Dépannage – Authentification unique

Cette page décrit quelques problèmes courants et propose des solutions pour les administrateurs système qui utilisent et gèrent l'authentification unique dans Blue Prism.

Les utilisateurs ne peuvent pas se connecter ou des problèmes de performance se produisent pendant la connexion

Si des échecs de connexion ou des problèmes de performance sont rencontrés pendant le processus de connexion via Active Directory, les administrateurs système peuvent vérifier si l'un des scénarios ci-dessous s'applique et effectuer l'action appropriée.

Certains scripts de base de données supplémentaires peuvent être nécessaires pour le dépannage. Ceux-ci peuvent être téléchargés à partir du portail Blue Prism selon les besoins. Le cas échéant, le script de base de données approprié est nommé dans les scénarios ci-dessous.

Se déconnecter et se reconnecter : si vous pensez que tous vos réglages utilisateur, y compris les groupes de sécurité, sont corrects, essayez de vous déconnecter et de vous reconnecter à la machine de l'utilisateur. Lorsqu'un utilisateur est ajouté à un groupe Active Directory, la modification prend effet à la prochaine connexion.
Vérifier les rôles Blue Prism de l'utilisateur et son appartenance au groupe de sécurité Active Directory : si vous êtes membre du groupe Administrateurs Blue Prism , vous devriez pouvoir vous connecter.

Si un utilisateur tente de se connecter après une mise à niveau du produit et qu'il reçoit le message d'erreur « La connexion a échoué. Cet utilisateur n'a aucun rôle attribué dans Blue Prism », téléchargez le script de base de données BP‑9497‑ConfigureTrustedDomain.sql à partir du portail Blue Prism et suivez les étapes décrites dans cet article de la base de connaissances.

Vérifiez que le compte utilisateur a été créé et qu'au moins un rôle Blue Prism lui a été attribué, soit directement, soit via l'appartenance à un groupe de sécurité.

Pour résoudre ce problème, vous devez d'abord synchroniser les utilisateurs avec Active Directory sur l'écran Sécurité – Utilisateurs. Si le compte utilisateur ne s'affiche pas dans la liste des utilisateurs, cela signifie qu'il n'a pas encore été créé :
- Si les rôles d'utilisateur sont gérés dans Blue Prism, vous devez créer le compte utilisateur et lui attribuer les rôles requis.
- Si les rôles d'utilisateur sont gérés dans Active Directory, vous devez vérifier quels groupes Active Directory sont mappés aux rôles Blue Prism sous Système > Sécurité > Rôles d'utilisateur. L'utilisateur doit être membre d'au moins un de ces groupes. Si ce n'est pas le cas, votre administrateur réseau doit ajouter le compte au groupe de sécurité approprié avant de synchroniser à nouveau la liste des utilisateurs avec Active Directory pour vérifier que le compte s'affiche dans la liste des utilisateurs.
- Si les rôles sont gérés à la fois dans Blue Prism et Active Directory, vous devez créer le compte utilisateur et lui attribuer les rôles requis directement et/ou via l'appartenance à un groupe de sécurité, selon les besoins.

Vérifier la connexion au serveur d'applications Blue Prism : assurez-vous que l'utilisateur est connecté à un serveur d'applications Blue Prism avec un mode de connexion valide et sécurisé et qu'un enregistrement d'utilisateur Active Directory existe pour l'utilisateur Windows actuellement connecté.

Vérifier si vous devez configurer la limite du délai avant expiration Active Directory : si un utilisateur ne peut pas se connecter via Active Directory ou rencontre des problèmes de performance pendant le processus de connexion, et que les logs affichent plusieurs instances de System.TimeoutException: Timeout after 5 seconds, vous pouvez définir une limite de délai d'expiration Active Directory dans la base de données. Le script de base de données BP‑9268‑SetActiveDirectoryQueryTimeout.sql peut être téléchargé à partir du portail Blue Prism à cette fin. Cela modifiera les réglages de délai avant expiration pour le ou les serveurs d'application et toutes les instances API qui pointent vers la base de données Blue Prism. Sauvegardez votre base de données avant d'exécuter ce script pour votre base de données Blue Prism.
Vérifier si vous devez configurer manuellement les domaines Active Directory qui seront interrogés pendant le processus de connexion : pour réduire le temps nécessaire au remplissage du cache Active Directory, les administrateurs système peuvent configurer manuellement les domaines Active Directory de confiance qui seront interrogés pendant le processus de connexion. Si au moins un domaine Active Directory est configuré manuellement, ces réglages seront utilisés pendant le processus de connexion pour interroger uniquement le(s) domaine(s) configuré(s), plutôt que d'identifier par programmation les domaines qui peuvent être interrogés. Le script de base de données BP‑9497‑ConfigureTrustedDomain.sql peut être téléchargé à partir du portail Blue Prism à cette fin.

Lorsqu'un nouveau domaine est ajouté à Active Directory, il doit également être ajouté à la configuration, sinon il sera ignoré et les utilisateurs appartenant à ce domaine ne pourront pas se connecter tant que la configuration n'aura pas été mise à jour.

Avant d'exécuter le script, veuillez vous de ce qui suit :
- Vous avez sauvegardé votre base de données.
- Tous les domaines Active Directory qui répondent à un ou plusieurs des critères suivants sont configurés manuellement (si vous utilisez les versions 7.1.0 ou 7.1.1 de Blue Prism) :
  - Contient des utilisateurs qui doivent être en mesure de se connecter.
  - Contient des groupes de sécurité qui sont affectés directement aux rôles Blue Prism.
  - Contient des groupes de sécurité parents qui incluent des groupes de sécurité directement affectés aux rôles Blue Prism.
- Tous les domaines Active Directory qui répondent à un ou plusieurs des critères suivants sont configurés manuellement (si vous utilisez Blue Prism 7.1.2 ou une version ultérieure) :
  - Contient les utilisateurs qui doivent se connecter à l'aide de commandes ou de processus Telnet exposés en tant que services Web à l'aide d'un nom d'utilisateur de type nom de connexion (pré-Windows 2000). Par exemple, john par opposition à DOMAINE\john ou [email protected].
  - Contient des utilisateurs avec un suffixe de nom d'utilisateur principal (UPN) différent du nom du système de noms de domaine (DNS) du domaine Active Directory. Par exemple, corp.dir.entreprise.com (nom DNS) et entreprise.com (suffixe d'alias), où [email protected] est l'UPN. Un script de base de données facultatif de configuration des suffixes d'alias (BP-10681-ConfigureUpnSuffixes.sql) est disponible en téléchargement sur le portail Blue Prism.
- Le nom d'hôte du domaine, l'identificateur de sécurité (SID) et le nom de la forêt dans laquelle réside le domaine ont été fournis pour chaque domaine qui doit être interrogé.
Vérifier si vous devez configurer les réglages du cache de domaine : pour améliorer davantage les performances pendant la connexion, le comportement du cache qui stocke les domaines découverts peut être configuré en définissant un intervalle d'actualisation et une durée maximale du cache. Le script de base de données BP‑9654‑SetCacheDurationAndRefreshInterval.sql peut être téléchargé à partir du portail Blue Prism à cette fin. Sauvegardez votre base de données avant d'exécuter ce script pour votre base de données Blue Prism.
- L'intervalle d'actualisation est l'intervalle en minutes auquel les données mises en cache seront mises à jour à partir d'Active Directory. La valeur peut être définie entre 5 et 1 440 minutes. La valeur par défaut est 5.
- La durée maximale du cache est la durée en minutes pendant laquelle les données seront conservées dans le cache avant d'être invalidées. La valeur peut être définie entre 5 et 1 440 minutes. La valeur par défaut est définie sur 30 si vous utilisez Blue Prism 7.1.0 ou 7.1.1, et sur 1440 si vous utilisez Blue Prism 7.1.2 ou une version ultérieure.
  
  Ces deux réglages doivent être configurés ensemble et la durée maximale du cache doit être supérieure à l'intervalle d'actualisation. Si un ou les deux réglages ne sont pas configurés, les valeurs par défaut seront utilisées.
- Ce cache est rempli dans Blue Prism lors des actions suivantes :
  - Établissement d'une connexion directe à la base de données.
    Si vous vous connectez à l'aide d'une connexion directe à la base de données, les utilisateurs peuvent ne pas parvenir à se connecter pendant le remplissage du cache. Le temps nécessaire pour remplir le cache peut varier, mais vous pouvez configurer manuellement des domaines Active Directory fiables qui seront interrogés pendant le processus de connexion pour réduire le temps d'attente.
  - Démarrage d'un serveur d'applications Blue Prism.
  - Activation de l'authentification Active Directory dans Système > Sécurité > Réglages d'authentification.
  Le cache n'est pas rempli dans Blue Prism sauf si l'authentification Active Directory a été activée.
  Pour plus de détails sur le cache de domaine Active Directory, veuillez consulter cet article de la base de connaissances.
Vérifier si vous devez configurer des mappages de noms de contrôleur de domaine : vous devrez peut-être configurer des mappages de noms de contrôleur de domaine dans la base de données si le message d'erreur et le log suivants s'affichent lors de la recherche d'utilisateurs Active Directory ou de groupes de sécurité, et lors de l'ajout ou de la modification de domaines Active Directory :
- Message d'erreur : L'enregistrement de domaine n'a pas pu être enregistré : Identifiants non valides. Veuillez vérifier vos identifiants.
- Log d'erreur : Le nom d'utilisateur ou le mot de passe est incorrect. Si les identifiants de domaine pour dc=example,dc=com sont valides, veuillez fournir un enregistrement de mappage de contrôleur de domaine.
  
  Cela peut se produire si le domaine d'intérêt se trouve sur un réseau différent du réseau sur lequel le serveur d'applications Blue Prism s'exécute. Si vous êtes certain que les identifiants fournis sont corrects, vous devez ajouter des paramètres domainName et domainControllerName à la base de données afin que les requêtes Active Directory pour le domaine spécifié dans domainName soient dirigées vers le point de terminaison défini dans domainControllerName.
  
  Pour ce faire :
  1. Sauvegardez votre base de données Blue Prism.
  2. Téléchargez le script BP-9420-AddDomainNamePreferences.sql à partir du portail Blue Prism et ouvrez-le dans un éditeur approprié.
  3. Mettez à jour les valeurs d'espace réservé pour les paramètres domainName et domainControllerName pour chaque domaine requis avec vos propres valeurs. Par exemple :
    - domainName : le nom de votre domaine Active Directory ou le nom DNS du domaine. Par exemple, entreprise.com.
    - domainControllerName : le nom DNS du domaine, par exemple, entreprise.com ou le nom de domaine explicite d'un contrôleur de domaine dans le domaine. Par exemple, id-serveur.entreprise.com.
  4. Exécutez le script pour votre base de données Blue Prism.

Identifiants Windows requis

Si, après vous être connecté via Active Directory, vous êtes invité à saisir des identifiants Windows, veuillez vérifier que vous avez configuré un nom de principal de service (SPN) pour le compte Active Directory sous lequel chaque instance de service de serveur Blue Prism est en cours d'exécution et un domaine Kerberos pour chaque connexion de serveur Blue Prism dans le client interactif Blue Prism. Pour en savoir plus, voir Configuration du SPN.

Affichage des messages d'erreur

La relation de confiance entre ce poste de travail et le domaine primaire a échoué.

Cette erreur signale un problème de configuration de votre réseau. Il peut parfois s'agir d'un symptôme d'un espace de noms incohérent (un scénario dans lequel le suffixe DNS (Domain Name System) principal d'un ordinateur ne correspond pas au nom de domaine DNS où réside cet ordinateur).

Le domaine spécifié n'existe pas ou ne peut pas être contacté.

Dans certains cas, une machine peut apparaître comme étant membre d'un domaine, mais être mal configurée. Si cela provient uniquement d'une machine spécifique, alors que d'autres machines fonctionnent correctement, le problème vient sans doute de là. Dans ce cas, retirez la machine du domaine et rattachez-la (un administrateur de domaine devra effectuer cette opération).

La machine locale n'est pas membre d'un domaine Active Directory ou ce domaine ne peut pas être contacté.

Si vous recevez ce message, cela signifie que vous devez demander à votre administrateur de domaine Active Directory de vous ajouter à un domaine Active Directory avant de pouvoir configurer l'authentification Active Directory.

Impossible de récupérer les membres du groupe de sécurité {Security Group Name} parce qu'il contient des membres qui sont des entités de sécurité externes ou qui disposent de SID non résolus.

Certains groupes de sécurité Active Directory (par exemple, certains groupes intégrés) présentent des difficultés d'interrogation et, par conséquent, de telles configurations ne sont pas recommandées. Même si les utilisateurs de ces groupes pourront se connecter avec les permissions correctes, il est possible que certains écrans Blue Prism ne puissent pas afficher avec précision les informations d'adhésion.

	Cliquez ici pour voir l'aide de tous les produits de Blue Prism.
© 2024 Blue Prism Limited