Active Directory 域
Blue Prism 管理员能够查看、添加、编辑和删除存储在 Blue Prism 数据库中的 Active Directory 域和相关凭据。
要访问和管理 Blue Prism 中的 Active Directory 域,请导航至系统> 安全>登录设置 > Active Directory 域。
您只需为具有单向信任关系的多林环境添加新的 Active Directory 域。有关更多详细信息,请参阅域之间的信任关系。
先决条件
在添加 Active Directory 域之前,必须满足以下前提条件:
- 确保加密方案已配置—在 Blue Prim 数据库中,Active Directory 域凭据使用默认加密方案加密,因此在添加域之前必须配置加密方案。建议将加密密钥存储在应用程序服务器上。如需了解更多详细信息,请参阅加密方案。
-
确保 Blue Prism API 可访问加密密钥—如果加密密钥存储在应用程序服务器上,则必须采取其他步骤使加密密钥对 Blue Prism API 可用。这样可以确保跨多个域的 Active Directory 用户能够使用基于浏览器的 Control Room。要实现这一点,Blue Prism API 必须能够使用存储在应用程序服务器上的加密方案解密域凭据。如需了解更多详细信息,请参阅 API 配置。
添加域
-
在“登录设置—Active Directory 域”屏幕上,点击添加。
随即显示添加 Active Directory 域屏幕。
-
输入域名。
这必须是使用 subdomain.domain.com 或 domain.com 格式的完全限定域名 (FQDN)。
-
输入域的用户名和密码。用户名的格式必须为 [email protected] 或 DOMAIN\username。必须事先向系统管理员请求凭据。
Active Directory 域凭据存储在数据库中,且在存储之前已加密。为每个域存储的凭据必须是 Active Directory 服务帐户的凭据。服务帐户密码不得过期,服务帐户不得为用户帐户,并且应遵循 Active Directory 服务帐户最佳实践。您只需在具有单向信任的多林环境中输入域凭据。
-
点击添加。
域名和凭据将根据 Active Directory 域控制器进行验证,添加的域将显示在域列表中。
编辑域
-
在“登录设置—Active Directory 域”屏幕上,选择一个域,然后点击编辑。
您一次只能编辑一个域。
-
根据需要更改信息。必须重新输入密码。
无法编辑域名。
-
点击保存以应用更改。
删除域
-
在登录设置—Active Directory 域页面,选择所需的域,然后点击删除。
系统会显示一则消息,要求您确认删除。
- 点击删除即可删除选定的域。
域之间的信任关系
对于多林环境,必须在域之间配置信任关系。对于应受信任的域,它们可以是双向的,也可以是单向的。
例如:
- 在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是,域 B 中的用户无法访问域 A 中的资源。
-
在双向信任中,域 A 信任域 B,域 B 信任域 A。这意味着身份验证请求可以在两个域之间双向传递。
如果运行 Blue Prism 应用程序服务器的用户对其所属的域具有相关的读取权限,则双向信任不需要用户提供域凭据。在这些示例中,Blue Prism 服务器将驻留在域 B 中。当用户需要使用与运行 Blue Prism 应用程序服务器的帐户不同的帐户查询受信任域时,双向信任需要提供凭据。单向信任需要创建具有凭据的域。
支持以下信任类型:
-
外部
-
父-子
-
树-根
-
林
有关详细信息,请参阅支持的 Active Directory 基础设施。