Autenticación

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo >

Autenticación

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos, a través de protocolos y estándares seguros de la industria, tales como SAML 2.0 (recomendado), los protocolos OAuth, OpenID Connect y LDAP.

La autenticación en Bizagi provee capacidades de inicio de sesión seguro, cumplimiento con sus políticas de seguridad y autenticación, y otorga autonomía con respecto al manejo de las cuentas de usuario.

 

Conectar su administrador de identidad

Se recomienda enfáticamente integrar su Administrador de identidad corporativo con Bizagi (para usar una autenticación Federada).

En caso de que no desee integrar su adminsitrador de identidad, puede utilizar en la autenticación local de Bizagi.

Si bien la autenticación local de Bizagi ofrece características de inicio de sesión seguras (como HTTPS y encripción de contraseñas en reposo) y parámetros de configuración que le permiten forzar políticas de contraseñas o cuentas (como longitudes máximas o mínimas, intentos, etc.), hay una serie de beneficios sobresalientes al integrar su adminsitrador de identidad.

Dichos beneficios son:

 

1. Contar con una pantalla de inicio de sesión única y unificada a los usuarios finales.

Al integrar su administrador de identidad, Bizagi delegará la autenticación a el, y esto implica que los usuarios finales serán redirigidos a la pantalla de inicio de sesión provista por el administrador de identidad.

En términos de usabilidad, esto evita tener que presentar diferentes pantallas de inicio de sesión (de diferentes aplicaciones con las que sus usuarios trabajan).

Similarmente, los usuarios finales solo deberán recordar una combinación de usuario y contraseña (evitando administrar múltiples cuentas con sus contraseñas).

 

2. Centralizar su repositorio de usuarios y su sistema de autenticación.

Integrar si administrador de identidad reduce la carga administrativa que se produce cuando tiene múltiples sistemas de autenticación, dado que dichas tareas son necesarias periódicamente (como manejar cuentas inactivas, reiniciar contraseñas, etc.).

Al integrar su administrador de identidad, las contraseñas no son almacenadas en Bizagi y el manejo de identidad y acceso es hecho completamente por el administrador de identidad.

 

3. Forzar políticas de seguridad.

Utilizando su administrador de identidad, puede mejorar las medidas de seguridad al mismo tiempo que fuerza políticas de seguridad estrictas (como por ejemplo, políticas de contraseñas, características de las cuentas, perfiles, etc.).

Por ejemplo, puede usar autenticación multi-factor en caso de que sea soportado por su administrador de identidad.

 

4. Proveer una mejor experiencia de usuario a los usuarios finales.

Los usuarios finales que acceden Bizagi desde cualquier ubicación o dispositivo, utilizarán protocolos estándares.

Sin importar el tipo de autenticación, Bizagi soporta protocolos seguros como HTTPS para todas las comunicaciones.

Para todas las opciones que integran un administrador de identidad, excepto para una integración punto a punto LDAP, el uso de protocolos web es empleado (como SAML 2.0). Dichos protocolos habilitan una experiencia de SSO.

 

Posibilidades de autenticación integrada

Con el soporte de SAML 2.0, Bizagi soporta los siguientes sistemas de autenticación:

 

ADMINISTRADOR DE IDENTIDAD

CARACTERÍSTICAS Y SOPORTE

ESPECIFICACIONES TÉCNICAS (PROTOCOLOS Y ESTÁNDARES)

Azure AD

El servicio de Azure AD se soporta como lo proveen los servicios cloud de Azure (desde una subscripción proveída por el cliente).

No requiere configuración de VPN.

Soporta SSO y SLO para sesiones activas del navegador (no a nivel de red).

Hay dos opciones para conectarse con Azure AD:

1. Con SAML 2.0.

2. Con el protocolo OAuth 2.0 y su extensión de OpenID.

 

Para mayor información acerca de esta alternativa, refiérase a Autenticación con Azure AD.

Microsoft

Active Directory Federation Services

(ADFS)

El soporte de ADFS está oficialmente certificado con la versión 3.0.

No requiere configuración de VPN.

Soporta SSO y SLO para sesiones activas del navegador (no a nivel de red).

Hay dos opciones para conectar ADFS, se recomienda la primera.

1. Con SAML 2.0.

2. Con el protocolo WS-fedetation (implica WS-trust). El protocolo WS-federation usa aserciones basadas en la especificación del token de SAML, versión 1.1, aunque esto no cumple completamente con SAML.

 

Para mayor información acerca de esta alternativa, refiérase a Autenticación con ADFS

NetIQ

NetIQ oficialmente certificado con la versión 4.4.

No requiere configuración de VPN.

Soporta SSO y SLO para sesiones activas del navegador (no a nivel de red).

Depende de SAML 2.0.

 

Para mayor información acerca de esta alternativa, refiérase a Autenticación con NetIQ.

Okta

Okta se soporta como un servicio cloud utilizado por el cliente.

No requiere configuración de VPN.

Soporta SSO y SLO para sesiones activas del navegador (no a nivel de red).

Depende de SAML 2.0.

 

Para mayor información acerca de esta alternativa, refiérase a Autenticación con Okta.

PingFederate

PingFederate está oficialmente certificado con la versión 8.4.3.

No requiere configuración de VPN.

Soporta SSO y SLO para sesiones activas del navegador (no a nivel de red).

Depende de SAML 2.0.

 

Para mayor información acerca de esta alternativa, refiérase a Autenticación con PingFederate.

 

note_pin

Los administradores de identidad que no hayan sido mencionados anteriormente no están oficialmente soportados o certficados.

Esto significa que puede utilizar un administrador de identidad SAML diferente, pero es recomendable que lo consulte primero con nuestro equipo de soporte.

Para información de alto nivel sobre el funcionamiento de la autenticación usando un administrador de identidad SAML, refiérase a Autenticación via SAML.

 

Otras posibilidades

Otras posibles configuraciones de autenticación en Bizagi son:

 

Windows: le permite a Bizagi validar los usuarios contra dominios y máquinas de Windows automáticamente.

Esto es realizado mediante la delegación de la autenticación del Portal de Trabajo a la máquina Windows del lado del cliente (las contraseñas no se almacenan en Bizagi). También puede hacer que Bizagi tome las credenciales de la sesión de Windows automáticamente y evitar una página de inicio de sesión (lograr una experiencia de SSO a nivel de red).

Para mayor información acerca de esta alternativa, refiérase a Autenticación Windows.

 

Bizagi: Es un mecanismo local de autenticación que le permite forzar políticas de seguridad para contraseñas y cuentas.

Para mayor información acerca de esta alternativa, refiérase a Autenticación Bizagi.

 

OAuth: ofrece una experiencia de SSO, utilizando los protocolos OAuth y OpenID Connect para que su proyecto de Bizagi delegue la autenticación a un proveedor de identidad, como por ejemplo, otro proyecto de Bizagi.

 

LDAP: soporta integraciones con un Directorio Activo de Microsoft (Microsoft AD) y usa el protocolo estándar LDAP (por ejemplo, conectarse a través de una URL LDAP con los filtros soportados por su formato).

Soporta un concepto "Same Sign-On" (Mismo inicio de sesión), en contraposición a una experiencia SSO (esto es, se necesita un inicio de sesión explícito utilizando una combinación única de cuenta y contraseña).

Para mayor información acerca de esta alternativa, refiérase a Autenticación LDAP.

 

Personalizada: permite que la autenticación sea administrada por una aplicación externa.

Con la autenticación personalizada, usted desarrolla su propio componente que sobrescribe los métodos usados por Bizagi en su componente de autenticación.

De esta manera, el componente desarrollado puede usar APIs o componentes de terceros y conexiones para autenticar al usuario (por ejemplo, validar contra bases de datos MySQL, archivos XML, sistemas legados, etc.).

Para mayor información acerca de esta alternativa, refiérase a Autenticación personalizada.

 

Mixta: le permite usar dos tipos diferentes de autenticación para manejar usuarios de 2 dominios diferentes. Uno de los tipos usados tiene que ser Autenticación Bizagi; y el otro puede ser Windows o Personalizada.

Para mayor información acerca de esta alternativa, refiérase a Autenticación mixta.

 

Importante

Por favor tenga en cuenta lo siguiente:

1.Es responsabilidad del cliente administrar las cuentas de los usuarios finales y sus accesos al Portal de Trabajo de Bizagi. Así como asegurar que las configuraciones que fuercen las políticas adecuadas de seguridad para dichas cuentas y sus respectivas contraseñas.

2.Con cualquier tipo de autenticación, el usuario por defecto domain\admon debe mantenerse habilitado, si bien no debe estar asignado a un usuario en específico, y no se le deben otorgar los derechos para usar los menúes y opciones del Portal de Trabajo. En vez de ello, se recomienda definir de manera explícita un usuario asignado como su administrador de negocio, que tenga los privilegios para usar las opciones del menú de administrador (por ejemplo, modificar los valores de entidades paramétricas, administrar sus usuarios, licencias, casos, etc.).

3.Al integrar un administrador de identidad, e independientemente del escogido, los clientes deben sincronizar las cuentas autorizadas para acceder al Portal de Trabajo de Bizagi.

Por sincronizar se debe entender la inserción o actualización de los identificadores primarios de las cuentas en Bizagi (dominio y usuario normalente, y correo electrónico).

Recuerde que las contraseñas no son almacenadas en Bizagi al integrar un administrador de identidad.

 

note_pin

La sincronización de usuarios es una tarea que debe ser programada en Bizagi, conectándolo con su Directorio Activo (AD).

Opciones alternativas a una sincronización AD/LDAP consideran invocar servicios web de Bizagi desde su lado (un "push"), o invocar desde Bizagi un servicio web de su lado para traer los usuarios (un "pull").

Si no va a sincronizar los usuarios todavía, puede probar que la autenticación funciona como se espera creando un usuario manualmente en el Portal de Trabajo para hacer validaciones.

 

Configuración

El Módulo de seguridad en Bizagi incluye un componente de Autenticación que tiene alta versatilidad en la administración y validación de los usuarios.

Puede escoger el tipo de autenticación de una serie de posibilidades que pueden ser usadas por su Portal de Trabajo, de acuerdo a las necesidades corporativas.

Con este módulo, la autenticación se puede configurar con Bizagi Studio; o similarmente a través del Management Console de Bizagi para ambientes en ejecución (en ambiente de pruebas o producción).

 

Authentication1

 

Autenticación en ejecución

Debido a medidas de seguridad estándar, el detalle de mensajes de error con respecto a intentos fallidos de autenticación no es mostrado en el Portal de Trabajo (al usuario final).

En un ambiente de producción, necesitará que se administrador del sistema revise los detalles del registro de eventos (log).

En un ambiente de desarrollo, puede activar una llave temporalmente para agilizar su implementación y pruebas.