Hub mit Windows-Authentifizierung installieren

Das Konto, auf dem die Installation ausgeführt wird, muss über die entsprechenden SQL Server-Berechtigungen verfügen, um die Installation durchzuführen, also die Mitgliedschaft in der festen Serverrolle „sysadmin“ oder „dbcreator“.

Wenn die Windows-Authentifizierung während des Installationsprozesses ausgewählt wurde, muss ein Windows-Dienstkonto für die Anwendungspools und -dienste mit den erforderlichen Berechtigungen verwendet werden, um die Aufgaben und Prozesse während des normalen Betriebs auszuführen. Das Windows-Dienstkonto benötigt:

  • Die Fähigkeit, die SQL-Datenbankprozesse auszuführen, siehe Minimale SQL-Berechtigungen.
  • Berechtigungen für die erforderlichen Zertifikate.
  • Die Eigentümerschaft des IIS-Anwendungspools.
  • Die Eigentümerschaft der von Hub installierten Windows-Dienste.

Zuweisen des Windows-Dienstkontos als Eigentümer auf Zertifikaten

Dem Windows-Dienstkonto müssen Berechtigungen für die BluePrismCloud-Zertifikate gewährt werden. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie den Zertifikat-Manager auf dem Webserver. Dazu geben Sie Zertifikate in das Suchfeld in der Windows-Taskleiste ein und klicken dann auf Computerzertifikate verwalten.
  2. Erweitern Sie im Navigationsbereich Persönlich und klicken Sie auf Zertifikate.

  3. Befolgen Sie die folgenden Schritte für die BluePrismCloud_Data_Protection- und BluePrismCloud_IMS_JWT-Zertifikate:

    1. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben aus und klicken Sie auf Private Schlüssel verwalten ….

      Das Dialogfeld „Berechtigungen“ für das Zertifikat wird angezeigt.

    2. Klicken Sie auf Hinzufügen, geben Sie dann das Dienstkonto ein und klicken Sie auf OK.

    3. Wählen Sie das Dienstkonto in der Liste Gruppen- oder Benutzername aus und stellen Sie sicher, dass Vollzugriff in der Liste Berechtigungen für {Kontoname} ausgewählt ist.

    4. Klicken Sie auf OK.

      Das Dienstkonto hat nun Zugriff auf das Zertifikat.

Zuweisen eines Windows-Dienstkontos zum Anwendungspool

Standardmäßig werden die Anwendungspools mit der Identität „ApplicationPoolIdentity“ erstellt. Nachdem das Installationsprogramm abgeschlossen ist, muss das Windows-Dienstkonto zur Verwaltung der Anwendungspools zugewiesen werden. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie auf dem Webserver „Internet Information Services (IIS) Manager“.
  2. Erweitern Sie im Panel „Verbindungen“ den Host und wählen Sie Anwendungspools aus.

  3. Überprüfen Sie die Werte in der Spalte Identität.

    Die Identität für einen Anwendungspool sollte mit dem betreffenden Windows-Dienstkonto übereinstimmen.

  4. Bei Anwendungspools, bei denen ApplicationPoolIdentity in der Spalte Identität steht, klicken Sie mit der rechten Maustaste auf die Zeile und wählen Erweiterte Einstellungen... aus.

    Das Dialogfeld „Erweiterte Einstellungen“ wird angezeigt.

  5. Wählen Sie die Einstellung Identität aus und klicken Sie dann auf die Schaltfläche ... (Ellipse):

  6. Wählen Sie im Dialogfeld „Anwendungspoolidentität“ die Option Benutzerdefiniertes Konto aus und klicken Sie auf Einstellen….

    Das Dialogfeld „Anmeldedaten festlegen“ wird angezeigt.

  7. Geben Sie die Anmeldedaten für das erforderliche Windows-Dienstkonto ein und klicken Sie auf OK.
  8. Wiederholen Sie dies für alle Anwendungspools, die geändert werden müssen.
  9. Starten Sie den RabbitMQ-Dienst neu.
  10. Starten Sie alle Anwendungspools neu.
  11. Starten Sie IIS neu.

Stellen Sie bei Problemen mit dem Audit Service sicher, dass das Windows-Dienstkonto Zugriff auf den Audit Service Listener sowie auf die Audit Datenbank hat.

Zuweisen eines Windows-Dienstkontos zu einem Dienst

Das Windows-Dienstkonto muss zugewiesen werden, um die folgenden Dienste zu verwalten:

  • Blue Prism – Audit-Dienst-Listener
  • Blue Prism – Log Service
  • Blue Prism – Manager für die Formularübermittlung

Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie „Dienste“ auf dem Webserver.

  2. Klicken Sie mit der rechten Maustaste auf den Dienst und klicken Sie dann auf Eigenschaften.

  3. Wählen Sie auf der Registerkarte „Anmelden“ die Option Dieses Konto aus und geben Sie dann den Kontonamen ein oder klicken Sie auf Durchsuchen, um das Konto auszuwählen, das Sie verwenden möchten.

  4. Geben Sie das Passwort für das Konto ein und klicken Sie auf OK.
  5. Klicken Sie im Fenster „Dienste“ mit der rechten Maustaste auf den Dienst und klicken Sie dann auf Neu starten.
  6. Wiederholen Sie dies für die anderen Blue Prism Dienste.