Configuración del servidor de ASCR

Los clientes interactivos ya no tienen conexiones directas a cada recurso de tiempo de ejecución cuando operan con Application Server Controlled Resources; sin embargo, hay cierta información que debe transmitirse de los recursos de tiempo de ejecución de manera oportuna. Para este fin, cada cliente interactivo con su servidor de aplicaciones establece una nueva conexión de devolución de llamada para permitir la transmisión de esta información. Después de que el cliente ha establecido una conexión con el servidor, descarga la información de devolución de llamada especificada en el servidor y la utiliza para establecer una conexión secundaria que el servidor utiliza para este propósito.

En esta sección se describe cómo configurar la conexión de devolución de llamada en la configuración del servidor de aplicaciones, a la que hace referencia Automate.config. Esta configuración se puede establecer de las siguientes maneras:

La configuración de ASCR se aplica a todos los clientes interactivos que se conectan a través de un servidor de aplicaciones con Blue Prism de la versión 7. Al actualizar un servidor de aplicaciones de Blue Prism de la versión 6 a la versión 7, la salida de la consola del servidor mostrará un mensaje que informa al usuario que el modo de seguridad no puede ser ninguno. Esto es para asegurarse de que los ajustes de ASCR estén configurados, como se describe a continuación.

Para obtener orientación sobre la resolución de problemas potenciales que los usuarios pueden encontrar al usar ASCR, incluidos el registro, las conexiones y el equilibrio de carga de ASCR, consulte Resolución de problemas y registro de ASCR.

Configuración de ASCR a través del servidor de Blue Prism

Este procedimiento muestra cómo configurar ASCR en el servidor de Blue Prism y debe llevarse a cabo para todos los servidores de aplicaciones de Blue Prism.

  1. Abra BPServer.exe. De manera predeterminada, esto se encuentra en C:\Archivos de programa\Blue Prism Limited\Blue Prism Automate o posiblemente en C:\Archivos de programa (x86)\Blue Prism Limited\Blue Prism Automate\, según su entorno de instalación.
  2. Para abrir la configuración del servidor, seleccione el entorno relevante en Configuración actual y haga clic en Editar.

  3. Seleccione la pestaña Configuración de ASCR.

  4. En Configuración de protocolo, seleccione el método Protocolo de devolución de llamada requerido entre las siguientes opciones:

    gRPC

    Este es el canal de devolución de llamada predeterminado y requiere HTTP/2. El servidor de aplicaciones y todos los clientes interactivos que se conectan a él deben estar ejecutando Windows 11, Windows 10 o Windows Server 2016 o posterior.

    Esta es la opción recomendada.

    WCF

    Este canal de devolución de llamada es compatible con Windows 11, Windows 10 y Windows Server 2016 y versiones anteriores.

    WCF solo debe usarse si no se puede usar gRPC.

    Si selecciona esta opción y la cuenta de inicio de sesión de servicio no es un administrador local, deberá ejecutar los siguientes comandos para otorgar los permisos de usuario de la cuenta de inicio de sesión de servicio para iniciar la escucha con la configuración de puerto predeterminada:

    Si el nombre de host ASCR está en blanco, utilice el siguiente comando, que contiene un comodín:

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Si el nombre de host ASCR es explícito, utilice el siguiente comando e incluya el nombre de host:

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

    Para cualquiera de estos comandos, se debe utilizar el número de puerto de entrada del cliente. Los ejemplos anteriores muestran el número de puerto 80, que es el puerto predeterminado. Si está usando un puerto diferente, debe ingresar el número de puerto correcto.

  5. En Configuración de enlace, escriba el Nombre de host para el canal al que desea enlazar.

    Este es el nombre de host del servidor de aplicaciones que utilizarán los clientes para conectarse al servidor de aplicaciones con el fin de establecer la conexión de devolución de llamada. El nombre de host debe configurarse de manera que cuando se utilice desde los clientes interactivos se resuelva al servidor de aplicaciones en el puerto configurado.

  6. Si utiliza un equilibrador de carga, ingrese el Nombre del equilibrador de carga requerido. Si no se ingresa el nombre de un equilibrador de carga, se utilizará el nombre de host para establecer la conexión de devolución de llamada.

  7. Ingrese el Puerto de entrada y el Puerto de salida requeridos para el protocolo de devolución de llamada seleccionado. Si se utiliza gRPC, solo se puede configurar el valor del puerto de entrada. Si se utiliza WCF, se pueden configurar ambos valores.

    Los puertos configurados deberán abrirse en todos los servidores de aplicaciones y clientes interactivos de Blue Prism.

    En general, se supone que los puertos salientes no se bloquean mediante la configuración del firewall en la mayoría de los entornos. Si en su entorno los puertos salientes están bloqueados, asegúrese de que el puerto 10000 (o el especificado para la comunicación ASCR si no se utiliza el valor predeterminado) no esté bloqueado según las reglas del firewall. Los puertos salientes del cliente interactivo y los puertos entrantes en el servidor de aplicaciones deben estar abiertos en el puerto configurado (10000 según lo predeterminado).

    Protocolo de devolución de llamada Máquina

    Puerto de entrada (escucha)

    Puerto de salida
    gRPC

    Servidor de aplicaciones
    Cliente interactivo

    10000 (predeterminado)
    N/C

    N/C

    Rango de puertos alto (49152–65535)
    WCF

    Servidor de aplicaciones

    Cliente interactivo

    10000 (predeterminado)
    80 (predeterminado)

    Rango de puertos alto (49152–65535)

    Rango de puertos alto (49152–65535)

    Al utilizar WCF, el siguiente comando debe ejecutarse en la máquina del usuario en la que está instalado el cliente interactivo. Esto se debe a que el puerto entrante debe estar vinculado al usuario en la máquina cliente si ese usuario no es un administrador local. Es posible que se requiera una excepción de entrada del firewall en la máquina cliente para el puerto especificado; en este ejemplo, 80.

    Copiar 
    netsh http add urlacl url=http://+:80/bpinstruct  user="domain\user"

    Donde el puerto de salida del servidor de aplicaciones 80 actúa como el puerto de entrada 80 para el cliente interactivo.

  8. En Configuración de seguridad, seleccione el Modo de seguridad que desea aplicar al canal dúplex de las siguientes opciones:

    Certificado

    Utilice un certificado SSL.

    Windows

    Autenticación y seguridad integradas de Windows. Esta opción solo está disponible para el protocolo de devolución de llamada de WCF.

    Inseguro

    No se protegerá el protocolo de devolución de llamada.

  9. Si selecciona el modo de seguridad Certificado, las siguientes opciones de certificado están habilitadas y deben completarse:

    Nombre del certificado

    Esto requiere un certificado configurado para el punto de conexión del nombre de host. Consulte los Requisitos del certificado para obtener más detalles.

    El nombre del certificado es el Nombre del asunto; sin embargo, en los casos en los que existen varios nombres de asunto similares, se puede usar el nombre de asunto Completamente distinguido.

    Nombre del almacén

    Seleccione el nombre del almacén del que se recuperará el certificado del servidor de aplicaciones.

    Nombre de certificado del cliente

    Esto requiere un certificado configurado para el punto de conexión del nombre de host. El certificado del cliente debe configurarse para el mismo punto de conexión en el servidor. Consulte los Requisitos del certificado para obtener más detalles.

    El nombre del certificado es el Nombre del asunto; sin embargo, en los casos en los que existen varios nombres de asunto similares, se puede usar el nombre de asunto Completamente distinguido.

    Nombre del almacén

    Seleccione el nombre del almacén del que se recuperará el certificado de cliente interactivo.
  10. Haga clic en Guardar para guardar los cambios y aplicar la configuración de seguridad.

Configuración de ASCR a través de línea de comando

La configuración de ASCR también se puede configurar a través de AutomateC mediante los siguientes comandos:

AutomateC/ascrconfig <servername> <conntype> [1 - grpc | 2 - wcf] <hostname> <port> <outbound port (wcf only)> <connectionmode> [1 - certificate | 2 - windows (solo wcf) | 3 - insecure] <certificatename> <clientcertificatename> <ascrservercertstore> <ascrclientcertstore> [/loadbalancername <string>]

Las opciones de certificado solo se requieren cuando <connectionmode> especifica certificados.

La siguiente tabla enumera comandos relevantes y valores posibles:

Comandos

Valores
<conntype>
  • 1 – grpc
  • 2 – wcf
<servername>

El nombre de la configuración del servidor en BPServer.exe. Este es el valor predeterminado.
<connectionmode>
  • 1 – certificate
  • 2 – windows
  • 3 – insecure

<port> <outbound port (wcf only)>

El valor del puerto saliente si se utiliza WCF. El valor predeterminado es 80.

/loadbalancername <string>

El nombre del equilibrador de carga si se utiliza. Este comando es opcional.

Para obtener más información sobre este y otros comandos, consulte la ayuda de la línea de comandos; para ello, escriba /help desde la línea de comandos de AutomateC.

Requisitos del certificado

El modo de seguridad con certificados cifra todos los datos intercambiados entre el cliente y el servidor. Dado que el canal ASCR utiliza mensajería WCF, el propósito principal de la seguridad con certificados es cifrar los eventos de datos de cambio de recursos de tiempo de ejecución en lugar de autenticar la identidad.

Si eligió usar el modo de seguridad Certificado, necesitará un servidor y un certificado de cliente, ambos deben existir en el almacén de certificados especificado en el servidor de aplicaciones. El certificado del cliente se proporcionará a pedido a un cliente de establecimiento de conexión.

El certificado o par de certificados debe cumplir con los siguientes requisitos:

Solo gRPC

  • Usar un proveedor de servicios criptográficos de RSA.
  • Los dos certificados deben incluir una clave privada exportable

WCF y gRPC

  • El certificado DNS debe alinearse con el nombre de host configurado.

  • Incluya una clave privada.

  • El certificado del cliente debe incluir una clave privada exportable.

  • Si es diferente, el servidor y el certificado del cliente deben firmarse con la misma autoridad.

Conexión directa de la base de datos a recursos de tiempo de ejecución

Para evitar posibles problemas de rendimiento provocados por un alto número de recursos, si un cliente interactivo se conecta directamente al servidor SQL en lugar de hacerlo a través de un servidor de aplicaciones, se aplican los siguientes controles durante el inicio de sesión:

  • Si se detectan menos de 200 recursos, se realizan las conexiones y no se muestran mensajes de advertencia.
  • Si se detectan entre 200 y 800 recursos, se muestra un mensaje que le pregunta al usuario si desea conectarse o no a los recursos. Si el usuario elige no conectarse, las conexiones a los recursos se deshabilitan.

    • Si el usuario elige no conectarse a los recursos, el estado de los recursos aún se puede ver en Control Room, pero el cliente interactivo en uso no puede indicarlo.

  • Si se detectan más de 800 recursos, la conexión automática se desactiva y aparece una advertencia que le notifica que no se ha realizado la conexión.

En Control Room del cliente interactivo de Blue Prism, la opción de menú Alternar conexiones se puede utilizar para activar o desactivar la conexión directa con los recursos de tiempo de ejecución, según sea necesario.