Autenticación múltiple

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo >

Autenticación múltiple

Introducción

Con Autenticación múltiple, usted puede utilizar varios tipo de autenticación y dominios en su solución Bizagi. Un dominio se refiere a un grupo específico de usuarios que comparte parámetros comunes como su localización, área, corporación, entre otros.

Autenticación múltiple es la selección más común en proyectos que tiene usuarios de más de un dominio. Por ejemplo, si su proyecto se accede desde diferentes lugares del mundo y cada lugar utiliza un proveedor de identidades diferente para autenticar sus usuarios.

 

MultipleAuth_01

 

Con Autenticación múltiple, necesita definir un Autenticador. Un Autenticador es un contenedor de dominios que utilizan un tipo de autenticación.

 

 

note_pin

Si planea utilizar un método de autenticación diferente a Bizagi y está realizando un deployment a un ambiente que no tiene información de usuarios (normalmente es el caso en el primer deployment de un proyecto), siga estos pasos para que pueda configurar adecuadamente sus usuarios y autenticación sin tener problemas para acceder al Portal de Trabajo:

1.Haga el deployment con el método de autenticación establecido como Bizagi. Esto le permite acceder al Portal de Trabajo con el usuario Admon sin proveer credenciales.

2.Una vez haya ingresado al Portal de Trabajo, ingrese manualmente sus usuarios o alternativamente puede utilizar en el método de su elección para sincronizar la información de sus usuarios a la tabla WFUser (SOAP, Sincronización LDAP, Archivo de Excel, o haciendo un procedimiento de sincronización de datos.

3.Haga un IISRESET para que el usuario Admon no pueda acceder al Portal de Trabajo.

4.Después de tener sus usuarios registrados en el Portal de Trabajo, use el Management Console para establecer el método de autenticación al que prefiera y se adecue a sus necesidades.

 

Si planea usar autenticación LDAP con sincronización periódica de usuarios, puede ignorar los pasos anteriores dado que solo necesitará esperar a que ocurra la siguiente sincronización para que sus usuarios puedan acceder el Portal de Trabajo.

 

 

Consideraciones

Cuando utilice Autenticación múltiple, tenga en cuenta:

 

Cuando configure Autenticación múltiple, el usuario necesita seleccionar el dominio antes de redirigirse a la página de inicio de sesión del proveedor de identidad.

Usted puede configurar uno o más tipos de autenticación, definidos como Autenticadores, entre los siguientes:

oAutenticación Bizagi

oAutenticación Personalizada

oAutenticación LDAP

oAutenticación Windows

oAutenticación OAuth2

oAutenticación SAML 2.0

Es obligatorio tener al menos un Autenticador, de lo contrario no se realizará la autenticación.

Si habilita las Trazas de Autenticación en su proyecto, todos los eventos seleccionados se registrarán en el mismo log, independiente del número de Autenticadores creados.

Los dominios configurados en los Autenticadores deben existir en Bizagi en la tabla WFUSER.

Si el usuario selecciona un dominio errado, se niega la autenticación del usuario.

Si no configura un dominio en un Autenticador, los usuarios asociados a él no podrán ingresar al Portal de Trabajo.

Es posible que un usuario esté registrado en un proveedor de identidad que admita dos protocolos de autenticación diferentes y usted configure dos Autenticadores en Bizagi utilizando esos protocolos de autenticación. En este caso, puede malinterpretar cómo Bizagi selecciona el Autenticador para autenticar al usuario. El siguiente ejemplo proporciona una mejor comprensión y aclara cómo Bizagi procesa las solicitudes de autenticación:

Suponga que tiene un usuario autenticado con Azure AD y que el usuario se ha registrado en Bizagi (tabla WFUSER) con la siguiente información:

- Nombre de usuario (User Name): john.smith

- Dominio (Domain): agilitycorp.lata

- Correo electrónico (Contact Email): john.smith@agilitycorp.com

 

Y usted configuró la autenticación múltiple con los siguiente Autenticadores:

- Autenticador: SAML 2.0 | dominio: agilitycorp.latam

- Autenticador: OAuth2    | dominio: agilitycorp.com

 

Además, tanto para SAML 2.0 como para OAuth2, utiliza el correo electrónico del usuario para comparar al usuario en el procedimiento de autenticación con la tabla WFUSER. En este escenario, cuando el usuario inicia sesión en el Portal de trabajo, aparece una ventana donde los usuarios tienen que seleccionar uno de los dos dominios (agilitycorp.latam o agilitycorp.com).

Ahora, supongamos que el usuario (john.smith) selecciona el dominio agilitycorp.com. En este caso, Bizagi redirige a Azure AD usando el protocolo OAuth2. Azure lo autentica y responde a Bizagi con una respuesta OAuth2 con la información del usuario, incluido su correo electrónico (john.smith@agilitycorp.com). Bizagi busca al usuario en la tabla WFUSER y encuentra al usuario de Bizagi registrado como agilitycorp.latam\john.smith; quí, Bizagi realiza una validación adicional y verifica si el dominio del usuario corresponde al Autenticador utilizado en el procedimiento de autenticación. Como el dominio del usuario es agilitycorp.latam y este dominio se configuró para un autenticador SAML2.0, Bizagi rechaza la autenticación y le muestra un error informándole que el dominio seleccionado es incorrecto.

 

Cuando ocurre este escenario, puede ser difícil diagnosticar el problema, principalmente porque no es posible saber si en los protocolos se está utilizando el correo electrónico para autenticar al usuario o si hay algún otro campo como dominio\usuario o usuario@dominio. Para evitar estos problemas, siga estas recomendaciones:

oSe recomienda utilizar Autenticadores con SAML2.0 o Oauth2 de diferentes Proveedores de Identidad o registrar dos Autenticadores para el mismo proveedor de identidad utilizando diferentes protocolos y diferentes dominios.

oSi utiliza varios Autenticadores utilizando SAML2.0 o Oauth2 con diferentes dominios, necesita especificarlo en la URL de la metadata. Utilice uno de los siguientes formatos:

/saml2/metadata.xml?domain=[DomainName]

/saml2/metadata.xml/mydomain

oAunque puede configurar la dirección de correo electrónico como nombre de usuario, el dominio del correo no se utiliza para que Bizagi escoja el autentitcador.

 

MultipleAuth_09

 

Si quiere utilizar el mismo dominio del correo electrónico, debe mapearlo como dominio de usuario en la tabla WFUSER.

 

Configurar la autenticación Múltiple

Para configurar de Múltiple como tipo de autenticación, seleccione Múltiple desde la lista desplegable:

 

MultipleAuth_02

 

Haga clic en el botón Actualizar.

Solo se habilita una opción cuando seleccione autenticación Múltiple.

 

MultipleAuth_03

 

Para crear los Autenticadores requeridos para sus necesidades, haga clic en el nodo de Autenticación múltiple. Aparecen las opciones de Añadir Autenticador en el panel de la derecha.

 

MultipleAuth_04

 

Ingrese la siguiente información del Autenticador.

Nombre Visual: nombre del Autenticador.

Tipo de Autenticador: método de autenticación utilizado por el Autenticador.

Domain: Seleccione los dominios que utilizan el método de autenticación seleccionado.

oDominio: dominio de los usuarios que utilizan el método de autenticación seleccionado. Este dominio debe existir en Bizagi.

oNombre visual: nombre descriptivo para los usuarios que ingresan a la página de inicio de sesión.

 

MultipleAuth_05

 

Para agregar dominios, haga clic en el botón Dominio.

 

Aparece el Autenticador bajo el nodo de Autenticación múltiple. Para agregar un nuevo Autenticador, haga clic derecho sobre el nodo de Autenticación múltiple o utilice la opción mostrada en la cinta de opciones.

 

MultipleAuth_06

 

Agregue tantos Autenticadores como necesite.

 

Ahora, puede configurar cada Autenticador de acuerdo al tipo de autenticación seleccionado. Siga el procedimiento mencionado en los enlaces mencionados en las Consideraciones de este artículo.

 

MultipleAuth_07

 

Usted puede actualizar la configuración de cada Autenticador seleccionándolo y cambiando los atributos necesarios. Además, puede borrarlos utilizando la opción  en la cinta de opciones.

 

Importar usuarios

Para cualquier tipo de autenticación, debe asegurarse de que los usuarios se creen en el portal de trabajo de Bizagi.

Sin tener en cuenta los tipos de autenticación seleccionados para su inicio de sesión en el Portal de trabajo, puede optar por configurar una programación en Bizagi para importar y sincronizar usuarios de los proveedores de identidad.

Esta acción se configura siguiendo el procedimiento mencionado en el método de autenticación seleccionado.

 

Página de inicio de sesión

Cuando configure autenticación múltiple, el inicio de sesión se realiza en dos pasos:

Primero, seleccione su dominio.

 

MultipleAuth_08

 

Una vez seleccione un dominio, Bizagi instancia el autenticador correspondiente y abre la pa´gian de login correspondiente. Si selecciona un dominio equivocado, no se permite la autenticación.

 

Página de inicio de sesión en Autenticación Multiple

Cuando configure  Autenticación Bizagi en algún Autenticador, la página de inicio de sesión presenta ciertas diferencias con la página de inicio de sesión actual.

 

MultipleAuth_10

 

Dado que el dominio se selecciona en la pantalla anterior, esta página de inicio de sesión no tiene la opción para seleccionarlo. Si selecciona un dominio incorrecto y desea cambiarlo, utilice el enlace Cambiar dominio.

Tenga en cuenta que:

 

Las opciones de Recordar Usuario y Contraseña y Recordar Usuario han sido reemplazados con la casilla Recordarme.

Las opción de Cambiar Contraseña no requiere confirmación de contraseña. Para verificar la contraseña ingresada, utilice el ícono MultipleAuth_11.

 

MultipleAuth_12

 

Las opción ¿Olvidó su contraseña? no requiere el ingreso del dominio

 

MultipleAuth_13

 

La opción para desbloquear la contraseña no aparece como una opción principal, Solo si su cuenta está bloqueada, aparecerá dicha cuando intente iniciar sesión en el portal de trabajo.

 

MultipleAuth_14

 

De nuevo, no se requiere ingresar el dominio.