Autenticación Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación >

Autenticación Azure AD

Introducción

Bizagi soporta la integración con servicios de administración de identidades, tales como Azure Active Directory (Azure AD).

Bizagi se integra con Azure AD para proveer inicios de sesión seguros y servicios de autorización, mientras ofrece la experiencia de Single Sign-On a través del protocolo OAuth con la extensión OpenId.

 

Esta sección describe cómo funciona esta integración y cómo configurarla.

 

AzureAD_Authentication_onprem

 

Cómo funciona la integración con Azure AD

Bizagi soporta el protocolo OpenID Connect cuando se conecta con Azure AD.

 

OpenID es un protocolo de autenticación construido sobre OAuth, para extender la especificación de autorización. Puede ser utilizado para registrar usuarios en aplicaciones web (en nuestro caso, en el Portal de trabajo).

A través de esta funcionalidad, se puede tercerizar el registro de usuarios, el inicio de sesión y otras experiencias de administración de identidades de sus aplicaciones web con Azure AD.

Esto le permite proveer capacidades de Single Sign-On mientras se usa OAuth.

 

Este mecanismo de autenticación presenta el concepto de id_token, que es un token de seguridad que permite la verificación de la identidad del usuario mientras obtiene parte de su información de perfil básica.

Como OpenID extiende de OAuth 2.0, permite que las aplicaciones adquieran access_tokens de forma segura.

Los access_tokens permiten acceder a recursos que son asegurados por un servidor de autorización.

 

El siguiente diagrama ilustra el flujo de comunicación entre Bizagi y Azure AD.

 

AzureAD_01

note_pin

Actualmente, los estándares soportados para este mecanismo son:

OpenID Connect v1.0 basado en el flujo de autorización de OAuth 2.0.

 

Aunque OAuth considere aspectos de autorización, estas definiciones aplican a los recursos. Esto quiere decir que para definiciones de derechos de acceso en el Portal del trabajo de Bizagi (p.ej. cuáles perfiles puede ver, trabajar o usar ciertas opciones de Bizagi), usted debe incluirlas en Bizagi.

 

Qué necesita hacer

Para configurar que Bizagi haga uso de Azure AD, por favor siga estos pasos:

 

1. Registre su proyecto Bizagi como una app autorizada en Azure AD.

2. Establezca el tipo de autenticación en Bizagi Studio para que se integre con Azure AD.

3. Sincronice los usuarios desde su Azure AD en Bizagi.

 

note_pin

Estos pasos para configurar la integración con Azure AD manejan detalles técnicos (p.ej. endpoints, credenciales autorizadas) que usualmente son manejados por un administrador de IT.

Por ello, esta configuración requerirá de un perfil con conocimiento en estos temas y que tenga acceso a la información previamente mencionada.

 

1. Registre su proyecto Bizagi como una app autorizada en Azure AD.

El primer paso es realizar la configuración necesaria para registrar Bizagi en Azure AD. Esto incluye introducir los endpoints de Bizagi mientras se utilizan los access keys adecuados la conexión.

 

1.1 Ingrese a los servicios de Azure

Acceda a la suscripción con el servicio Azure AD. Para hacer esto, se debe iniciar sesión en el portal clásico de Azure ubicado en https://manage.windowsazure.com.

 

AzureAD_portal01

 

Si se desea, se puede iniciar sesión en el nuevo portal y cambiar a la vista clásica:

 

Azure_Classic

 

1.2. Ingrese a Active Directory.

En el panel de la izquierda, seleccione la opción Active Directory para agregar una nueva aplicación.

 

AzureAD_05

 

1.3. Agregue new app.

Vaya a la pestaña de Aplicaciones (Applications) y haga clic en la opción Agregar (Add) que se encuentra en la parte inferior de la página.

 

AzureAD_06

 

 

1.4. Ingrese los detalles básicos de la aplicación

Asígnele un nombre a la aplicación y seleccione aplicación web (Web Application and/or Web API) como tipo.

 

AzureAD_07

 

Haga clic en el ícono AzureAD_icon1 para continuar.

 

1.5 Ingrese las propiedades de la URL de la aplicación

Agregue los detalles como se describe a continuación.

Sign-on URL: ingrese la URL base donde los usuarios acceden el ambiente de producción (Portal de trabajo) de Bizagi Cloud

Esta URL está especificada como: https://[nombre_compañía].bizagi.com/[nombre_proyecto]

APP ID URL:  Se puede utilizar la URL ingresada anteriormente.

 

Tenga en cuenta en reemplazar [nombre_compañía] y [nombre_proyecto] por los valores de su suscripción.

AzureAD_08

 

Para terminar, haga clic en el ícono AzureAD_icon2.

En este momento, Azure se tomará un momento para crear la nueva aplicación:

 

AzureAD_09

 

1.6 Cree un access key válido para la aplicación

Para lograr esto, se debe ir a la pestaña de configuración (Configure) de la aplicación que se acaba de crear.

 

AzureAD_10

 

Una vez allí, desplácese a la sección de llaves (keys) y cree una llave nueva para uso exclusivo del proyecto Bizagi, especificando una duración (duration).

 

note_pin

Recuerde que los access keys deben tener una duración, y por ello, debe encargarse de de mantener su validez.

 

Tenga en cuenta que necesita copiar el valor de Client ID (que será usado en la configuración de Bizagi) luego, haga clic en guardar (Save) para que la nueva llave sea generada.

Una vez generada, asegure su copia junto con la llave nueva y guárdelas (puede que no tenga acceso a ellas una vez abandone esta ventana):

 

AzureAD_11

 

1.7 Configure los endpoints de Bizagi en Azure AD

Desplácese hasta la sección de single sign on para configurar la URL de respuesta (Reply URL), de tal forma que Azure AD le envíe el código de autorización.

Utilice la siguiente URL para este parámetro: https:/[nombre_compañía].bizagi.com/[nombre_proyecto]/oauth/client/callback

 

Reemplace [nombre_compañía] y [nombre_proyecto] por los valores de su suscripción, como se utilizaron en la URL principal de su aplicación. No olvide agregar el sufijo /oauth/client/callback.

 

AzureAD_12

 

Cuando haya terminado, haga clic en Guardar (Save).

 

note_pin

Usualmente, los ajustes de autorización adecuados son establecidos por defecto, lo que significa que no se deben configurar. Las nuevas aplicaciones y sus llaves son concedidas con Sign in and read user profile de forma predeterminada.

 

Finalmente, asegúrese de hacer clic sobre View Endpoints para reunir las URLs que se necesitan configurar en Bizagi:

 

AzureAD_13

 

 

 

Una vez se haya configurado, se puede verificar los derechos de acceso para esta aplicación.

 

 

2. Establezca el tipo de autenticación en Bizagi Studio para que se integre con Azure AD.

En este punto, después de haber verificado el acceso adecuado en Azure AD, se deben ingresar los detalles del mismo en Bizagi.

 

2.1 Abra su proyecto en Bizagi Studio

Abra Bizagi Studio y cargue su proyecto (en ambiente de desarrollo).

 

Cloud_OpenProj

 

2.2 Vaya a los ajustes de seguridad

Haga clic en la vista de Experto y seleccione el módulo de Seguridad.

 

Cloud_SecurityModule

 

Haga clic en Autenticación en el panel del medio, e ingrese los siguientes parámetros de configuración en el panel de la derecha:

Tipo: OAuth2.

Cliente: Azure AD.

Haga clic en Actualizar.

 

AzureAD_Bizagi

 

Una vez se haya seleccionado OAuth2 y Azure AD, se mostrarán nuevos parámetros para este tipo de Auntenticación.

Para configurar estos parámetros, considere los siguientes detalles:

 

PROPIEDAD

VALOR

Id Cliente

Debe ser igual al Id Cliente (Client Id) registrado en Azure AD.

Llave secreta

Debe ser igual a la Llave secreta (Client Key) registrado en Azure AD.

Uri de redirección

Debe ser igual a la URI de respuesta (Response URI) registrado en Azure AD, que corresponde a la URL de respuesta (Reply URL) (https:/[nombre_compañía].bizagi.com/[nombre_proyecto]/oauth/client/callback).

Url para solicitar autorización

Debe coincidir con el Endpoint de Autorización OAuth (OAuth 2.0 Authorization endpoint) configurado en Azure AD.

Use la siguente URL:

https://login.microsoftonline.com/[tenant]/oauth2/authorize

 

Considere:

[tenant]: Debe especificar el Tenant id (basándose en la suscripción de Azure).

Url para solicitar tokens de acceso

Debe coincidir con el OAuth 2.0 Token endpoint configurado en Azure AD.

Use la siguente URL:

https://login.microsoftonline.com/[tenant]/oauth2/token

 

Considere:

[tenant]:  Debe especificar el Tenant id (basándose en la suscripción de Azure).

Url para cerrar sesión

Debe coincidir con el OAuth 2.0 Logout endpoint configurado en Azure AD.

Use la siguente URL:

https://login.microsoftonline.com/[tenant]/oauth2/logout?post_logout_redirect_uri=[homeRedirect]

 

Considere:

[tenant]:  Debe especificar el Tenant id (basándose en la suscripción de Azure).

[homeRedirect]: Debe especificar la URL para redireccionar después del cierre de sesión.

Generalmente, se utiliza la misma URL para iniciar sesión:

https://[nombre_compañía].bizagi.com/[nombre_proyecto]

 

3. Sincronice los usuarios desde su Azure AD en Bizagi

En este punto, la configuración está completa.

Sin embargo, antes de utilizar o probar la autenticación integrada, se necesita importar explícitamente los usuarios de Azure AD a Bizagi Cloud.

 

Después de lograr esto, la autenticación estará lista en tiempo de ejecución.

 

note_pin

Es su responsabilidad administrar usuarios, y por lo tanto, considere sincronizar los usuarios de Azure AD en Bizagi Cloud.

 

Autenticación en tiempo de ejecución

Una vez se hayan seguido estos pasos, estará lista la autenticación para los usuarios finales en tiempo de ejecución.

Los usuarios finales podrán iniciar sesión y podrán ser verificados utilizando un navegador para acceder al Portal de Trabajo de Bizagi (a través de https://[nombre_compañía].bizagi.com/[nombre_proyecto]):

 

AzureAD_AgilityURL

 

Cuando el Portal de Trabajo de Bizagi termine de cargar, redireccionará a los usuarios a la página de ingreso de Azure AD:

 

AzureAD_portal01

 

Después de iniciar sesión correctamente en Azure AD, el usuario será redireccionado al Portal de Trabajo de Bizagi con una sesión válida:

 

Cloud_WorkportalSession

 

 

note_pin

Si el usuario ya inició sesión correctamente, no será necesario que ingrese de nuevo sus credenciales de inicio de sesión.

Las capacidades de Single Sign-On se mantienen a nivel de navegador mientras se tenga una sesión valida autenticada (por ejemplo, la configuración de sesión inactiva también se toma de su configuración en Azure AD).