Authentication Server 配置

以下是配置 Authentication Server 所需的步骤摘要：

在 Hub 中创建服务帐户，然后将其权限分配给 Authentication Server API，以颁发身份验证令牌。
配置您的 Blue Prism 环境以使用 Authentication Server。
配置 Blue Prism 应用程序服务器。
配置 Blue Prism 用户以通过 Authentication Server 进行身份验证。
启用到消息服务器的连接。
在 Blue Prism 环境中启用 Authentication Server 登录。

请先确保您已对您的 Blue Prism 数据库进行完全、可验证的备份，然后再为您的环境配置和启用 Authentication Server。如需了解详细信息，请参阅备份并还原整个系统。

在 Hub 中创建服务帐户

服务帐户使应用程序能够获得访问令牌并使用该令牌向 API 发出经过身份验证的请求。Blue Prism 使用服务帐户向 Authentication Server API 发出经过身份验证的请求，而第三方应用程序可以使用服务帐户向 Blue Prism API 发出经过身份验证的请求。

您需要创建 Blue Prism 用于与 Authentication Server 通信的服务帐户，而且该帐户将用于在 Blue Prism 环境和 Authentication Server 之间映射和同步用户。

以管理员身份登录 Blue Prism Hub。
点击您的基本信息图标打开“设置”屏幕，然后在“用户管理”下点击服务帐户。
在“服务帐户”屏幕上，点击“添加帐户”。
在 Authentication Server 数据库中输入客户端应用程序的 ID 和客户端的名称。
在“权限”下，选择“Authentication Server API”。
点击创建服务帐户。

此时会显示“添加服务帐户”屏幕和生成的密钥。

在 Blue Prism 应用程序服务器中配置客户端详细信息时，必须执行此操作，以允许此服务帐户向 Authentication Server API 发出身份验证请求。
点击“复制到剪贴板”图标，将生成的密钥复制到剪贴板，以便稍后将其复制到 Blue Prism 服务器配置详细信息屏幕上。

如需了解有关服务帐户的更多详细信息，请参阅 Hub 管理员指南。

配置 Blue Prism 以使用 Authentication Server

以下部分描述了如何使用 Blue Prism 交互式客户端通过步骤将 Blue Prism 环境配置为使用 Authentication Server：

只有当 Blue Prism 用户配置为通过 Authentication Server 进行身份验证后，才能选择通过 Authentication Server 进行用户登录选项。一旦启用了 Authentication Server，Blue Prism 的所有直接用户访问都将经由 Authentication Server，而如果未正确配置该服务器，用户将无法登录。请确保系统中仍然存在 Blue Prism 本地管理员用户，该用户在 Authentication Server 启用后可以通过直接数据库连接登录 Blue Prism。

以管理员身份登录 Blue Prism 交互式客户端。
导航到系统 > 安全—登录设置。
在“Authentication Server URL”字段中，输入 https://，后跟在 Authentication Server 安装期间配置的主机名。

要查找 Authentication Server URL，请打开 Internet Information Services (IIS) 管理器，然后转到“站点”>“Blue Prism—Authentication Server”>“网站绑定”>“主机名”。这也是您在安装后用于登录 Blue Prism Hub 的 URL。
确保通过 Authentication Server 进行用户登录选项未选中。
单击应用。

配置 Blue Prism 应用程序服务器

要将用户从 Authentication Server 添加到 Blue Prism 并同步用户数据，必须在 Blue Prism 应用程序服务器上配置为向 Authentication Server API 发出验证请求而创建的服务帐户的详细信息。此外，还可将 Blue Prism 应用程序服务器配置为处理由 Authentication Server 发布至消息队列的用户和服务帐户事件，这样一来，对 Authentication Server 用户和服务帐户的更新可应用到已映射的 Blue Prism 用户和服务帐户。

此配置在 Blue Prism“服务器配置详细信息”屏幕的“Authentication Server 集成”选项卡中进行。

启动 Blue Prism 应用程序服务器（C:\Program Files\Blue Prism Limited\Blue Prism Automate 中的 BPServer.exe）。
要打开“服务器配置”，请从“当前配置”下拉列表中选择相关环境，然后点击“编辑”。
在 Authentication Server 集成选项卡中：
1. 输入 Blue Prism Hub 安装中配置的代理设置：
  - 地址—格式为 rabbitmq://<host>:<port>/ 的 RabbitMQ 地址
  - 用户名—RabbitMQ 用户名
  - 密码—RabbitMQ 密码
  - 环境标识符—用于区分不同配置的 Blue Prism 环境（如适用）。此值只能包含以下字符的序列：字母、数字、连字符、下划线、句号和冒号。
2. 输入客户端详细信息。这些可在同步用户和服务帐户，以及在直接调用 Authentication Server API 时（例如将 Authentication Server 用户添加到 Blue Prism 角色）使用，例如在 Hub 中创建服务帐户中的配置。
  - 客户端 ID—Blue Prism 用于与 Authentication Server 通信的服务帐户的客户端 ID。
  - 客户端密钥—Blue Prism 用于与 Authentication Server 通信的服务帐户生成的客户端密钥。
  在 Hub 4.7 及更高版本中，客户端 ID 区分大小写。您必须确保在服务帐户中定义的相同情况下输入客户 ID。
3. 点击测试连接，确保输入的详细信息有效。
  
  在您完成用户映射之前，请勿选择启用连接。完成用户映射后，您可以保存变更并返回启用连接。
4. 点击保存应用设置。

将 Blue Prism 用户配置为通过 Authentication Server 进行身份验证。

新的 Blue Prism 环境

如果您正在配置新的 Blue Prism 环境以使用 Authentication Server，则必须首先在 Blue Prism Hub 中创建 Authentication Server 用户（如需了解更多详细信息，请参阅 Hub 管理员指南），然后将该用户分配到 Blue Prism 角色来添加到 Blue Prism。

将一个或多个 Authentication Server 用户添加到 Blue Prism 角色的步骤如下：

在 Blue Prism 交互式客户端中，导航到系统 >安全—用户角色。
从列表中选择一个角色，并根据需要编辑关联的权限。
点击管理角色成员身份。

此时会显示“角色成员身份”界面。
点击添加。

此时会显示“添加用户”对话框。
选择要添加到所选角色的 Authentication Server 用户（或使用搜索框搜索），然后单击确定。

已添加的 Authentication Server 用户现在显示在“角色成员身份”对话框中。
点击确定以保存更改。

配置为在 Hub 中使用 Active Directory 身份验证的 Authentication Server 用户也可以根据其 Active Directory 安全组成员身份添加到 Blue Prism。如需了解详细信息，请参阅根据 Active Directory 用户的安全组成员身份将其添加到 Blue Prism 。

现有 Blue Prism 环境

如果您正在更新 Blue Prism 环境，则必须将现有 Blue Prism 原生用户帐户与 Authentication Server 数据库同步，以便这些用户可以继续登录。为此，必须使用映射工具将 Blue Prism 和 Authentication Server 数据库中的现有原生用户与以下场景同步：

在 Hub 中为尚未拥有 Hub 用户帐户的现有 Blue Prism 原生用户创建原生用户帐户，以便 Blue Prism 原生用户可以使用 Authentication Server 在 Blue Prism 交互式客户端中进行身份验证。
为两个系统中都存在的原生用户关联帐户，以确保这些帐户关联在一起且可以访问两个数据库。

需要 Authentication Server—映射用户权限才能使用映射工具来映射用户。

映射工具不能用于以下场景：

将 Authentication Server 用户自动添加到 Blue Prism—Authentication Server 用户仅在分配至 Blue Prism 角色时才会添加到 Blue Prism。有关详细信息，请参阅新的 Blue Prism 环境。
将 Blue Prism Active Directory 用户与 Authentication Server 同步—在 Hub 中配置 Active Directory 身份验证后，首次通过 Authentication Server 使用 Active Directory 身份验证登录的 Blue Prism 用户将在 Hub 中自动创建帐户，并能够借助其现有角色继续使用 Blue Prism。如需详细了解如何在 Hub 中管理 Active Directory 用户，请参阅 Hub 管理员指南。

通过映射工具添加用户

在开始映射之前，请确保系统中存在 Blue Prism 原生管理员用户，并且先将此用户从映射文件中手动移除，然后执行下面概述的映射流程。这是为了确保在 Authentication Server 或系统配置出现任何问题时，始终有管理员用户可以通过直接数据库连接登录。

在 Authentication Server 数据库中为还没有相应 Hub 用户帐户的现有 Blue Prism 原生用户创建帐户

以管理员身份打开命令提示符，导航到包含 AutomateC.exe 的 Blue Prism 安装目录（例如 C:\Program Files\Blue Prism Limited\Blue Prism Automate）。
运行以下命令以获取 CSV 模板文件，其中包含数据库中所有可用于映射的 Blue Prism 原生用户的列表：
复制
```
automatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd> 
```
从 Windows 资源管理器中，打开输出文件，并为每个要添加的 Blue Prism 用户添加名字、姓氏和电子邮件地址。

Blue Prism 中不存在“名字”、“姓氏”和“电子邮件地址”字段，因此必须添加这些字段才能在 Authentication Server 中创建用户。
从文件中删除任何不应通过 Authentication Server 登录的用户。至少应从此文件中删除一个原生管理员用户，以便他们仍然可以通过直接数据库连接登录。

如果您也使用原生身份验证来验证运行时资源、AutomateC 命令或 Web 服务请求，则还应从此文件中移除验证这些内容所需的所有原生用户帐户。
保存 CSV 文件。
以管理员身份打开命令提示符，并导航至包含 AutomateC.exe 的 Blue Prism 安装目录。
运行以下命令以完成用户映射：
复制
```
automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>
```
其中：
- <输入 CSV>—CSV 文件的保存路径。
- <错误的输出 CSV>—在映射流程中出现错误时系统自动创建的文件的路径。
- <管理员用户名> 和 <管理员密码>—Blue Prism 中的原生管理员用户的凭据。
- <Blue Prism 服务器连接名称>—在Blue Prism 服务器设置中设置的 Blue Prism 服务器连接的名称。
例如：

确保您运行命令的计算机能够访问 Authentication Server 网站。有关更多详细信息，请参阅 Authentication Server 故障排除。

将现有 Blue Prism 用户映射到现有 Authentication Server 用户

以管理员身份打开命令提示符，导航到包含 AutomateC.exe 的 Blue Prism 安装目录（例如，C:\Program Files\Blue Prism Limited\Blue Prism Automate）。
运行以下命令以获取 CSV 模板文件，其中包含 Blue Prism 数据库中可用于映射的所有用户的列表：
复制
```
automatec /getblueprismtemplateforusermapping <pathtooutputfile> /user <adminuser> <adminpwd> 
```
运行以下命令以获取 CSV 模板文件，其中包含 Authentication Server 数据库中可用于映射的所有用户的列表：
复制
```
automatec /getauthenticationservertemplateforusermapping {outputpath} /dbconname <Blue Prism Server connection name>
```
从 Windows 资源管理器中，打开两个输出文件，为要映射的每个 Blue Prism 用户找到相应的 Authentication Server 用户，并将 Blue Prism 用户名复制到 Authentication Server 输出文件中。

至少要提供 Blue Prism 用户名以及 Authentication Server 用户 ID。Authentication Server 数据库中所需的其他“名字”、“姓氏”和“电子邮件地址”字段应已针对 Authentication Server 用户显示。
删除不应从 Authentication Server 输出文件映射的所有用户。至少应从此文件中删除一个原生管理员用户，以便他们仍然可以通过直接数据库连接登录。您可能还希望从此文件中删除验证运行时资源、AutomateC 命令或 Web 服务请求所需的所有原生用户帐户。
保存 Authentication Server 输出文件。
以管理员身份打开命令提示符，并导航至包含 AutomateC.exe 的 Blue Prism 安装目录。
运行以下命令以完成用户映射：
复制
```
automatec /mapauthenticationserverusers <input CSV> <output CSV for errors> /user <admin username> <admin password> /dbconname <Blue Prism Server connection name>
```
其中：
- <输入 CSV>—CSV 文件的保存路径。
- <错误的输出 CSV>—在映射流程中出现错误时系统自动创建的文件的路径。
- <管理员用户名> 和 <管理员密码>—Blue Prism 中的原生管理员用户的凭据。
- <Blue Prism 服务器连接名称>—在Blue Prism 服务器设置中设置的 Blue Prism 服务器连接的名称。
例如：

确保您运行命令的计算机能够访问 Authentication Server 网站。有关更多详细信息，请参阅 Authentication Server 故障排除。

Authentication Server 用户无法映射到不存在的 Blue Prism 用户。如果管理员未在 CSV 文件中输入 Blue Prism 用户名，而是输入 Authentication Server 用户 ID，则系统会显示错误消息。

例如：

CSV 文件示例

验证用户是否已正确映射

在 Blue Prism 交互式客户端中，导航到系统 > 安全—用户，并检查以下内容：
- 对于从 Authentication Server 数据库映射的原生用户，系统将显示“Authentication Server”帐户类型。
- 对于从 Authentication Server 数据库映射的服务帐户，系统将显示“Authentication Server 服务帐户”帐户类型。
在 Hub 中，导航到设置 > 用户，然后刷新用户列表。

从 Blue Prism 映射的用户现在显示在列表中。

您只能执行一次映射。映射用户后，一旦启用 Authentication Server，就无法再次映射用户。

通过映射工具创建的用户会在初次登录之前收到一封要求其手动设置密码的电子邮件。在执行此步骤之前，他们将无法访问 Blue Prism。如果用户的电子邮件设置已在 Hub 中配置，则用户将仅收到此电子邮件。如需了解更多详细信息，请参阅 Hub 用户指南。

启用到消息服务器的连接

启动 Blue Prism 应用程序服务器（C:\Program Files\Blue Prism Limited\Blue Prism Automate 中的 BPServer.exe）。
在“服务器配置”屏幕上，点击停止以停止 BPServer。
在“服务器配置详细信息”屏幕的“Authentication Server 集成”选项卡中，选择启用连接，然后点击保存。
返回“服务器配置”屏幕，然后点击“开始”以启动 BPServer。
检查消息总线是否正在运行。您应该会看到以下行：

[日期戳]： 正在启动消息总线

[日期戳]：消息总线已启动

如果 Blue Prism 服务器运行成功且连接已启用，则在 Hub 中编辑或删除的所有用户，或在 Hub 中创建、编辑或删除的服务帐户也将在 Blue Prism 中更新。如果 Blue Prism 服务器离线或稍后上线，同步将在连接恢复后完成。
要验证消息队列是否已创建，请按照 Blue Prism Hub 安装中的配置在浏览器中启动 RabbitMQ URL（本例中为 rabbitmq://localhost:15672/）。
在“队列”选项卡中，找到刚才通过上述“Authentication Server 集成”设置创建的队列，例如 blue-prism-app-server.user-synchronization.fresh-install。

手动同步用户和服务帐户

在所有服务中断的情况下，可以在 RabbitMQ 更新计划之外，在 Blue Prism 和 Authentication Server 数据库之间手动同步用户和服务帐户更新，方法是使用将用户与 Authentication Server 同步选项，该选项可从 Blue Prism 交互式客户端中的“安全—用户”屏幕的菜单中找到。

要使用此选项，交互式客户端必须通过 Blue Prism 应用程序服务器连接，该服务器已配置了用于向 Authentication Server API 发出验证请求的服务帐户的客户端详细信息。

选中后，将进行以下更新：

所有新的 Authentication Server 服务帐户都将添加到 Blue Prism 数据库。

与 Authentication Server 同步后，只有 Hub 中具有 Blue Prism API 权限的服务帐户才会显示在“安全—用户”屏幕上。

使用此选项时，Authentication Server 用户不会被添加到 Blue Prism 环境，必须在角色成员资格屏幕上手动将其分配给 Blue Prism 角色，请参阅新的 Blue Prism 环境。这是为了防止将需要访问 Blue Prism 的大量 Authentication Server 用户（例如 Interact 用户）添加到 Blue Prism 数据库中。
所有在 Authentication Server 数据库中停用的用户和服务帐户也将在 Blue Prism 数据库中停用。
所有在 Authentication Server 数据库中取消停用的用户和服务帐户也将在 Blue Prism 数据库中取消停用。

如果选择仅使用手动同步而不启用与消息服务器的连接，则当用户帐户已在 Blue Prism 中删除但未在 Hub 中停用时，将需要手动同步才能重新激活用户帐户，然后才能通过 Authentication Server 登录 Blue Prism。

在 Blue Prism 环境中启用 Authentication Server 登录

在 Blue Prism 交互式客户端中，导航到系统 > 安全—登录设置。
选择通过 Authentication Server 进行用户登录并点击应用。
从 Blue Prism 交互式客户端中注销。

登录屏幕现在仅显示“使用 Authentication Server 登录”选项。
点击“使用 Authentication Server 登录”。

您将转到 Authentication Server 登录页面。
输入您的用户名和密码，然后点击“登录”。

系统在后台通过 Authentication Server 颁发访问令牌，该令牌随后用于自动让您登录 Blue Prism 交互式客户端。

现在，右键点击您的用户名时，您上次登录的日期和时间将显示在“系统”>“安全—用户”屏幕上。
注销 Blue Prism 并重新启动 Blue Prism 应用程序服务器，以确保更改得到完全应用。

启用 Authentication Server 后，可以在 Blue Prism 中本地添加、编辑或删除原生帐户，但这些帐户将无法用于登录交互式客户端。这些帐户只能用于验证运行时资源和 AutomateC 命令，以及调用在运行时资源上公开的 Web 服务。

	单击此处查看所有 Blue Prism 产品的帮助。
© 2024 Blue Prism Limited