Configuración de Bizagi para el acceso seguro desde Internet

<< Click to Display Table of Contents >>

Navigation:  Bizagi Engine > Administración del Sistema Bizagi > Otras opciones de configuración >

Configuración de Bizagi para el acceso seguro desde Internet

Introducción

Esta sección describe cómo configurar un Servidor HTTP para que sus procesos de Bizagi puedan ser accedidos de manera segura desde Internet.

Bizagi Engine soporta una configuración para el acceso tanto desde la intranet como la extranet, con las medidas de seguridad apropiadas donde se considera un proxy inverso.

 

A través de esta guia se ilustra cómo configurar un Servidor HTTP Apache, con la posibilidad de utilizar SSL, y activando el módulo del proxy inverso de manera que desde cualquier dispositivo (portátiles, teléfonos inteligentes, tabletas) se acceda al Portal de trabajo de Bizagi.  

 

Lo siguiente representa la arquitectura considerada:

HA_proxy_system_architecture

 

Nótese que los servicios de un proxy inverso permite redirigir el acceso desde Internet hacia el servidor de Bizagi con protocolos seguros, mientras que los usuarios en la intranet continuarán accediendo el Portal de Trabajo de Bizagi desde adentro.

 

Utilizar el Servidor HTTP Apache

Para utilizar el Servidor HTTP Apache, instálelo en el Servidor dentro de la Zona desmilitarizada (DMZ) y configúrelo de acuerdo a como se indica en las secciones inferiores.

 

 

Instalar el Servidor HTTP Apache

Para instalar Apache, lleve a cabo estos pasos:

 

1. Descargue el instalador del Servidor HTTP Apache desde la página oficial.

 

2. Instale el Servidor. Nótese que los parámetros configurados al momento de la instalación pueden modificarse más adelante. La ruta que se seleccione para instalar el Servidor será referenciado en este documento como <APACHE_HOME>.

 

 

SettingBizagiInternet00_InstallingApache

 

 

Configuración de seguridad

Para habilitar los Experto avanzados de seguridad en Apache, los cuales incluyen el proxy inverso, siga estos pasos:

 

1. Ubique el archivo de configuración de Apache.

Realice esto, editando el archivo httpd.conf ubicado en la ruta <APACHE_HOME>\conf\.

 

Este archivo puede editarse en sistemas operativos Windows a través de la opción en Inicio -> Programas -> Apache HTTP Server -> Configure Apache Server -> Editar el archivo de configuración httpd.conf.

 

 

SettingBizagiInternet01_EditApache

 

 

2. Habilitar los Experto requeridos.

Habilite los Experto involucrados en la funcionalidad del proxy, removiendo el caracter "#" de las siguientes líneas:

 

LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_ajp_module modules/mod_proxy_ajp.so

LoadModule proxy_balancer_module modules/mod_proxy_balancer.so

LoadModule proxy_connect_module modules/mod_proxy_connect.so

LoadModule proxy_ftp_module modules/mod_proxy_ftp.so

LoadModule proxy_http_module modules/mod_proxy_http.so

 

Si desea habilitar y utilizar el protocolo de Secure Socket Layer (SSL), remueva el caracter "#" de la siguiente línea:          

LoadModule ssl_module modules/mod_ssl.so

 

SettingBizagiInternet02_Apache_ProxyModule

 

 

Para más información detallada sobre este módulo de Apache, consulte la documentación oficial.

 

 

note_pin

En caso de habilitar y querer utilizar SSL, habilite el puerto del SSL incluyendo la siguiente línea, ubicado debajo de las opciones donde escucha el servicio (Listen).

Listen 443

Nótese que el puerto por defecto para el servicio es el por defecto del navegador (80), pero 8080 también es frecuentemente utilizado.

 

SettingBizagiInternet03_Apache_SSL

 

3. Configurar el proxy inverso.

Incluya la definición de redirección del proxy, según si se utiliza SSL o no.

 

Si el Servidor HTTP Apache no utiliza un certificado digital y no se habilita el SSL, entonces incluya las siguientes líneas al final del archivo:

 

 

<VirtualHost [APACHE_IP]:[APACHE_PORT]>

 ServerName [SERVIDOR_BIZAGI]

 # Proxy configuration

 ProxyRequests Off

 ProxyPreserveHost On

 

 ProxyPass /[SU_PROYECTO]/jquery http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/jquery

 ProxyPass /[SU_PROYECTO]/Charts http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Charts

 ProxyPass /[SU_PROYECTO]/css http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/css

 ProxyPass /[SU_PROYECTO]/img http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/img

 ProxyPass /[SU_PROYECTO]/js http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/js

 ProxyPass /[SU_PROYECTO]/Localization http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Localization

 

 ProxyPass /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]

 ProxyPassReverse /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]

</VirtualHost>

 

En estas líneas, considere reemplazar los valores correspondientes:

[APACHE_IP]: La dirección IP bajo la cual se accede al servicio de Apache.

[APACHE_PORT]: El puerto HTTP bajo el cual escucha el servicio de Apache.

[SERVIDOR_BIZAGI]: El servidor que alberga a Bizagi Engine.

[SU_PROYECTO]: El directorio virtual de su proyecto Bizagi.

 

 

Por ejemplo, si su proyecto de Bizagi se llama "MyProject" entonces se debe configurar el archivo como se ilustra a continuación (partiendo también de un Apache instalado en el puerto 80):

 

ApacheFinal

Por otro lado, si se configuró el Servidor HTTP Apache para que utilice un certificado digital, por medio de SSL, entonces es necesario configurar el host virtual incluyendo las siguientes líneas:

 

NameVirtualHost *:443

 

<VirtualHost *:443>

 

DocumentRoot "<APACHE_HOME>/htdocs"

ServerName [SERVIDOR_BIZAGI]

 

 <Directory "<APACHE_HOME>/htdocs">

    Options Indexes FollowSymLinks MultiViews

    AllowOverride None

    SSLRequireSSL

    Order allow,deny

    Allow from all

</Directory>

 

 SSLProxyEngine on

 

 ProxyRequests Off

 ProxyPreserveHost On

 

 ProxyPass /[SU_PROYECTO]/jquery http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/jquery

 ProxyPass /[SU_PROYECTO]/Charts http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Charts

 ProxyPass /[SU_PROYECTO]/css http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/css

 ProxyPass /[SU_PROYECTO]/img http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/img

 ProxyPass /[SU_PROYECTO]/js http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/js

 ProxyPass /[SU_PROYECTO]/Localization http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]/Localization

 

 ProxyPass /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]

 ProxyPassReverse /[SU_PROYECTO] http://[SERVIDOR_BIZAGI]/[SU_PROYECTO]

 

 SSLEngine on

 

 SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

 SSLCertificateFile "<LOCAL_PATH>/public.crt"

 SSLCertificateKeyFile "<LOCAL_PATH>/ApachePrivateKey.key"

 SSLCertificateChainFile "<LOCAL_PATH>/intermediate.crt"

 

<FilesMatch "\.(cgi|shtml|phtml|php)$">

    SSLOptions +StdEnvVars

</FilesMatch>

 

<Directory "[SERVIDOR_BIZAGI]/cgi-bin">

    SSLOptions +StdEnvVars

</Directory>

 

BrowserMatch ".*MSIE.*" \

        nokeepalive ssl-unclean-shutdown \

        downgrade-1.0 force-response-1.0

</VirtualHost>

 

 

En estas líneas, considere reemplazar los valores correspondientes para:

<APACHE_HOME>: La ruta de instalación de Apache. Tenga en cuenta que el formato en este archivo espera "/" (en vez de "\") como el caracter separador de carpeta.

<LOCAL_PATH>: La ruta donde se encuentran los archivos del certificado a usar por el SSL.

[APACHE_IP]: La dirección IP bajo la cual se accede al servicio de Apache.

[APACHE_PORT]: El puerto HTTP bajo el cual escucha el servicio de Apache.

[SERVIDOR_BIZAGI]: El servidor que alberga a Bizagi Engine.

[SU_PROYECTO]: El directorio virtual de su proyecto Bizagi.

 

Para más información y documentación sobre las directivas y parámetros de SSL, consulte este enlace externo.

 

Guarde los cambios de este archivo y reinicie su Servidor HTTP Apache.

En este punto hemos terminado la configuración para acceder Bizagi desde Internet de una manera segura, desde cualquier dispositivo!

 

 

Importante

En esta configuración, es necesario que el portal de Bizagi permita la autenticación anónima.

Es decir, si se utiliza autenticación integrada (p.e Windows) o tipo Bizagi, a nivel de servidor de Bizagi (específicamente en el IIS para la edición .NET), se debe tener habilitada la autenticación anónima.

 

 

Punto de chequeo

Para verificar la configuración, y acceder al servicio, digite en un navegador desde afuera de la intranet:

http://[APACHE_IP]:[APACHE_PORT]/[SU_PROYECTO]

 

 

Con lo que esta solicitud se redirigirá al Portal de Trabajo de Bizagi de manera segura.