cancel
Showing results for 
Search instead for 
Did you mean: 

エンドユーザに認証情報を入力してもらいたい

YukikoNakajima
Level 3
こんにちは。

Blue Prismを導入した場合の運用について考えていたのですが
プロセスで動かす社内システムのログイン情報をBlue Prismの認証情報で一元管理する場合
エンドユーザにパスワードを入力してもらうにはどのような方法があるでしょうか。

・インタラクティブクライアントにアクセスしてもらわなくてはならない
・編集できる認証情報を制限するにはリソースを使うしかない(ユーザ単位は不可)
ため
専用リソースを用意してリモートでアクセスしてもらうにしても
複数エンドユーザからのログイン情報入力を同時にさばけないのであまり現実的ではありません。

Webブラウザから更新できるといいのですが、Webサービスのドキュメントを見ると
「Blue Prism の情報を取得する(例:ワーク キュー、スケジュール、作業履歴の詳細)」
とだけなっていて、認証情報を更新するための Web APIはなさそうです。

ニーズは結構ありそうだと思うのですが
1から作るしかないでしょうか…

------------------------------
Yukiko Nakajima
------------------------------
9 REPLIES 9

Anonymous
Not applicable
直接的な回答になってないかもしれませんが、
RPA における認証情報というのは、ロボット専用のIDを発行して、
そのIDで処理をするのが一般的かと思います。
ロボット専用のIDは部署ごとに発行するなどし、
パスワードの更新も Blue Prism で自動的に行います。

運用が容易ですし、内部統制や監査の観点でも、整理がハッキリつきやすいと思います。

一方で、社内システムのログイン情報のパスワードを、エンドユーザーが入力するということは、
エンドユーザーがプロセスの処理に責任を持つ、というような仕組みになってしまうように思います。

その場合、エンドユーザーがプロセスの処理に立ち会ったり、
プロセスの処理結果をいちいち、確認するような行為が発生し、
自動化の効果が損なわれるように思います。
パスワードのリセットなども各人が行わなければならず、運用も煩雑です。

どうしてもエンドユーザーがパスワードを入力したい、ということであれば、
認証情報で一元管理はせず、プロセスの起動時に引数で与える形が良いように思いましたが、
皆さまはいかがでしょうか…?

------------------------------
市川 義規
Blue Prism 株式会社
エバンジェリスト
---
Yoshinori Ichikawa
Japan Evangelist
Blue Prism Ltd
Asia/Tokyo
------------------------------

リプライありがとうございます。

エンドユーザという書き方が悪かったですね。
ロボット専用のアカウントを払い出してもらう運用にはなっているのですが
システムによって主管が違うため、担当者がその都度変わってしまいます。
開発側で認証情報の内容は持ちたくないので直接入力してほしいのです。
(同じビルとは限らないのでリモートで)

パスワードの更新も Blue Prism で自動的に行います。

仮パスワードを発行してもらって
ロボットでランダムに生成したパスワードを使って更新するということですね。
これだと上の要件を満たしそうです。
ただ、システムによってはテスト環境にパスワード変更画面がなさそうなのと
手間とリスクが増えてしまうので、通すのは難しいかもしれません。

------------------------------
Yukiko Nakajima
------------------------------

ykoike
Level 6
東芝ITサービス 小池です。

>エンドユーザにパスワードを入力してもらうにはどのような方法があるでしょうか。
弊社ではシステム毎にログイン情報(クレデンシャル)がある場合、原則として
 ①各部門でロボット用のアカウントを作成し
 ②ロボット用アカウントのクレデンシャルをプロセスからオブジェクトに入力で渡し
 ③オブジェクトがそのクレデンシャルを使ってログイン操作をする
方法をとっています。
Blue Prismの認証情報機能を利用するケースは、以下のケースで使います。
 1.Runtime Rsourceのログイン、画面ロック解除
 2.そのプロセスの処理が認証情報を利用してクレデンシャルを取得した方が明らかに便利な場合
 3.ロボット開発を他部門に依頼したけど、クレデンシャルは教えたくない場合

プロセステンプレートを使うと分かるのですが、オブジェクトがクレデンシャルを取得するような
設計にはしない方が汎用性のあるオブジェクトになり再利用性が増して開発コストが下がります。

<追記>
>プロセスで動かす社内システムのログイン情報をBlue Prismの認証情報で一元管理する場合
この場合は、そのクレデンシャルのデータオーナ(クレデンシャルデータの運用をする人)はBlue Prismのシステムオーナとなるように感じるので、クレデンシャルを一元管理する場合、ロボット用のアカウント、クレデンシャル、Runtime Resource含めて包括的にBlue Prismのシステムオーナーが運用する方が良いように思います。(エンドユーザはロボット用のアカウントを意識せずRPAを利用できる感じです)

ご参考までに。

------------------------------
Yasuyuki Koike
Specialist
Toshiba IT-Services.corp
Asia/Tokyo
------------------------------

小池さん

>弊社ではシステム毎にログイン情報(クレデンシャル)がある場合
はい、同じような形を考えています。

>Blue Prismのシステムオーナーが運用する方が良いように思います。
はい、その通りで、運用はオーナーが行いますが
情報の入力のみエンドユーザ(ロボットIDを払い出した部門)で行ってほしいと思いました。
内容まで知る必要はないし、管理するとなるとリスクが発生するからです。

blue prismの場合、ロール次第でadmin以外が認証情報の管理画面にアクセスできるようなので
(エンドユーザに一時的にせよadmin権限を与えるわけにはいかないので)
行けそうな気がしたのですが、やはり間になにか用意する必要がありそうですね。

ありがとうございました。




------------------------------
Yukiko Nakajima
------------------------------

お世話になっております。Blue Prism の生井沢と申します。

直接の回答ではないですが、以下の画面キャプチャーのように認証情報 VBO を用いると Blue Prism へ登録している認証情報のパスワードを変更することが可能です。
2203.png

例えば、パスワード変更プロセスを用意し、そのプロセス実行時にユーザーさんにパスワードを指定いただくことで認証情報 VBO 経由でパスワードを変更するような対応は可能かと思います。その際にユーザーさんへコントロールルームが利用可能な権限を付与することでプロセス実行時にパスワードを入力してもらうことは可能かなと思います。(ユーザーさんにインタラクティブクライアントを操作いただくことになりますが…)

何かしら参考になれば幸いです。

------------------------------
Hiromi Namaizawa
Senior Solutions Consultant
Blue Prism
Asia/Tokyo
------------------------------

Anonymous
Not applicable
AutomateC で入力してもらってもいいかも。
(思い付きでスイマセン)

------------------------------
市川 義規
Blue Prism 株式会社
エバンジェリスト
---
Yoshinori Ichikawa
Japan Evangelist
Blue Prism Ltd
Asia/Tokyo
------------------------------

生井沢さん
市川さん

VBO 経由でパスワードを変更可能なのですね。
やるとしたらロボットでインタラクティブクライアントを操作だと
思っていました。
何らかの方法でパスワードを入力してもらって
それをトリガにAutomateCでロボットプロセス起動するようなこともできますね。

アイディアをありがとうございました。




------------------------------
Yukiko Nakajima
------------------------------

Anonymous
Not applicable
補足ですが、AutomateC のオプションにクレデンシャルの操作があるので、
これで出来るのでは・・・?と思ってました。
(すいません、出先でまだ試せてません💦
・・・まぁ、大差ないかもですが。。

 ---
/updatecredential <name> [/username <username>] [/password <password>] [/description <string>] [/expirydate <date>] [/invalid <flag>][/credentialtype <string>]

指定された名前を使用して見つかった既存の認証情報を更新します。
/userまたは/ssoスイッチのいずれかを使用してユーザー認証情報を提供する必要があります。また、「セキュリティ - 認証情報を管理」許可へのアクセスが必要です。

 ---

helpCommandLine.htm に記載があります。

------------------------------
市川 義規
Blue Prism 株式会社
エバンジェリスト
---
Yoshinori Ichikawa
Japan Evangelist
Blue Prism Ltd
Asia/Tokyo
------------------------------

市川さん

AutomateCでも認証情報を更新できるんですね。
情報ありがとうございます。いろいろ検討してみたいと思います。

そういえば、このコミュニティのダイジェストメールですが
去年は文字化けでさっぱり読めなかったのが
今年に入って読めるメールが届くようになりました。
(読めないメールも引き続き届くのが謎です)


------------------------------
Yukiko Nakajima
------------------------------