de service.

Connexion à un serveur Blue Prism

Pour configurer une connexion qui peut communiquer avec une instance de serveur Blue Prism, voir Connexions.