Sincronizando usuarios usando Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Sincronización de usuarios > Sincronizar usuarios con SCIM >

Sincronizando usuarios usando Azure AD

Introducción

La integración entre aplicaciones en la nube exige una administración robusta de identidades para su autenticación. Además de los protocolos de autenticación que puede utilizar, es importante centralizar la información de los usuarios para facilitar la gestión de identidad y reducir la redundancia de la información.

 

Los directorios activos han sido un enfoque común para centralizar la información de los usuarios dentro de las organizaciones. Sin embargo, una variedad de aplicaciones basadas en la nube ha expuesto un desafío en la gestión de identidades cuando las aplicaciones se ejecutan en diferentes dominios.

 

Bizagi ahora ofrece una integración con Azure AD utilizando el sistema para el protocolo de administración de identidad entre dominios (SCIM). Este protocolo proporciona una API REST que permite a los administradores de Azure AD administrar identidades de usuario en Bizagi y puede crear, leer o eliminar usuarios en la tabla WFUser a través de este servicio. Esta integración permite la centralización de la administración de usuarios sin aplicaciones de terceros, lo que reduce los puntos de falla y aumenta la gobernanza de múltiples aplicaciones basadas en la nube utilizadas en las organizaciones. El protocolo se basa en modelos comerciales de autenticación, autorización y privacidad, lo que hace que esta integración sea flexible para nuestros clientes de la oferta en la nube de Bizagi.

 

Configuración

SCIM se basa en el protocolo OAuth 2.0 para autenticar Bizagi como una aplicación confiable en Azure AD. Por lo tanto, debe crear un token de portador desde el portal de trabajo de Bizagi. Tenga en cuenta que necesita generar este token para cada entorno donde se necesita la sincronización de usuarios entre Azure AD y Bizagi.

 

Generación de token de portador

Abra el Portal de trabajo como usuario con permisos para administrar aplicaciones OAuth 2.0. Haga clic en el menú Admin y luego abra Aplicaciones OAuth 2.0:

 

SCIM1

 

Agregue una nueva aplicación haciendo clic en el botón Agregar, luego cree una aplicación con las siguientes propiedades

Tipo de acceso: Bearer token

Alcance permitido: API y SINCRONIZACIÓN DE USUARIO

 

SCIM2

 

Puede copiar el secreto del cliente como su token.

 

Azure AD Configuration

 

Pre requisitos

Su cuenta de Azure AD debe ser una cuenta de edición Premium.

Necesita una cuenta de administrador global.

 

Aprovisionando

1. Abra Azure Portal como administrador global y acceda a su Azure Active Directory.

2. Agregar una nueva aplicación.

 

SCIM4

 

 

Luego seleccione Agregar su propia aplicación y seleccione Aplicación sin galería.

 

SCIM5

 

3. Dé un nombre a su aplicación. Recomendamos el uso de nombres significativos para sus administradores, por ejemplo, [your_bizagi_project] -provisioning.

4. Acceda al menú Administrar y haga clic en Aprovisionamiento.

5. Seleccione el modo de aprovisionamiento automático.

6. Registre las siguientes credenciales de administrador

 

URL del tenant: Ingrese el punto final SCIM de Bizagi con esta estructura:

        [Your_Bizagi_Project] / scim / v2 /

        Ejemplo: https://my-company.bizagi.com/scim/v2/

Token secreto: El Client Secret como el token de portador, generado en las aplicaciones OAuth 2.0 en el portal de trabajo de Bizagi.

 

SCIM6

 

7. Haga clic en Probar conexión y espere un mensaje de confirmación.

8. Guardar.

 

Mapeo de atributos

Debe configurar la asignación de atributos de usuario entre Azure AD y la tabla WFUser. Para hacer eso Abra las opciones de Mapeo en el módulo Aprovisionamiento:

 

SCIM7

 

Haga clic en Sincronizar usuarios de Azure Active Directory con customappsso. Luego elimine todos los atributos predeterminados y deje los siguientes atributos:

 

Atributo Azure AD

Atributo CustomAppsSO

Observaciones

userPrincipalName

userName

El dominio y el usuario no puede superar los 25 caracteres; de lo contrario, el usuario no está sincronizado.

Switch([IsSoftDeleted], , "False", "True", "True", "False")

active

Un usuario no activo se considera un usuario inexistente. Por lo tanto no está sincronizado.

userPrincipalName

emails[type eq "work"].value

Este es un campo obligatorio.

givenName

name.givenName

Este es un campo obligatorio.

surname

name.familyName

 

Join(" ", [givenName], [surname])

name.formatted

 

mobile

phoneNumbers[type eq "work"].value

 

 

La configuración tiene el siguiente aspecto:

 

SCIM8

 

 

 

Consideraciones

La sincronización de grupos y roles no es compatible

Para desactivar usuarios, debe ACTUALIZAR la información del usuario y establecer el atributo Activo como falso.

La primera vez que sincronice usuarios utilizando el protocolo SCIM, debe reiniciar su servidor Bizagi BPM.