Blue Prismサーバー

Blue Prismは、2つの異なるネットワークアーキテクチャで稼働できます。

  • 直接アクセス - Blue Prismクライアントは、完全なBlue Prismクライアントソフトウェアを実行しているか、単にランタイムリソースとして動作しているかにかかわらず、Blue Prism環境を管理するデータベースに直接アクセスできます。このためには、各クライアントがデータベースの認証情報を保存し、また使用される認証モードによっては、ユーザーにBlue Prismデータベースへのフルアクセスを付与する必要がありますが、これは望ましくありません。
  • Blue Prismサーバー - Blue Prismクライアントとリソースは、中央のマシンで実行されているBPサーバーサービスに接続します。これはデータベースのプロキシとして機能し、データにアクセスして変更するために認証データを必要とするシステム内の唯一の場所になります。

以下の図は、直接アクセスとBlue Prismサーバーアーキテクチャの比較を示しています。

サーバー構成 - クリックすると大きな画像が表示されます

Blue PrismスケジューラーもBPサーバーサービス内で実行され、主にスケジューラーを実行する目的で動作しているBPサーバーインスタンスとの直接アクセスアーキテクチャを維持できます。

Blue Prismサーバーを構成する

Blue Prismサーバーサービスは、Blue Prismソフトウェアのインストールプロセスの一部としてインストールされます。これはスタートメニューの[インストール済みサービス]リスト( [すべてのプログラム]:[管理ツール]:[サービス])にあります。

サーバーは、Blue Prismのインストールディレクトリ(通常はC:\Program Files\Blue Prism Limited\Blue Prism Automate)にインストールされているBPServer.exeを実行することによって構成されます。

表示されるダイアログボックスでは、Blue Prismサーバーの複数の構成を指定できます。これにより、Blue Prismサーバーは異なるデータベースに接続したり、複数のクライアントをリッスンしたりできます。

BPサーバーを構成する

このダイアログは、Blue Prismスケジューラーの構成には使用されなくなりました。これは、システムマネージャーで環境全体に対して構成できるようになりました。

既存の構成を編集する

インストール時に、「Default」という名前が付いたBlue Prismサーバーのデフォルト構成が作成されます。サーバー構成ダイアログを開いたとき、この構成が[現在の構成]ドロップダウンで選択されています。

構成を編集するには、その構成を[現在の構成]ドロップダウンで選択して[編集]をクリックします。

これにより、[サーバー構成の詳細]ダイアログが開き、選択した構成用に保存されている現在の詳細が表示されます。

変更を認識させるには、Blue Prismサーバーを再起動する必要があります。

Blue Prismのインストール時にデフォルトでインストールされるBlue Prismサーバーサービスは、「Default」という名前のサーバー構成をロードしようとします。この構成が存在しない場合は起動しません。サービスを構成して別の構成をロードする方法については、「複数のBPサーバーを実行する」を参照してください。

新しい構成を作成する

新しい構成を作成するには、[新しい構成]をクリックします。[サーバー構成の詳細]ダイアログが開き、そこで構成を指定できます。

構成を削除する

構成を削除するには、その構成を[構成]ドロップダウンリストで選択して[削除]をクリックします。

構成が削除され、変更内容がすぐに保存されます。

サーバー構成の詳細

[サーバー構成の詳細]ダイアログでは、次の項目を指定できます。

詳細

名前

構成の名前。これは主にドキュメンタリーですが、複数のBPサーバーサービスを定義する際にサービスが使用するサーバー構成を指定するためにも使用されます。その場合、対応するサービスを簡単にインストールできるように、スペースや句読点を含まないシンプルな名前を使用することを推奨します。

接続

サーバー構成がサービスを提供しているBlue Prismデータベースに接続するために使用する必要がある接続構成。利用可能な接続は、ログインページからアクセスできるBlue Prismクライアントの[接続]ダイアログで構成されている接続から取得されます。

接続モード

以下の接続モードは、Blue PrismインタラクティブクライアントとBlue Prismサーバー間の接続に使用できます。

  • WCF:メッセージの暗号化とWindows認証を使用するSOAP
    • デバイス間に信頼関係が必要です。はい
    • Active Directoryをサポート:はい
    • サーバー側の証明書が必要ですか:いいえ

    • トランスポート:SOAP over HTTP

    メッセージコンテンツのみが暗号化されます。SOAPヘッダーとHTTPヘッダーは暗号化されないままであるため、複雑なルーティング、ロードバランサー、プロキシなどが容易になります。クライアントとサーバーIDは、Windows/Active Directoryを介して検証されます。

  • WCF:トランスポートの暗号化とWindows認証を使用するSOAP
    • デバイス間に信頼関係が必要です。はい
    • Active Directoryをサポート:はい
    • サーバー側の証明書が必要ですか:はい

    • トランスポート:SOAP over HTTPS

    SOAPヘッダーを含むトランスポートは、証明書ベースの暗号化を使用して暗号化されます。クライアントとサーバーIDは、Windows/Active Directoryを介して検証されます。

    Windows認証を使用する接続モードを選択した場合、各アプリケーションサーバーで実行している各Blue Prismサーバーサービスインスタンスごとに、サービスプリンシパル名(SPN)を構成する必要があります。詳細については、インストールガイドを参照してください。

  • WCF:トランスポートの暗号化を使用するSOAP
    • デバイス間に信頼関係が必要です。いいえ
    • Active Directoryをサポート:いいえ
    • サーバー側の証明書が必要ですか:はい
    • トランスポート:SOAP over HTTPS

    SOAPヘッダーを含むトランスポートは、証明書ベースの暗号化を使用して暗号化されます。サーバーIDは証明書を使用して検証されます。

  • .NET Remoting:セキュア
    • デバイス間に信頼関係が必要です。はい
    • Active Directoryをサポート:はい
    • サーバー側の証明書が必要ですか:いいえ
    • トランスポート:TcpChannel over SChannel

    後方互換用に提供されます。暗号化はクライアントとサーバーの間でネゴシエートされます。クライアントとサーバーIDは、Windows/Active Directoryを介して検証されます。

  • .NET Remoting:安全でない
    • デバイス間に信頼関係が必要です。いいえ
    • Active Directoryをサポート:いいえ
    • サーバー側の証明書が必要ですか:いいえ
    • トランスポート:TcpChannel

    推奨しません - 後方互換用に提供されます。接続セキュリティはサードパーティのソリューションによって全面的に提供される必要があります。

  • WCF:非セキュア
    • デバイス間に信頼関係が必要です。いいえ
    • Active Directoryをサポート:いいえ
    • サーバー側の証明書が必要ですか:いいえ
    • トランスポート:SOAP over HTTP

    推奨しません。接続セキュリティはサードパーティのソリューションによって全面的に提供される必要があります。

ホスト名またはIPアドレス

サーバーに複数のネットワークインターフェイスがある場合は、サーバーが接続をリッスンするために使用するIPアドレスを指定できます。WCF接続モードを使用する場合は、IPアドレスの代わりにホスト名を使用できます。

このフィールドを空白のままにすると、Blue Prismサーバーは任意のアドレスでリクエストを受け入れます。

サーバーポート

Blue Prismクライアントからの接続をリッスンするTCP/IPポート。複数のサーバーを同時に実行する場合は、サーバー構成ごとに異なるポートを指定する必要があります。そうしないと、サーバーが起動できなくなる可能性があります。

スケジューラーを無効化

このオプションをオンにすると、この構成を使用しているサーバーはスケジュールされたタスクを実行しようとしません。これは、単一のサーバーがスケジュールを実行する必要がある複数サーバー環境で役立つ場合があります。

証明書(WCF接続モードのみ)

証明書リスト

このパネルには、マシンで見つかった現在のポートの証明書バインディングのリストが表示されます。ポートのすべてのバインディングが表示されるため、ユーザーは選択したホスト名とIPアドレスのどちらに適用するかを判断できます。

このセクションから新しい証明書バインディングを追加できます。既存の証明書バインディングを表示または削除できます。

[新しい証明書バインディングを追加]ウィンドウ(WCF接続モードのみ)

新しい証明書バインディングは[証明書]タブから追加できます。

  • 証明書バインディングアドレス - このセクションでは、「ワイルドカード」IPアドレス、特定のIPアドレス、ホスト名のいずれかを使用して現在のポートに証明書バインディングを追加するかどうかを選択できます。オプションは、サーバーに対して指定されているIPアドレスまたはホスト名によって異なります。

    Windows 8より前のオペレーティングシステムでは、ホスト名を使用したバインディングはサポートされません。警告が表示され、代わりに[任意のIPアドレス]オプションを使用してバインディングを追加する必要があります。

  • ローカルマシン証明書ストア - 証明書を選択するストアを指定できます。ほとんどの場合、デフォルトの[自分の(個人の)]オプションを使用することを推奨します。[OK]をクリックすると、このストアから証明書を選択するように求められます。

キー保存

暗号化キー

Blue Prism内で定義されている暗号化方式に関連付けられているキーがデータベースに保持されていない場合は、そのキーを関連する方式の名前と一緒にサーバーキーストアに追加する必要があります。

キーが適切に配置され、サーバーが起動すると、接続されているBlue Prismインタラクティブクライアントは、このキーを使用してこの接続の認証情報やキュー項目データを暗号化および復号できるようになります。

個々のファイルに個別にキーを保存

このオプションがオンになっている場合、キー自体がメインサーバー構成とは別に保持されます。そのため、必要に応じてオペレーティングシステムの許可および暗号化ポリシーを使用してキーへのアクセスを制御できます。各キーは、指定されたフォルダー内の個別のファイルに書き込まれ、関連付けられている暗号化方式名に従って名前が付けられます。

指定されたフォルダーは、Blue Prism暗号化キーファイルを保持するためにのみ使用することを推奨します。複数のサーバー構成で同じフォルダーを使用することはできません。

サーバー構成を変更しているユーザーが1つ以上のキーファイルへの読み取りアクセス権を持っていない場合、不慮のキー損失を防ぐためにこのオプションは無効になります。

サーバーサービス

Windowsサービスリスト

ここには、ローカルマシンで検出されたBlue PrismサーバーWindowsサービスのリストが表示されます。このリストには、編集中の構成に関連付けられているサービスのみが表示されます。このリストには、サービスの設定とステータスに関する情報が含まれています。

さらに、サービスを実行するユーザーアカウントに、サーバー構成用に指定されたアドレスとポートをリッスンする許可があるかどうかに関する詳細も含まれます。[許可を管理]をクリックすると、これらの許可を管理できるウィンドウが開きます。

現在編集中の構成に関連するWindowsサービスがローカルマシンで検出されない場合は、[サービスを作成]をクリックするか、管理者特権のコマンドプロンプトのタブに表示されるコマンドテキストの例を実行して新しいサービスを作成できます。

URL許可を管理(WCF接続モードのみ)

URL許可リスト - このパネルには、マシンで見つかった構成のアドレスおよびポートのURL許可のリストが表示されます。

http URL用に設定されたURL許可は、httpsを使用するサーバーでは機能しません。その逆も同様です。http URLとhttps URL(URLはhttp/https部分以外は同一)の両方に個別のURL許可を設定することもできません。リストには、http URLとhttps URLの両方を使用する許可が含まれるため、競合する可能性があります。

このセクションから新しいURL許可を追加できます。既存の許可を編集または削除できます。

URL許可を追加/編集(WCF接続モードのみ)

URL許可は、[URL許可を管理]ダイアログから追加または編集できます。

  • URL - このセクションでは、「ワイルドカード」IPアドレス、サーバーで使用される特定のIPアドレスまたはホストのどれを使用してURL許可を追加するかを選択できます。利用可能なオプションは、サーバーに対して指定されているアドレスによって異なります。
  • ユーザー - マシンで検出されたWindowsサービスを実行するように設定されているユーザーアカウント(および編集時に既存のURL許可に属するその他のアカウント)は、ここで選択できます。

ログ

  • イベントログにサービスステータスメッセージを送信 - この構成でステータスメッセージをWindowsイベントログに記録するには、選択済みに構成します。
  • 詳細メッセージをログに記録 - このオプションを選択済みにすると、ステータスメッセージに加えて、すべての「マーシャリング」および「切断」メッセージがWindowsイベントログに記録されます。
  • トラフィック詳細をログに記録 - これを有効にすると、クライアントからのサーバー上のリモートオブジェクトインスタンスへのすべての呼び出しがログに記録されます。このオプションは、診断のためにのみ用意されています。

OK]をクリックすると変更が確定され、永久に保存されます。[キャンセル]をクリックすると破棄されます。

Data Gateways設定

  • データゲートウェイプロセスを有効にする - このサーバーのデータゲートウェイプロセスを有効にします。
  • 通信ポート - アプリケーションサーバーがデータゲートウェイプロセスを開始または停止するためのコマンドをリッスンするポートを入力します。

    このポートは、データゲートウェイエンジンを制御する目的で、同じ環境内の他のBlue Prismアプリケーションサーバーでも使用されます。すでにそのポートを使用しているアプリケーションサーバー上に別のプロセスがない限り、これはデフォルトポート(8101)のままにできます。

    ポート番号を変更する前に、アプリケーションサーバーを停止する必要があります。

  • ログデータゲートウェイのコンソールへの出力 - BPServerでコンソールログにデータゲートウェイの概要に関するメッセージを送信します。このデータは、Data Gatewaysの統合に関する潜在的な問題の診断に役立ちます。
  • トレースロギングを有効化 - 詳細なData Gatewaysロギングを有効にします。これを使用して、Blue PrismとData Gateways間の問題を詳しく診断できます。

  • データゲートウェイユーザーの詳細 - 次のオプションのいずれかを選択します。

    • 現在のユーザーとして実行 - データゲートウェイSQLユーザーでSQL Server認証を使用する場合、サービスはデータゲートウェイサービスのコンテキストで実行されます。SQLへのアクセスに使用される認証情報は、Blue Prismデータゲートウェイ構成を介して個別に提供する必要があります。詳細については、「Data Gatewaysプロセスを有効にする」「」を参照してください。

      Windows認証を使用している場合、データゲートウェイプロセスはBlue Prismアプリケーションサーバーサービスと同じユーザーコンテキストで実行されます。このオプションは、Windows認証を使用する場合にはお勧めしません。

    • 特定のユーザーとして実行 - Windows認証(統合セキュリティ)を使用している場合、このオプションにより、Blue Prismサーバーサービスとは異なるユーザーコンテキストでデータゲートウェイを実行できます。これは、Windows認証を使用する場合の推奨構成です。

保存]をクリックして設定を適用します。詳細については、「Data Gatewaysガイド」「」を参照してください。

ASCR設定

  1. BPServer.exeを開きます。このファイルはデフォルトで、C:\Program Files\Blue Prism Limited\Blue Prism AutomateまたはC:\Program Files (x86)\Blue Prism Limited\Blue Prism Automate\に格納されています(インストール環境に応じて異なる)。
  2. サーバー構成を開くには、[現在の構成]から該当する環境を選択し、[編集]をクリックします。

  3. ASCR設定]タブを選択します。

  4. [プロトコル設定]で、次のオプションから必要なコールバックプロトコルメソッドを選択します。

    gRPC

    これはデフォルトのコールバックチャネルで、HTTP/2が必要です。アプリケーションサーバーとそれに接続するすべてのインタラクティブクライアントは、Windows 11、Windows 10またはWindows Server 2016以降を実行している必要があります。

    これは推奨オプションです。

    WCF

    このコールバックチャネルは、Windows 11、Windows 10およびWindows Server 2016以前をサポートしています。

    WCFは、gRPCが使用できない場合にのみ使用してください。

    このオプションを選択し、サービスログインアカウントがローカル管理者でない場合は、以下のコマンドを実行して、デフォルトのポート設定を使用してリスナーを開始するためのユーザー権限をサービスログインアカウントに付与する必要があります。

    ASCRホスト名が空白の場合は、ワイルドカードを含む次のコマンドを使用します。

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    ASCRホスト名が明示的である場合は、次のコマンドを使用し、ホスト名を含めます。

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

  5. [バインド設定]で、バインドするチャネルのホスト名を入力します。

    これは、クライアントがコールバック接続を確立するためにアプリケーションサーバーの接続に使用するアプリケーションサーバーのホスト名です。このホスト名は、インタラクティブクライアントから使用したときに、構成されたポート上のアプリケーションサーバーに解決されるように構成する必要があります。

  6. 選択したコールバックプロトコルに必要なアウトバウンド/インバウンドポートを入力します。デフォルト値は10000です。

    WCFの場合、この値はアウトバウンド機能にのみ適用されます。インバウンド機能のデフォルトはポート80です。ポート80はインタラクティブクライアントで開かれ、構成可能ではありません。

  7. セキュリティ設定では、二重チャネルに適用するセキュリティモードを次のオプションから選択します。

    証明書

    SSL証明書を使用します。

    Windows

    Windows統合認証とセキュリティ。このオプションは、WCFコールバックプロトコルでのみ使用できます。

    安全でない

    コールバックプロトコルは保護されません。

  8. [証明書]セキュリティモードを選択すると、次の証明書オプションが有効になり、入力する必要があります。

    証明書名

    これには、ホスト名のエンドポイント用に構成された証明書が必要です。詳細については、「証明書の要件」を参照してください。

    証明書名はサブジェクト名ですが、類似したサブジェクト名が複数存在する場合は、完全識別サブジェクト名を使用できます。

    ストア名

    アプリケーションサーバー証明書を取得するストアの名前を選択します。

    クライアント証明書名

    これには、ホスト名のエンドポイント用に構成された証明書が必要です。クライアント証明書は、サーバー上の同じエンドポイントに構成されている必要があります。詳細については、「証明書の要件」を参照してください。

    証明書名はサブジェクト名ですが、類似したサブジェクト名が複数存在する場合は、完全識別サブジェクト名を使用できます。

    ストア名

    インタラクティブクライアント証明書を取得するストアの名前を選択します。
  9. 保存]をクリックすると変更内容が保存され、セキュリティ設定が適用されます。

Authentication Server統合

  1. Blue Prism Hubをインストールするときに構成したブローカー設定を入力します。

    • アドレス – rabbitmq://<host>:<port>/という形式のRabbitMQアドレス
    • ユーザー名 – RabbitMQのユーザー名
    • パスワード – RabbitMQのパスワード

    • 環境識別子 – 構成されたさまざまなBlue Prism環境を区別するために使用されます(該当する場合)。この値には、文字、数字、ハイフン、アンダースコア、ピリオド、コロンの文字列のみを使用できます。

  2. クライアントの詳細を入力します。これらはユーザーとサービスアカウントの同期や、「Hubでサービスアカウントを作成する 」で構成したBlue Prismの役割にAuthentication Serverユーザーを追加するなど、Authentication Server APIを直接呼び出すときに使用されます。

    • クライアントID – Blue PrismがAuthentication Serverと通信するために使用するサービスアカウントのクライアントID。
    • クライアントシークレット – Blue PrismがAuthentication Serverとの通信に使用する、サービスアカウントによって生成されるクライアントシークレットキー。

    Hub 4.7以降では、クライアントIDの大文字と小文字が区別されます。サービスアカウントで定義されているものと同じ大文字/小文字でクライアントIDを入力する必要があります。

  3. テスト接続]をクリックして、入力した詳細が有効であることを確認します。

    ユーザーマッピングが完了するまで、[接続を有効化]を選択しないでください。ユーザーマッピングが完了したら、変更を保存して接続を有効にできます。

  4. 保存]をクリックして設定を適用します。

詳細については、「Authentication Serverガイド」「」を参照してください。

Blue Prismサーバーを実行する

サーバーは構成プログラムから直接実行できます。これを行うには、[構成]ドロップダウンで目的のサーバー構成の詳細を選択して[開始]ボタンをクリックします。サーバーは、プログラムが閉じるか、[停止]ボタンがクリックされるまで実行されます。

または、Windowsサービスの形で実行することもできます。[サービス]管理ツールを開き、[Blue Prismサーバー]エントリを見つけます。

ここから、サービスを開始または停止できます。サービスは、Windowsが起動するたびに自動的に開始するようにしたり、エラーが発生した場合は再起動するように構成したりできます。デフォルトでは、「Default」という名前の構成を使用します。この構成の名前が変更されるか、この構成が削除された場合、サービスは開始されません。

複数のBlue Prismサーバーを実行する

同じマシン上で複数のBlue Prismサーバーインスタンスを同時に実行して、複数の異なるデータベースに接続したり、異なるクライアントにサービスを提供したりできます。

サーバー構成プログラムから実行している場合は、サーバー構成プログラムを複数回開いて異なる構成を選択し、それぞれを個別に開始できます。

サービスとして実行している場合にこれを有効にするには、複数のサービスを設定する必要があります。

サービスは、Microsoftの「サービスコントロール」プログラムを使用して構成できます。サービスコントロール(SC)プログラムの詳細については、Microsoftナレッジベース記事Q251192を参照してください。

構成ダイアログで必要な構成を構成したら、次のコマンドを実行してその構成用のサービスを登録できます。

sc create {SERVICENAME} binPath= "C:\Program Files\Blue Prism Limited\Blue Prism Automate\BPServerService.exe {CONFIGURATIONNAME}"

{SERVICENAME}は使用するサービスの名前で、{CONFIGURATIONNAME}はそのサービスが使用するサーバー構成の名前です。

「binPath」と等号の間にスペースがないことに注意してください。また、その後の等号とパスの間のスペースは重要です。

目的のサービス名にスペース文字が含まれている場合は、引用符で囲む必要があります。次に例を示します。

sc create "BP Server II" binPath= ...etc...

構成名にはスペースや引用符を含めないでください。サービスコントロールプログラムが正しく参照できなくなります。

Blue Prismサーバーに接続する

Blue Prismサーバーインスタンスと通信可能な接続を構成するには、「接続」を参照してください。