Authentication Server構成
以下は、Authentication Serverの構成に必要な手順の概要です。
- Hubでサービスアカウントを作成し、Authentication Server APIに認証トークンを発行するための許可を与えます。
- Authentication Serverを使用するようにBlue Prism環境を構成します。
- Blue Prismアプリケーションサーバーを構成します。
- Authentication Server経由で認証するようにBlue Prismユーザーを構成します。
- メッセージングサーバーへの接続を有効にします。
- Blue Prism環境でAuthentication Serverログインを有効化します。
ご使用の環境のAuthentication Serverを構成および有効化する前に、Blue Prismデータベースの完全で検証可能なバックアップを取っていることを確認してください。詳細については、「フルシステムをバックアップおよび復元する」「」を参照してください。
Hubでサービスアカウントを作成する
サービスアカウントは、アプリケーションがアクセストークンを取得し、それを使ってAPIに認証されたリクエストを行う機能を提供します。Blue Prismは、サービスアカウントを使用してAuthentication Server APIに認証されたリクエストを行い、サードパーティアプリケーションでは、サービスアカウントを使用してBlue Prism APIに認証されたリクエストを行うことができます。
Blue PrismがAuthentication Serverと通信するために使用するサービスアカウントを作成し、これを使用してBlue Prism環境とAuthentication Serverの間でユーザーをマッピングして
-
管理者としてBlue Prism Hubにログインします。
- プロファイルアイコンをクリックして設定画面を開き、ユーザー管理で[サービスアカウント]をクリックします。
-
[サービスアカウント]画面で、[アカウントを追加]をクリックします。
-
クライアントアプリケーションのIDとAuthentication Serverデータベースのクライアントの名前を入力します。
-
[許可]で[Authentication Server API]を選択します。
-
[サービスアカウントを作成]をクリックします。
[サービスアカウントを追加]画面に、生成されたシークレットが表示されます。
これは、サービスアカウントがAuthentication Server APIに対して認証済みリクエストを許可するため、Blue Prismアプリケーションサーバー内でクライアントの詳細を構成するときに必要です。
-
[クリップボードにコピー]アイコンをクリックして、生成されたシークレットをクリップボードにコピーしておくと、後でBlue Prismサーバー構成の詳細画面にコピーできます。
サービスアカウントの詳細については、「Hub管理者ガイド」を参照してください。
Authentication Serverを使用するようにBlue Prism環境を構成する
以下のセクションでは、Blue Prismインタラクティブクライアントを使用して、Authentication Serverを使用するようにBlue Prism環境を構成するについて説明します。
[Authentication Server経由のユーザーログイン]オプションは、Blue PrismユーザーがAuthentication Serverを介して認証するよう構成されている場合のみ選択する必要があります。Authentication Serverを有効にすると、Blue Prismに直接アクセスするユーザーはすべてAuthentication Serverを経由することになり、正しく構成されていない場合、ユーザーはログインできなくなります。Authentication Serverの有効化後にもデータベースに直接接続してBlue Prismにログイン可能なBlue Prismネイティブ管理者ユーザーをシステム内に確保するようにしてください。
-
管理者としてBlue Prismインタラクティブクライアントにログインします。
-
[システム] > [セキュリティ - サインオン設定]の順に選択します。
-
[Authentication Server URL]フィールドに、https://に続けて、Authentication Serverのインストール時に構成されたホスト名を入力します。
Authentication ServerのURLは、Internet Information Services(IIS)マネージャーの[サイト] > [Blue Prism – Authentication Server] > [サイトバインディング] > [ホスト名]にあります。これは、インストール後にBlue Prism Hubにログインするために使用するURLでもあります。
-
[Authentication Server経由のユーザーログイン]オプションが選択されていないことを確認します。
-
[適用]をクリックします。
Blue Prismアプリケーションサーバーを構成する
この設定は、Blue Prismサーバー構成の詳細画面の[Authentication Server統合]タブで行います。
- Blue Prismアプリケーションサーバー(C:\Program Files\Blue Prism Limited\Blue Prism AutomateのBPServer.exe)を起動します。
- サーバー構成を開くには、[現在の構成]ドロップダウンから該当する環境を選択し、[編集]をクリックします。
-
[Authentication Server統合]タブで、次の操作を行います。
-
Blue Prism Hubをインストールするときに構成したブローカー設定を入力します。
- アドレス – rabbitmq://<host>:<port>/という形式のRabbitMQアドレス
- ユーザー名 – RabbitMQのユーザー名
- パスワード – RabbitMQのパスワード
-
クライアントの詳細を入力します。これらはユーザーとサービスアカウントの同期や、「Hubでサービスアカウントを作成する 」で構成したBlue Prismの役割にAuthentication Serverユーザーを追加するなど、Authentication Server APIを直接呼び出すときに使用されます。
- クライアントID – Blue PrismがAuthentication Serverと通信するために使用するサービスアカウントのクライアントID。
- クライアントシークレット – Blue PrismがAuthentication Serverとの通信に使用する、サービスアカウントによって生成されるクライアントシークレットキー。
Hub 4.7以降では、クライアントIDの大文字と小文字が区別されます。サービスアカウントで定義されているものと同じ大文字/小文字でクライアントIDを入力する必要があります。
-
[テスト接続]をクリックして、入力した詳細が有効であることを確認します。
ユーザーマッピングが完了するまで、[接続を有効化]を選択しないでください。ユーザーマッピングが完了したら、変更を保存して接続を有効にできます。
-
[保存]をクリックして設定を適用します。
-
Authentication Server経由で認証するようにBlue Prismユーザーを構成する
新しいBlue Prism環境
Authentication Serverを使用するために新しいBlue Prism環境を構成する場合は、まずAuthentication ServerユーザーをBlue Prism Hubで作成してから(詳細は「Hub管理者ガイド」を参照)、Blue Prismの役割に割り当ててBlue Prismに追加する必要があります。
1人以上のAuthentication ServerユーザーをBlue Prismの役割に追加するには:
- Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - ユーザーの役割]に移動します。
-
リストから役割を選択し、必要に応じて関連する許可を編集します。
-
[役割メンバーシップを管理]をクリックします。
[役割メンバーシップ]画面が表示されます。
-
[追加]をクリックします。
[ユーザーを追加]ダイアログが表示されます。
-
選択した役割に追加するAuthentication Serverユーザーを選択するか、検索ボックスを使用して検索し、[OK]をクリックします。
追加されたAuthentication Serverユーザーが[役割メンバーシップ]ダイアログに表示されます。
-
変更を保存するには、[OK]をクリックします。
HubでActive Directory認証を使用するように構成されたAuthentication Serverユーザーは、Active Directoryセキュリティグループメンバーシップに基づいてBlue Prismに追加することもできます。詳細については、「セキュリティグループメンバーシップに基づいてBlue PrismにActive Directoryユーザーを追加する」「」を参照してください。
既存のBlue Prism環境
-
Hubユーザーアカウントをまだ持っていない既存のBlue Prismネイティブユーザー向けに、Hubにネイティブユーザーアカウントを作成します。これにより、Blue PrismネイティブユーザーはAuthentication Serverを使用してBlue Prismインタラクティブクライアントで認証できます。
-
両方のシステムにすでに存在するネイティブユーザーのアカウントをリンクして、これらのアカウントがリンクされ、両方のデータベースにアクセスできることを確認します。
マッピングツールを使用してユーザーをマッピングするには、Authentication Server - マップユーザー許可が必要です。
マッピングツールは、次のシナリオでは使用できません。
- Authentication ServerユーザーをBlue Prismに自動的に追加するには - Authentication Serverユーザーは、Blue Prismの役割に割り当てられた時点でのみBlue Prismに追加されます。詳細については「新しいBlue Prism環境」を参照してください。
- Blue Prism Active DirectoryユーザーをAuthentication Serverと同期するには – HubでActive Directory認証が構成されると、Authentication Server経由で初めてActive Directory認証を使用してサインインするBlue Prismユーザーは、Hubで自動的にアカウントが作成され、既存の役割でBlue Prismを引き続き使用できます。HubでActive Directoryユーザーを管理する方法の詳細については、「Hub管理者ガイド」を参照してください。
マッピングツールを使用してユーザーを追加する
マッピングを開始する前に、システムにBlue Prismのネイティブ管理者ユーザーが存在することを確認し、このユーザーをマッピングファイルから手動で削除してから、以下に示すマッピングプロセスを実行してください。これは、Authentication Serverまたはシステム構成に問題がある場合に、データベースへの直接接続によりログインできる管理者ユーザーが常に存在するようにするためです。
対応するHubユーザーアカウントをまだ持っていない既存のBlue PrismネイティブユーザーのアカウントをAuthentication Serverデータベースに作成する
- 管理者としてコマンドプロンプトを開き、AutomateC.exeを含むBlue Prismインストールディレクトリ(C:\Program Files\Blue Prism Limited\Blue Prism Automateなど)に移動します。
-
次のコマンドを実行して、マッピングに使用できるデータベース内のすべてのBlue Prismネイティブユーザーのリストを含むCSVテンプレートファイルを取得します。
コピーautomatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd>
-
Windows Explorerから出力ファイルを開き、追加する各Blue Prismユーザーの名、姓、メールアドレスを追加します。
追加の[名]、[姓]、[メールアドレス]フィールドは、Blue Prismに存在しないため、Authentication Serverでユーザーを作成するために追加する必要があります。
-
Authentication Server経由でログインすべきでないユーザーをファイルから削除します。少なくとも1人のネイティブ管理者ユーザーをファイルから削除し、データベースへの直接接続を使用してログインできるようにする必要があります。
ネイティブ認証を使用してランタイムリソース、AutomateCコマンド、またはWebサービスリクエストも認証する場合は、これらの認証に必要なネイティブユーザーアカウントもファイルから削除する必要があります。
-
CSVファイルを保存します。
-
コマンドプロンプトを管理者として開き、AutomateC.exeを含むBlue Prismインストールディレクトリに移動します。
-
次のコマンドを実行して、ユーザーマッピングを完了します。
コピーautomatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>
ここでは、
- <input CSV> – 保存したCSVファイルへのパス。
- <output CSV for errors> – マッピングプロセスにエラーが発生した場合に、自動的に作成されるファイルのパス。
- <admin username>および<admin password> – Blue Prismのネイティブ管理者ユーザーの認証情報。
-
<Blue Prism server connection name> – Blue Prismサーバー設定で設定されたBlue Prismサーバーの接続名。
例:
コマンドを実行するマシンがAuthentication Server Webサイトにアクセスできることを確認します。詳細については、「Authentication Serverのトラブルシューティング」を参照してください。
既存のBlue Prismユーザーを既存のAuthentication Serverユーザーにマッピングする
- 管理者としてコマンドプロンプトを開き、AutomateC.exeを含むBlue Prismインストールディレクトリ(C:\Program Files\Blue Prism Limited\Blue Prism Automateなど)に移動します。
-
次のコマンドを実行して、Blue Prismデータベースでマッピングに使用できるすべてのユーザーのリストを含むCSVテンプレートファイルを取得します。
コピーautomatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd>
-
次のコマンドを実行して、Authentication Serverデータベースでマッピングできるすべてのユーザーのリストを含むCSVテンプレートファイルを取得します。
コピーautomatec /getauthenticationservertemplateforusermapping {outputpath} /dbconname <Blue Prism Server connection name>
-
Windows Explorerから両方の出力ファイルを開き、マッピングする各Blue Prismユーザーに対応するAuthentication Serverユーザーを検索し、Blue Prismユーザー名をAuthentication Server出力ファイルにコピーします。
Blue Prismユーザー名とAuthentication ServerユーザーIDは、最低限必要です。Authentication Serverデータベースに必要な追加の[名]、[姓]、[メールアドレス]フィールドは、Authentication Serverユーザーに対してすでに存在している必要があります。
- Authentication Server出力ファイルからマッピングするべきでないユーザーを削除します。少なくとも1人のネイティブ管理者ユーザーをファイルから削除し、データベースへの直接接続を使用してログインできるようにする必要があります。また、ランタイムリソース、AutomateCコマンド、またはWebサービスリクエストの認証に必要なネイティブユーザーアカウントをファイルから削除することもできます。
- Authentication Serverの出力ファイルを保存します。
- コマンドプロンプトを管理者として開き、AutomateC.exeを含むBlue Prismインストールディレクトリに移動します。
-
次のコマンドを実行して、ユーザーマッピングを完了します。
コピーautomatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>
ここでは、
- <input CSV> – 保存したCSVファイルへのパス。
- <output CSV for errors> – マッピングプロセスにエラーが発生した場合に、自動的に作成されるファイルのパス。
- <admin username>および<admin password> – Blue Prismのネイティブ管理者ユーザーの認証情報。
-
<Blue Prism server connection name> – Blue Prismサーバー設定で設定されたBlue Prismサーバーの接続名。
例:
コマンドを実行するマシンがAuthentication Server Webサイトにアクセスできることを確認します。詳細については、「Authentication Serverのトラブルシューティング」を参照してください。
存在しないBlue PrismユーザーにAuthentication Serverユーザーをマッピングすることはできません。管理者がCSVファイルにBlue Prismユーザー名を入力せず、Authentication ServerユーザーIDを入力すると、エラーメッセージが表示されます。
例:
ユーザーが正しくマッピングされたことを確認する
-
Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - ユーザー]に移動して、以下を確認します。
- Authentication Serverアカウントタイプは、Authentication Serverデータベースからマッピングされたネイティブユーザーに対して表示されます。
- Authentication Serverサービスアカウントアカウントタイプは、Authentication Serverデータベースからマッピングされたサービスアカウントに対して表示されます。
-
Hubで、[設定] > [ユーザー]に移動し、ユーザーリストを更新します。
Blue Prismからマッピングされたユーザーがリストに表示されます。
マッピングは1回しか実行できません。一度マッピングしたユーザーは、
マッピングツールを使用して作成されたユーザーには、初めてログインする前にパスワードを手動で設定するためのメールが送信されます。このステップが完了するまで、Blue Prismにアクセスすることはできません。ユーザーは、Hubでメール設定が構成されている場合にのみ、このメールを受信します。詳細については、「Hub管理者ガイド」を参照してください。
メッセージングサーバーへの接続を有効にする
- Blue Prismアプリケーションサーバー(C:\Program Files\Blue Prism Limited\Blue Prism AutomateのBPServer.exe)を起動します。
-
サーバー構成画面で、[停止]をクリックしてBPServerを停止します。
- サーバー構成の詳細画面の[Authentication Server統合]タブで、接続[接続を有効化]を選択し、[保存]をクリックします。
- サーバー構成画面に戻り、[開始]をクリックしてBPServerを起動します。
-
メッセージバスが実行中であることを確認します。次の行が表示されます。
[日付スタンプ]: メッセージバス開始
[日付スタンプ]: メッセージバス開始
Blue Prismサーバーが正常に実行され、接続が有効になっている場合、Hubで編集または削除されたユーザー、またはHubで作成、編集または削除されたサービスアカウントもBlue Prismで更新されます。Blue Prismサーバーがオフラインになるか、後でオンラインになった場合は、接続が回復すると同期が完了します。
-
メッセージキューが作成されたことを確認するには、「Blue Prism Hubのインストール」で構成したRabbitMQ URLをブラウザーで起動します(この例ではrabbitmq://localhost:15672/)。
-
[キュー]タブで、上記のAuthentication Server統合の設定で作成したばかりのキュー(blue-prism-app-server.user-synchronization.fresh-installなど)を探します。
ユーザーとサービスアカウントの手動同期
ユーザーとサービスアカウントの更新は、サービスが中断した場合に、Blue Prismインタラクティブクライアントの[セキュリティ - ユーザー]画面のメニューボタンから利用できる[ユーザーをAuthentication Serverと同期]オプションを使用して、RabbitMQ更新スケジュール外でBlue PrismとAuthentication Serverデータベース間で、手動で同期できます。
このオプションを使用するには、Authentication Server APIへの認証済みリクエストを行うために使用されるサービスアカウントのクライアント詳細で構成されたBlue Prismアプリケーションサーバーを介して、インタラクティブクライアントを接続する必要があります。
選択すると、次の更新が行われます。
-
新しいAuthentication ServerサービスアカウントがBlue Prismデータベースに追加されます。
Authentication Serverと同期すると、HubでBlue Prism API許可で設定されたサービスアカウントのみが[セキュリティ - ユーザー]画面に表示されます。
このオプションを使用する場合、Authentication ServerユーザーはBlue Prism環境に追加されないため、[役割メンバーシップ]画面でBlue Prismの役割に手動で割り当てる必要があります。詳細については、「新しいBlue Prism環境」を参照してください。この仕組みにより、Blue Prismへのアクセスを必要としない多数のAuthentication Serverユーザー(Interactユーザーなど)がBlue Prismデータベースに追加されないようにします。
- Authentication Serverデータベースで廃止されたユーザーおよびサービスアカウントは、Blue Prismデータベースでも廃止されます。
- Authentication Serverデータベースで廃止されていないユーザーおよびサービスアカウントは、Blue Prismデータベースでも廃止されません。
手動同期のみを使用するよう選択し、メッセージングサーバーへの接続を有効にしない場合、ユーザーアカウントがBlue Prismで削除されているがHubで廃止されていない場合は、手動で同期してユーザーアカウントを再アクティブ化してから、Authentication Serverを介してBlue Prismにログインする必要があります。
Blue Prism環境で、Authentication Serverログイン を有効にする
-
Blue Prismインタラクティブクライアントで、[システム] > [セキュリティ - サインオン設定]に移動します。
-
[][Authentication Server経由のユーザーログイン]を選択し、[適用]をクリックします。
-
Blue Prismインタラクティブクライアントからサインアウトします。
ログイン画面には、[Authentication Serverを使用してサインイン]オプションのみが表示されます。
-
[Authentication Serverを使用してサインイン]をクリックします。
Authentication Serverのログインページが表示されます。
-
ユーザー名とパスワードを入力し、[ログイン]をクリックします。
アクセストークンがバックグラウンドでAuthentication Serverから発行され、このアクセストークンを使用してBlue Prismインタラクティブクライアントに自動的にログインします。
最後にサインインした日時が、ユーザー名を右クリックして表示される[システム] > [セキュリティ - ユーザー]画面に表示されるようになりました。
-
Blue Prismからサインアウトし、Blue Prismアプリケーションサーバーを再起動して、変更がすべて適用されていることを確認します。
Authentication Serverを有効にすると、ネイティブアカウントをBlue Prismでローカルに追加、編集、削除できますが、これらのアカウントを使ってインタラクティブクライアントにログインすることはできません。これらのアカウントは、ランタイムリソース、AutomateCコマンド、ランタイムリソースで公開されているWebサービスを呼び出す際の認証にのみ使用できます。