Autenticación Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación >

Autenticación Azure AD

Introducción

Bizagi soporta la integración con servicios manejadores de identidad como Azure Active Directory (Azure AD).

Bizagi se integra con Azure AD para ofrecer una opción segura de ingreso al Portal de trabajo y para que cerciorárse que los usuarios estén autorizados, así mismo mientras se ofrece una experiencia de Single Sign-On mediante el uso del protocolo <%TERMS_OAUTH%> y su extension <%TERMS_OPENID%>.

 

Esta sección describe cómo funciona esta integración y cómo se debe configurar.

 

AzureAD_Authentication

 

Cómo funciona la integración con Azure AD

<%TERMS_OPENID%> es un protocolo de autenticación, construido sobre <%TERMS_OAUTH%> para extender la especificación de autorización.

Puede ser utilizado para autenticar seguramente a los usuarios en aplicaciones web (en este caso, el Portal de Trabajo).

Al utilizar esta funcionalidad, usted podrá delegar a Azure AD el registro, inicio de sesión y demás experiencias del manejador de identidades en sus aplicaciones web.

Esto le permite proveer una experiencia SSO al nivel del navegador.

 

El mecanismo de autenticación introduce el concepto de id_token, el cual es un token de seguridad que permite la verificación de la identidad al usuario mientras se obtienen sus datos básicos del perfil.

Dado que OpenID extiende de OAuth 2.0, también habilita a las aplicaciones el uso de los tokens denominados access_tokens.

Los Access_tokens permiten acceder recursos que cuentan con una seguridad provista por un servidor de autorización.

 

El siguiente diagrama ilustra el flujo de comunicación entre Bizagi y Azure AD.

 

AzureAD_01

note_pin

Los estándares actualmente soportados bajo este mecanismo son:

<%TERMS_OPENID%> v1.0 apoyándose en el flujo de autorización de <%TERMS_OAUTH%>.

 

A pesar de que <%TERMS_OAUTH%> considera aspectos de autorización, estas definiciones aplican a nivel de recursos.

Esto significa que para las definiciones de control de acceso (a las opciones del Portal de trabajo de Bizagi), usted deberá igualmente incluir la configuración adecuada en Bizagi.

 

¿Qué necesita hacer en Bizagi?

Para configurar que Bizagi inicie sesión con Azure AD, por favor siga estos pasos:

 

1. Registre su servicio de Bizagi como una aplicación autorizada en su Azure AD.

2. Configure el tipo de autenticación en Bizagi Studio para integrarlo con Azure AD.

3. Sincronice los usuarios desde Azure AD hacia Bizagi.

 

note_pin

Los pasos de la configuración de la integración con Azure AD, requieren de ciertos detalles técnicos (p.e, endpoints, credenciales autorizadas) los cuales son administrados usualmente por un administrador de TI.

Por lo tanto, estos pasos requieren de conocimiento experto en esta materia, al igual que el acceso necesario a dicha información.

 

1. Registre su servicio de Bizagi como una aplicación autorizada en su Azure AD.

El primer paso es realizar la configuración necesaria para registrar el Portal de Trabajo de Bizagi (su URL) en Azure AD.

Esto incluye ingresar los endpoints de Bizagi mientras se utilizan las llaves de acceso para una conexión autorizada.

 

1.1 Ingrese a sus servicios de Azure

Acceda a su suscripción de Azure la cuál cuenta con su servicio de Azure AD.

Para esto, necesita ingresar por medio del portal clásico de Azure desde: https://portal.azure.com.

 

AzureAD_portal01

 

1.2. Entre a su Directorio Activo.

Dé clic en la opción Active Directory ubicada en el panel izquierdo y dé clic en App registrations y después, agregue una nueva aplicación (dando clic en New application registration).

 

Azure_auth1

 

1.3. Ingrese los detalles básicos de la aplicación

Ingrese un nombre para su aplicación (name) y seleccione Web App / API para su tipo (type).

Para Sign-on URL, necesita ingresar la URL base a la cual, los usuarios acceden al Portal de Trabajo de Bizagi.

 

Considere:

Para Bizagi PaaS (proyectos en cloud), esta URL se especifica como:

https://[ambiente_proyecto]-[su_proyecto]-[su_compañia].bizagi.com

Reemplazando [su_compañia] y [su_proyecto] de acuerdo a los valores de su suscripción.

De igual manera, reemplace [ambiente_proyecto] con test para ambientes de prueba, o con nada para el ambiente de producción.

 

Para proyectos en Bizagi <%ONPREMISES%>, esta URL es:

https://[servidor]/[su_proyecto]

Reemplazando [servidor] y [su_proyecto] dependiendo de cómo haya configurado su ambiente.

 

Azure_auth2

 

Dé clic en Create cuando termine.

 

1.4.Vaya a los detalles de su aplicación

Una vez la aplicación haya sido creada, haga clic sobre ella y vaya a sus detalles.

Observe que una aplicación creada va a listar sus Application ID.

 

Azure_auth3

 

1.5 Cree una llave de acceso válida para su aplicación

Para hacerlo, primero vaya a Settings y después haga clic en Keys.

 

Azure_auth4

 

En la siguiente pantalla, asegúrese de agregar un número descriptivo largo para su llave.

Ingrese dicho número dentro de Description.

Asegúrese de configurar un vencimiento para dicha llave y después, haga clic en Save para que se genere la llave y sea mostrada.

 

Azure_auth5

 

note_pin

Note que las llaves de acceso anteriores deben tener una fecha de vencimiento y por lo tanto, usted está a cargo de revisar su validez.

 

En este punto, se debe copiar el valor de la llave.

Asegúrese de pegarlo en algún lugar que controle teniendo medidas adecuadas para su custodia y tenga en cuenta que este valor será su llave autorizada (Key).

 

Azure_auth6

 

1.6 Diligencie los detalles adicionales de la URL

Regrese a Settings pero esta vez, busque las propiedades de la aplicación (Properties).

Allí, usted puede buscar el App ID URI actual y cambiarlo a uno más descriptivo (como uno que involucre la URL de su Portal de Trabajo de Bizagi)si esto le sirve de ayuda.

De todas maneras, es necesario que esta URI sea única.

 

Diligencie otras URLs como Home page URL o LogoutURL.

 

Azure_auth7

 

1.7 Configure los endpoints de Bizagi en Azure AD

Regrese a Settings pero esta vez, vaya a la Reply URL de la aplicación,

Allí, edite el valor actual de tal forma que utilice la misma URL especificada en Sign-on URL, pero esta vez, agregue el siguiente sufijo:

/oauth2/client/callback

 

Azure_auth9

 

 

Haga clic en Save cuando termine.

 

1.8 Busque sus endpoints de AD

Regrese a App registrations y busque Endpoints para recolectar las URLs que necesitará configurar después en Bizagi.

 

Azure_auth8

 

 

Asegúrese se copiar los siguientes endpoints:

OAuth 2.0 Token Endpoint

OAuth 2.0 Authorization Endpoint

 

note_pin

Por defecto, la configuración de autorización adecuada está en Ok, lo que significa que no necesita configurar esto.

Por defecto, las nuevas aplicaciones y sus llaves están autorizadas con Sign in and read user profile, que es lo que requiere Bizagi.

Observe que está bien el que esa configuración no requiera Admin:

 

Azure_auth10

 

En este punto, la configuración en Azure AD está lista y ahora puede regresar a Bizagi para completar el procedimiento.

 

2. Configure el tipo de autenticación en Bizagi con el Management Console.

En este punto y después de haber verificado que la configuración en Azure AD sea adecuada, usted deberá ahora ingresar los detalles Azure AD en Bizagi.

Haga esto utilizando Bizagi Management Console y apuntando al ambiente al que le quiere aplicar la configuración (es decir, ambiente de desarrollo, de pruebas o de producción).

 

2.1 Abra su proyecto de Bizagi Studio.

Cargue Bizagi Studio y su proyecto (en el ambiente de desarrollo).

 

Cloud_OpenProj_MC

 

2.2 Vaya a la configuración de seguridad.

Dé clic en el módulo de Seguridad (Security).

 

AzureAD_MC

 

2.3 Seleccione la autenticación de Azure.

Para esto, dé clic en Autenticación (Authentication) en el panel del medio, y utilice la siguiente configuración en el panel de la derecha:

Tipo (Type): OAuth2.

Cliente (Client): Azure AD.

De clic en Actualizar (Update).

 

AzureAD_Bizagi

 

Una vez que OAuth2 y AzureAD sean seleccionados, notará que se muestrab nuevos parámetros para dicha Autenticación.

 

2.4. Configure los parámetros de autenticación y los and endpoints.

Para configurar estos parámetros, considere las siguientes descripciones:

 

PROPIEDAD

VALOR

Client ID

Deberá corresponder al Application Id que se registró en Azure AD.

Client Secret

Deberá corresponder a la llave (Key) que se generó en Azure AD.

Redirect Uri

Deberá corresponder al Response URI que se registró en Azure AD, que debe ser la misma Reply URL (la que termina en /oauth2/client/callback).

OAuth2 Authorization Endpoint

Deberá corresponder al OAuth 2.0 Authorization endpoint, como se maneja en su Azure AD.

Utilice la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/authorize

 

Considere:

[tenant]: Debe especificar su Id de Tenant (basado en su suscripción de Azure).

Token Endpoint

Deberá corresponder al OAuth 2.0 Token endpoint, como se maneja en su Azure AD.

Utilice la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/token

 

Considere:

[tenant]: Debe especificar su Id de Tenant (basado en su subscripción de Azure).

Logout Endpoint

Deberá corresponder al Logout endpoint, como se maneja por Azure AD, usualmente teniendo la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/logout?post_logout_redirect_uri=[homeRedirect]

 

Considere:

[tenant]: Debe especificar su Id de Tenant (basado en su subscripción de Azure).

[homeRedirect]: Debe especificar la URL hacia donde se debe direccionar luego de un cierre de sesión.

Usualmente, se maneja la misma URL del login, la cuál es: https://[su_compañía].bizagi.com/[su_proyecto]

 

note_pin

Si aplicó este cambio en un ambiente diferente al ambiente de desarrollo, entonces debe asegurar de que los mismos cambios se apliquen en el ambiente de desarrollo.

Para esto, siga el mismo procedimiento pero utilizando Bizagi Studio.

 

3. Sincronice los usuarios desde Azure AD hacia Bizagi.

En este punto, la configuración está completa.

Sin embargo, antes de utilizar o probar la autenticación integrada en tiempo de ejecución, necesitará importar explicitamente los usuarios desde Azure AD a Bizagi (debido a que usted está encargado de la administración de usuarios).

 

Sin importar el tipo de autenticación, para que su Portal de Trabajo pueda iniciar sesión en tiempo de ejecución, necesitará tener importados o sincronizados los usuarios desde su repositorio hacia Bizagi (esta tarea puede ser programada en Bizagi si lo integra con AD).

Recuerde que si está utilizando Bizagi PaaS, para integrar su AD necesita una VPN.

 

Las opciones alternativas para una sincronización AD/LDAP, son:

Invocar los servicios web de Bizagi desde su lado (un "push").

Para esto, necesita construir un cliente SOAP de servicios web.

Hacer que Bizagi invoque un servicio web de su lado para traer los usuarios (un "pull").

Para esto, necesita asegurarse de producir y publicar un servicio web que pueda retornar la lista de usuarios.

 

note_pin

Si aún no va a sincronizar usuarios, usted puede probar que la autenticación funciona como se espera creando un usuario manualmente en el Portal de Trabajo de Bizagi. Para crear este usuario, considere:

1. Usted necesita regresar temporalmente a la autenticación de Bizagi para que pueda iniciar sesión.

2. Asegúrese de que su usuario creado tenga la combinación de dominio\usuario que coincida con sus usuarios de Azure AD.

 

La autenticación en tiempo de ejecución

Una vez se lleven a cabo estos pasos, quedará la autenticación configurada para sus usuarios finales.

Los usuarios finales podrán ingresar a Bizagi y usted podrá verificarlo utilizando un navegador para entrar al Portal de trabajo

 

La siguiente imagen muestra un ejemplo del Portal de Trabajo del ambiente de pruebas en Bizagi PaaS (utilizando https://[ambiente_proyecto]-[su_proyecto]-[su_compañía].bizagi.com):

 

AzureAD_AgilityURL

 

Cuando cargue el Portal de trabajo, será redireccionado a la página de login de Azure AD:

 

AzureAD_portal01

 

Después de un inicio de sesión exitoso en Azure AD, será dirigido de nuevo al Portal de trabajo con una sesión válida:

 

Cloud_WorkportalSession

 

note_pin

Si ya cuenta con una sesión válida, al ingresar a Bizagi no deberá ingresar credenciales.

Las capacidades de SSO se mantienen a nivel de la sesión autenticada del navegador (por ejemplo, se toman los parámetros de expiración de sesión inactiva desde su configuración en Azure AD).