Configuration du serveur ASCR

Les clients interactifs n'ont plus de connexions directes à chaque ressource d'exécution lorsqu'ils fonctionnent avec Application Server Controlled Resources. Cependant, certaines informations doivent être transmises en temps opportun à partir des ressources d'exécution. À cette fin, une nouvelle connexion de rappel est établie par chaque client interactif avec son serveur d'applications pour permettre la transmission de ces informations. Une fois que le client a établi une connexion avec le serveur, il télécharge les informations de rappel spécifiées sur le serveur et les utilise pour établir une connexion secondaire que le serveur utilise à cette fin.

Cette section décrit comment configurer la connexion de rappel dans la configuration du serveur d'applications, qui est référencée par Automate.config. Cette configuration peut être définie de la manière suivante :

Les réglages ASCR sont appliqués à tous les clients interactifs qui se connectent via un serveur d'applications avec Blue Prism version 7. Lors de la mise à niveau d'un serveur d'applications Blue Prism de la version 6 vers la version 7, la sortie de la console du serveur affiche un message informant l'utilisateur que le mode de sécurité ne peut pas être aucun. Ceci permet de s'assurer que les réglages d'ASCR sont configurés, comme décrit ci-dessous.

Pour obtenir des conseils sur le dépannage des problèmes potentiels que les utilisateurs peuvent rencontrer lors de l'utilisation d'ASCR, y compris le logging, les connexions et l'équilibrage de charge ASCR, veuillez consulter Logging et dépannage d'ASCR.

Configuration d'ASCR via le serveur Blue Prism

Cette procédure montre comment configurer ASCR dans le serveur Blue Prism et doit être effectuée pour tous les serveurs d'applications Blue Prism.

  1. Ouvrez BPServer.exe. Par défaut, il se trouve dans C:\Program Files\Blue Prism Limited\Blue Prism Automate ou C:\Program Files (x86)\Blue Prism Limited\Blue Prism Automate\ en fonction de votre environnement d'installation.
  2. Pour ouvrir la configuration du serveur, sélectionnez l'environnement pertinent dans Configuration actuelle et cliquez sur Modifier.

  3. Sélectionnez l'onglet Réglages d'ASCR.

  4. Dans Réglages du protocole, sélectionnez la méthode Protocole de rappel requise parmi les options suivantes :

    gRPC

    Il s'agit du canal de rappel par défaut qui nécessite HTTP/2. Le serveur d'applications et tous les clients interactifs qui s'y connectent doivent exécuter Windows 11, Windows 10, ou Windows Server 2016 ou une version ultérieure.

    C'est l'option recommandée.

    WCF

    Ce canal de rappel prend en charge Windows 11, Windows 10, et Windows Server 2016 et versions antérieures.

    WCF doit être utilisé uniquement si gRPC ne peut pas être utilisé.

    Si vous sélectionnez cette option et que le compte de connexion au service n'est pas un administrateur local, vous devrez exécuter les commandes ci-dessous pour accorder à l'utilisateur du compte de connexion au service les permissions de démarrer l'écouteur à l'aide des réglages de port par défaut :

    Si le nom d'hôte ASCR est vide, utilisez la commande suivante, qui contient un caractère générique :

    netsh http add urlacl url=http://+:80/bpinstruct user=<domain>\<user>

    Si le nom d'hôte ASCR est explicite, utilisez la commande suivante et incluez le nom d'hôte :

    netsh http add urlacl url=http://<fqdn>:80/bpinstruct user=<domain>\<user>

    Pour l'une de ces commandes, il faut utiliser le numéro de port entrant du client. Les exemples ci-dessus montrent le port 80, qui est le numéro de port par défaut. Si vous en utilisez un autre, vous devez saisir le bon numéro de port.

  5. Sous Réglages de liaison, saisissez le nom d'hôte du canal auquel se lier.

    Il s'agit du nom d'hôte du serveur d'applications qui sera utilisé par les clients pour se connecter au serveur d'applications afin d'établir la connexion de rappel. Le nom d'hôte doit être configuré de sorte que lorsqu'il est utilisé à partir des clients interactifs, il soit résolu au serveur d'applications sur le port configuré.

  6. Si vous utilisez un équilibreur de charge, saisissez le nom d'équilibreur de charge requis . Si aucun nom d'équilibreur de charge n'est saisi, le nom d'hôte sera utilisé pour établir la connexion de rappel.

  7. Saisissez le port entrant et le port sortant requis pour le protocole de rappel sélectionné. Si vous utilisez gRPC, seule la valeur du port entrant est configurable. Si vous utilisez WCF, les deux valeurs sont configurables.

    Les ports configurés devront être ouverts sur tous les serveurs d'applications et clients interactifs Blue Prism.

    On suppose généralement que les ports sortants ne sont pas bloqués par les réglages du pare-feu dans la plupart des environnements. Si les ports sortants sont bloqués dans votre environnement, assurez-vous que le port 10 000 (ou le port spécifié pour la communication ASCR si la valeur par défaut n'est pas utilisée) n'est pas bloqué en vertu des règles de votre pare-feu. Les ports sortants du client interactif et les ports entrants sur le serveur d'applications doivent être ouverts sur le port configuré (10 000 par défaut).

    Protocole de rappel Machine

    Port entrant (d'écoute)

    Port sortant
    gRPC

    Serveur d'applications
    Client interactif

    10000 (par défaut)
    Indisponible

    Indisponible

    Plage de ports élevée (49152 – 65535)
    WCF

    Serveur d'applications

    Client interactif

    10000 (par défaut)
    80 (par défaut)

    Plage de ports élevée (49152 – 65535)

    Plage de ports élevée (49152 – 65535)

    Lorsque vous utilisez WCF, la commande ci-dessous doit être exécutée sur la machine de l'utilisateur sur laquelle le client interactif est installé. En effet, le port entrant doit être lié à l'utilisateur sur la machine client si cet utilisateur n'est pas un administrateur local. Une exception de pare-feu entrant peut être requise sur la machine cliente pour le port spécifié, 80 dans cet exemple.

    Copier 
    netsh http add urlacl url=http://+:80/bpinstruct  user="domain\user"

    Lorsque le port sortant 80 du serveur d'applications agit comme le port entrant 80 pour le client interactif.

  8. Sous Réglages de sécurité, sélectionnez le mode de sécurité que vous souhaitez appliquer au canal duplex parmi les options suivantes :

    Certificat

    Utilisez un certificat SSL (Secure Socket Layer).

    Windows

    Sécurité et authentification intégrées à Windows. Cette option est disponible pour le protocole de rappel WCF uniquement.

    Non sécurisé

    Le protocole de rappel ne sera pas sécurisé.

  9. Si vous sélectionnez le mode de sécurité Certificat, les options de certificat suivantes sont activées et doivent être complétées :

    Nom du certificat

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du serveur d'applications sera récupéré.

    Nom du certificat client

    Cela nécessite un certificat configuré pour le point de terminaison du nom d'hôte. Le certificat client doit être configuré pour le même point de terminaison sur le serveur. Voir Exigences en matière de certificat pour plus de détails.

    Le nom du certificat est le nom de l'objet. Cependant, dans les cas où plusieurs noms d'objet similaires existent, le nom d'objet distingué complet peut être utilisé.

    Nom du magasin

    Sélectionnez le nom du magasin à partir duquel le certificat du client interactif sera récupéré.
  10. Cliquez sur Enregistrer pour enregistrer les modifications et appliquer les réglages de sécurité.

Configuration d'ASCR via une ligne de commande

Les réglages d'ASCR peuvent également être configurés via AutomateC à l'aide des commandes suivantes :

AutomateC/ascrconfig <servername> <conntype> [1 - grpc | 2 - wcf] <hostname> <port> <outbound port (wcf only)> <connectionmode> [1 - certificate | 2 - windows (wcf only) | 3 - insecure] <certificatename> <clientcertificatename> <ascrservercertstore> <ascrclientcertstore> [/loadbalancername <string>]

Les options de certificat sont uniquement requises lorsque <connectionmode> spécifie des certificats.

Le tableau suivant répertorie les commandes pertinentes et les valeurs possibles :

Commandes

Valeurs
<conntype>
  • 1 – grpc
  • 2 – wcf
<servername>

Le nom de la configuration du serveur dans BPServer.exe. Default est la valeur par défaut.
<connectionmode>
  • 1 – certificate
  • 2 – windows
  • 3 – insecure

<port> <outbound port (wcf only)>

La valeur du port sortant si vous utilisez WCF. La valeur par défaut est 80.

/loadbalancername <string>

Le nom de l'équilibreur de charge (si utilisé). Cette commande est facultative.

Pour plus d'informations sur ces commandes et d'autres, consultez l'aide relative aux lignes de commande en saisissant /help dans une ligne de commande AutomateC.

Exigences en matière de certificat

Le mode de sécurité Certificat chiffre toutes les données échangées entre le client et le serveur. Étant donné que le canal ASCR utilise la messagerie WCF, l'objectif principal de la sécurité par certificat est de chiffrer les événements de données de changement de ressource d'exécution plutôt que d'authentifier l'identité.

Si vous avez choisi d'utiliser le mode de sécurité Certificat, vous aurez besoin d'un serveur et d'un certificat client, qui doivent tous deux exister dans le magasin de certificats spécifié sur le serveur d'applications. Le certificat client sera fourni à la demande à une connexion client établie.

Le certificat ou la paire de certificats doit répondre aux exigences suivantes :

gRPC uniquement

  • Utiliser un fournisseur de services cryptographiques RSA.
  • Les deux certificats doivent inclure une clé privée exportable.

WCF et gRPC

  • Le DNS du certificat doit s'aligner sur le nom d'hôte configuré.

  • Inclure une clé privée.

  • Le certificat client doit inclure une clé privée exportable.

  • S'ils sont différents, le serveur et le certificat client doivent être signés par rapport à la même autorité.

Connexion directe de la base de données aux ressources d'exécution

Pour éviter des problèmes de performances potentiels causés par un nombre élevé de ressources, si un client interactif se connecte directement au serveur SQL plutôt que via un serveur d'applications, les commandes suivantes sont appliquées lors de la connexion :

  • Si moins de 200 ressources sont détectées, les connexions sont établies et aucun message d'avertissement ne s'affiche.
  • Si entre 200 et 800 ressources sont détectées, un message s'affiche pour inviter l'utilisateur à choisir de se connecter ou non aux ressources. Si l'utilisateur choisit de ne pas se connecter, les connexions aux ressources sont désactivées.

    • Si l'utilisateur choisit de ne pas se connecter aux ressources, le statut des ressources peut toujours être affiché dans la salle de contrôle, mais elles ne peuvent pas être instruites par le client interactif en cours d'utilisation.

  • Si plus de 800 ressources sont détectées, la connexion automatique est désactivée et un avertissement s'affiche pour vous informer que la connexion n'a pas été établie.

Dans la salle de contrôle du client interactif Blue Prism, l'option de menu Basculer les connexions peut être utilisée pour activer ou désactiver la connexion directe aux ressources d'exécution, selon les besoins.