故障排除—单点登录

• 检查是否需要配置 Active Directory 超时限制—如果用户无法使用 Active Directory 登录或在登录流程中遇到性能问题，并且日志显示 System.TimeoutException：5 秒后超时的多个实例，则可以在数据库中设置 Active Directory 超时限制。为此，可从 Blue Prism 门户下载数据库脚本 BP‑9268‑SetActiveDirectoryQueryTimeout.sql。这将改变应用程序服务器的超时设置和指向 Blue Prism 数据库的所有 API 实例。在针对您的 Blue Prism 数据库运行此脚本之前备份数据库。

• 检查是否需要手动配置将在登录流程中查询的 Active Directory 域—要减少 Active Directory 缓存填充所需的时间，系统管理员可以手动配置将在登录流程中查询的可信 Active Directory 域。如果手动配置了至少一个 Active Directory 域，则这些设置将在登录过程中用于仅查询已配置的域，而不是以编程方式识别可以查询的域。为此，可从 Blue Prism 门户下载数据库脚本 BP‑9497‑ConfigureTrustedDomain.sql。

  将新域添加到 Active Directory 时，还必须将其添加到配置中，否则该域将被忽略，并且属于该域的用户在配置更新之前将无法登录。

  在运行脚本之前，请确保：

  • 您已备份 Blue Prism 数据库。
  • 手动配置符合以下一个或多个条件的任何 Active Directory 域（如果使用 Blue Prism 版本 7.1.0 或 7.1.1）：
    • 包含必须能够登录的用户。
    • 包含直接分配给 Blue Prism 角色的安全组。
    • 包含父级安全组，其中包括直接分配给 Blue Prism 角色的安全组。
  • 手动配置符合以下一个或多个条件的任何 Active Directory 域（如果使用 Blue Prism 版本 7.1.2 或更高版本）：
    • 包含需要使用 telnet 命令登录的用户，或使用用户登录名 (Pre-Windows 2000) 用户名格式作为 Web 服务公开的流程。例如，john，而不是 DOMAIN\john 或 [email protected]。
    • 包含别名用户主体名称 (UPN) 后缀与 Active Directory 域的域名系统 (DNS) 名称不同的用户。例如，corp.dir.company.com（DNS 名称）和 company.com（别名后缀），其中 [email protected] 是 UPN。要下载用于配置别名后缀 (BP-10681-ConfigureUpnSuffixes.sql) 的可选数据库脚本，请访问 Blue Prism 门户下载。
  • 已为每个需要查询的域提供了域主机名称、安全标识符 (SID) 和域所在的林的名称。

• 检查是否需要配置域缓存设置—为改善登录期间的性能，对于存储已发现的域的缓存，您可以通过设置刷新间隔和最长缓存持续时间来配置其行为。为此，可从 Blue Prism 门户下载数据库脚本 BP‑9654‑SetCacheDurationAndRefreshInterval.sql。在针对您的 Blue Prism 数据库运行此脚本之前备份数据库。

  • 刷新间隔是从 Active Directory 更新缓存数据的时间间隔，以分钟为单位。该值可以设置为 5 分钟到 1440 分钟。默认值为 5。

  • 最长缓存持续时间是数据在失效之前保存在缓存中的时间，以分钟为单位。该值可以设置为 5 分钟到 1440 分钟。如果使用 Blue Prism 版本 7.1.0 或 7.1.1，则默认值设置为 30；如果使用 Blue Prism 版本 7.1.2 或更高版本，则默认值设置为 1440。

    这两个设置必须成对配置，并且最长缓存持续时间必须设置为高于刷新间隔。如果未配置一项或两项设置，则将使用默认值。

  • 在以下情况中，缓存会填充到 Blue Prism：

    • 建立直接数据库连接。

      如果用户使用直接数据库连接进行登录，则可能无法在此缓存正被填充时成功登录。填充缓存所需的时间可能有所不同，但您可以手动配置将在登录的过程中查询的受信任 Active Directory 域，减少等待时间。

    • 启动 Blue Prism 应用程序服务器。
    • 在系统 > 安全 > 登录设置中启用 Active Directory 身份验证。

    除非已启用 Active Directory 身份验证，否则缓存不会在 Blue Prism 中填充。

    有关 Active Directory 域缓存的更多详细信息，请参阅此知识库文章。

• 检查是否需要配置域控制器名称映射—如果在搜索 Active Directory 用户或安全组时以及添加或编辑 Active Directory 域时显示以下错误消息和日志，则可能需要在数据库中配置域控制器名称映射：

  • 错误消息：无法保存域记录：凭据无效。请检查您的凭据。

  • 错误日志：用户名或密码不正确。如果 dc=example,dc=com 的域凭据有效，请提供域控制器映射记录。

    如果感兴趣的域位于与运行 Blue Prism 应用程序服务器的网络不同的网络上，则可能发生这种情况。如果您确定提供的凭据正确，则需要将 domainName 和 domainControllerName 参数添加到数据库，以便将在 domainName 中指定的域的 Active Directory 查询定向到 domainControllerName 中定义的端点。

    要这样做：

    1. 备份您的 Blue Prism 数据库。
    2. 从 Blue Prism 门户下载 BP-9420-AddDomainNamePreferences.sql 脚本，并在合适的编辑器中打开。

    3. 使用您自己的值更新每个所需域的 domainName 和 domainControllerName 名称参数的占位符值，例如：

       • domainName—Active Directory 域的名称或域的 DNS 名称，例如 company.com。
       • domainControllerName—域的 DNS 名称（例如 company.com）或域控制器的 FQDN（例如 server-id.company.com）。

    4. 针对 Blue Prism 数据库执行脚本。

必须提供 Windows 凭据

如果在通过 Active Directory 登录后，系统提示您输入 Windows 凭据，请检查您是否已针对运行每个 Blue Prism 服务器服务实例的 Active Directory 帐户配置服务主体名称 (SPN)，并为 Blue Prism交互式客户端中每个 BP 服务器连接配置了 Kerberos 领域。有关详细信息，请参阅 SPN 配置。

显示错误消息

此工作站与主域之间的信任关系失败。

此错误表示您的网络配置存在问题。它有时可能是脱节命名空间的症状（在该情况下，计算机的主域名系统 [DNS] 后缀与计算机所在的 DNS 域名不匹配）。

指定的域不存在或无法连接。

有时，计算机可能看起来是某个域的成员，但配置错误。如果这种情况只发生在特定的计算机上，而其他计算机没有问题，那么这可能就是问题所在。在这种情况下，从域中删除该特定计算机，然后重新连接它（需要由域管理员执行此操作）。

本地计算机不是 Active Directory 域的成员，或者无法连接域。

如果当您在多重身份验证环境，这表示您需要请求 Active Directory 域管理员将您添加到 Active Directory 域中，然后您才能配置 Active Directory 身份验证。

无法获取安全组 {安全组名称} 的成员，因为它包含作为外部安全主体或具有未解析的 SID 的成员。

某些 Active Directory 安全组（例如某些内置组）存在查询问题，因此不建议使用此类配置。虽然来自这些组的用户能够使用正确的权限登录，但某些 Blue Prism 屏幕可能无法准确显示成员资格信息。