トラブルシューティング - シングルサインオン

このページでは、Blue Prismのシングルサインオンを使用、管理するシステム管理者向けに、よくある問題と推奨される解決方法について説明します。

サインインできない、またはログイン中にパフォーマンスの問題が発生する

Active Directory経由のログインプロセス中にログインの失敗やパフォーマンスの問題が発生した場合、システム管理者は、以下のシナリオのいずれかが該当するかどうかを確認して適切なアクションを実行できます。

トラブルシューティングには、追加のデータベーススクリプトが必要になる場合があります。これらは、必要に応じてBlue Prismポータルからダウンロードできます。必要に応じて、以下のシナリオで適切なデータベーススクリプトを指定します。

  • ログアウトして再度ログインする - セキュリティグループを含むすべてのユーザー設定が正しい場合は、ログアウトしてからユーザーのマシンに再度ログオンしてみてください。ユーザーがActive Directoryグループに追加されると、次回ログオンしたときに変更が有効になります。

  • ユーザーのBlue Prismの役割とActive Directoryセキュリティグループメンバーシップを確認する - Blue Prism管理者グループのメンバー)であれば、通常、サインインできます。

    ユーザーが製品アップグレード後にサインインしようとしたときに、「ログインできませんでした。このユーザーにはBlue Prismで割り当てられた役割がありません」のエラーメッセージが表示された場合は、データベーススクリプトBP‑9497‑ConfigureTrustedDomain.sqlBlue Prismポータルからダウンロードし、こちらのナレッジベースの記事で概説されている手順に従います。

    ユーザーアカウントが作成され、直接またはセキュリティグループメンバーシップを介して少なくとも1つのBlue Prismの役割が割り当てられていることを確認します。

    まず[セキュリティ - ユーザー]画面でユーザーをActive Directoryと同期する必要があります。ユーザーアカウントがユーザーリストに表示されない場合は、アカウントがまだ作成されていないということを示しています。

    • ユーザーの役割がBlue Prismで管理されている場合は、ユーザーアカウントを作成し、必要な役割を割り当てる必要があります。
    • ユーザーの役割がActive Directoryで管理されている場合は、[システム] > [セキュリティ] > [ユーザーの役割]で、どのActive DirectoryグループがBlue Prismの役割にマッピングされているかを確認する必要があります。ユーザーは、少なくともこれらのグループのうちのいずれかのグループのメンバーである必要があります。そうでない場合、ネットワーク管理者は、ユーザーリストをActive Directoryと再び同期する前に、アカウントを適切なセキュリティグループに追加し、アカウントがユーザーリストに表示されることを確認する必要があります。
    • 役割がBlue PrismとActive Directoryの両方で管理されている場合は、ユーザーアカウントを作成し、必要に応じて、直接および/またはセキュリティグループメンバーシップを介して必要な役割を割り当てる必要があります。
  • Blue Prismアプリケーションサーバー接続を確認する – ユーザーが、有効でセキュアな接続モードでBlue Prismアプリケーションサーバーに接続していること、また現在ログインしているWindowsユーザーにActive Directoryユーザーレコードが存在することを確認します。
  • Active Directoryタイムアウト制限を構成する必要があるかどうかを確認する - ユーザーがActive Directoryを使用してサインインできないか、ログインプロセス中にパフォーマンスの問題が発生しており、ログにSystem.TimeoutException: Timeout after 5 secondsという複数のインスタンスが表示される場合、データベースでActive Directoryタイムアウト制限を設定できます。これを行うために、データベーススクリプトBP‑9268‑SetActiveDirectoryQueryTimeout.sqlBlue Prismポータルからダウンロードできます。これは、アプリケーションサーバーとBlue Prismデータベースを指定するすべてのAPIインスタンスのタイムアウト設定を変更します。Blue Prismデータベースに対してこのスクリプトを実行する前に、データベースをバックアップします。

  • ログインプロセス中に照会されるActive Directoryドメインを手動で構成する必要があるかどうかを確認する - システム管理者は、Active Directoryキャッシュへの入力時間を短縮するために、ログインプロセス中に照会する、信頼できるActive Directoryドメインを手動で構成できます。少なくとも1つのActive Directoryドメインが手動で構成された場合、これらの設定はログインのプロセス中に構成したドメインのみを照会するときに使用されます。プログラムを実行してドメインの特定は行いません。これを行うために、データベーススクリプトBP‑9497‑ConfigureTrustedDomain.sqlBlue Prismポータルからダウンロードできます。

    新しいドメインがActive Directoryに追加されたときは、構成への追加も必要になります。追加されない場合は無視され、このドメインに属するユーザーは、構成が更新されるまでログインできなくなります。

    スクリプトを実行する前に、次のことを確認してください。

    • Blue Prismデータベースのバックアップを取得済みである。
    •  以下の条件を1つ以上満たすActive Directoryドメインが手動で構成されている(Blue Prismバージョン7.1.0または7.1.1を使用している場合)。
      • ログイン可能である必要があるユーザーを含めます。
      • Blue Prismの役割に直接割り当てられたセキュリティグループを含む。
      • Blue Prismの役割に直接割り当てられているセキュリティグループを含む親セキュリティグループを含む。
    •  以下の条件を1つ以上満たすActive Directoryドメインが手動で構成されている(Blue Prismバージョン7.1.2以降を使用している場合)。
      • 「telnet」コマンドまたは、ユーザーログオン名(Windows 2000以前)のユーザー名形式を使用してWebサービスとして公開されているプロセスを使用してログインする必要があるユーザーが含まれること。たとえば、john(DOMAIN\johnや[email protected]でなく)。
      • エイリアスユーザープリンシパル名(UPN)のサフィックスがActive Directoryドメインのドメインネームシステム(DNS)名とは異なるユーザーを含むこと。たとえばcorp.dir.company.com(DNS名)とcompany.com(エイリアスサフィックス)の場合に、UPNが[email protected]のケースです。エイリアスサフィックス(BP-10681-ConfigureUpnSuffixes.sql)を構成するオプションのデータベーススクリプトをBlue Prismポータルからダウンロードできます。
    • ドメインホスト名、セキュリティ識別子(SID)、ドメインが存在するフォレストの名前が、照会が必要な各ドメインに対して提供されている。

  • ドメインのキャッシュ設定を構成する必要があるかどうかを確認する - ログイン時のパフォーマンスをさらに向上させるために、検出されたドメインを保存するキャッシュの動作を更新間隔と最大キャッシュ期間を設定して構成できます。これを行うために、データベーススクリプトBP‑9654‑SetCacheDurationAndRefreshInterval.sqlBlue Prismポータルからダウンロードできます。Blue Prismデータベースに対してこのスクリプトを実行する前に、データベースをバックアップします。

    • 更新間隔は、Active Directoryからキャッシュされたデータが更新される間隔(分)です。値は5~1440分の間で設定できます。デフォルト値は5です。

    • 最大キャッシュ期間は、データが無効化されるまでにキャッシュに保持される分単位の時間です。値は5~1440分の間で設定できます。デフォルト値はBlue Prismバージョン7.1.0または7.1.1を使用している場合は30に、Blue Prismバージョン7.1.2以降を使用している場合は1440に設定されます。

      この2つの設定はペアで構成する必要があり、最大キャッシュ期間は更新間隔よりも長く設定する必要があります。一方または両方の設定が構成されていない場合は、デフォルト値が使用されます。

  • ドメインコントローラー名のマッピングを構成する必要があるかどうかを確認する – Active Directoryユーザーまたはセキュリティグループの検索時およびActive Directoryドメインの追加または編集時に次のエラーメッセージとログが表示される場合、データベースでドメインコントローラー名のマッピングを構成する必要がある場合があります。

    • エラーメッセージ:ドメインレコードを保存できませんでした:認証情報が無効です。認証情報を確認してください。

    • エラーログ:ユーザー名またはパスワードが正しくありません。dc=example,dc=comのドメイン認証情報が有効な場合は、ドメインコントローラーのマッピングレコードを指定してください。

      これは、対象のドメインがBlue Prismアプリケーションサーバーが動作しているネットワークとは異なるネットワーク上にある場合に発生する可能性があります。提供された認証情報が正しいことが確認できたら、domainNameとdomainControllerNameパラメーターをデータベースに追加して、domainNameで指定したドメインに対するActive DirectoryのクエリをdomainControllerNameで定義したエンドポイントにリダイレクトする必要があります。

      これには、以下の操作を行います。

      1. Blue Prismデータベースをバックアップします。
      2. Blue PrismポータルからBP-9420-AddDomainNamePreferences.sqlスクリプトをダウンロードし、適切なエディターで開きます。

      3. domainNameパラメーターとdomainControllerNameパラメーターのプレースホルダー値を、必要なドメインごとに独自の値で更新します。例:

        • domainName – Active Directoryドメインの名前またはドメインのDNS名。例:company.com.
        • domainControllerName - ドメインのDNS名、たとえばcompany.comまたはドメイン内のドメインコントローラーのFQDN、たとえばserver-id.company.comです。

      4. Blue Prismデータベースに対してスクリプトを実行します。

Windowsの認証情報が要求される場合

Active Directory経由でサインインした後、Windowsの認証情報を入力するよう求められた場合は、各Blue Prismサーバーサービスインスタンスが実行されているActive Directoryアカウントに対してサービスプリンシパル名(SPN)が構成され、Blue Prismインタラクティブクライアントの各BPサーバー接続に対してKerberosレルムが構成されていることを確認してください。詳細については、「SPNの構成」「」を参照してください。

以下のエラーメッセージが表示される場合

このワークステーションとプライマリドメイン間の信頼関係に失敗しました。

このエラーはネットワーク構成に問題があることを示しています。名前空間の不整合がある可能性があります(コンピューターのプライマリドメインネームシステム(DNS)サフィックスとそのコンピューターが存在するDNSドメイン名が一致しない状態)。

「指定されたドメインが存在しないか、通信できません」。

マシンがドメインのメンバーであるように見えても、正しく構成されていないことがあります。他のマシンが問題なく動作するのに、特定のマシンでのみ発生する場合は、これが原因である場合があります。この場合、ドメインからマシンを削除して再接続します(ドメイン管理者がこのアクションを実行する必要があります)。

ローカルマシンがActive Directoryドメインのメンバーでないか、ドメインにアクセスできません。

にこのメッセージが表示された場合、Active Directory認証を構成する前に、Active Directoryドメイン管理者にActive Directoryドメインへの追加を依頼する必要があります。

Foreign Security Principalであるか未解決のSIDを持つメンバーが含まれているため、セキュリティグループ{Security Group Name}のメンバーを取得できません。

一部のActive Directoryセキュリティグループ(例:一部の組み込みグループ)はクエリの問題が発生しているため、こういったグループの設定はお勧めしていません。これらのグループのユーザーは正しい許可でサインインできますが、Blue Prismの画面の中にはメンバー情報を正確に表示できない場合があります。