Introducción
Openid es un protocolo de autenticación, construido sobre OAuth2.0 para extender la especificación de autorización. Se puede utilizar para iniciar sesión de forma segura en las aplicaciones web (en este caso, el Portal de Trabajo). Al usar esta función, puede externalizar el inicio de sesión, el inicio de sesión y otras experiencias de administración de identidad en sus aplicaciones web a Azure AD. Esto le permite tener capacidades de inicio de sesión único a nivel del navegador.
Este mecanismo de autenticación introduce el concepto de un id_token, este es un token de seguridad que permite la debida verificación de la identidad del usuario al obtener parte de su información de perfil básica.
Debido a que OpenId extiende OAuth 2.0, también permite que las aplicaciones adquieran Access_tokens de forma segura. Los Access_tokens le permiten a los usuarios acceder a recursos que están protegidos por un servidor de autorización.
|
Esta implementacion no funciona para versiones de Prueba ya que son ambientes multitenant. Para ello se debe utilizar un ambiente enterprise y on premise.
Los estándares actualmente admitidos en este mecanismo son: OpenId v1.0, confiando en el flujo de autorización de OAuth 2.0.
Aunque OAuth2.0 considera aspectos de autorización, estas definiciones se aplican a los recursos. Esto significa que, para las definiciones de permisos de acceso en el Portal de Trabajo de Bizagi (es decir, qué perfiles pueden ver, trabajar o usar ciertas opciones de Bizagi), aún deberá ingresar definiciones de autorización en Bizagi. |
Qué necesita hacer?
Para configurar Bizagi para autenticar usuarios a través de Azure AD, por favor siga los siguientes pasos:
1. Registre el Portal de Trabajo de Bizagi como una app autorizada en su Azure AD.
2. Configure el tipo de autenticación en la Consola de Administración.
3. Sincronice usuarios en Bizagi.
|
Los pasos orientados hacia la configuración de la integración con Azure AD requerirán detalles técnicos específicos (por ejemplo, puntos finales, credenciales autorizadas) que generalmente administra un administrador de TI. Por lo tanto, estos pasos requerirán un perfil que tenga experiencia en este asunto y que tenga acceso a la información mencionada anteriormente. |
1. Registre el Portal de Trabajo como una aplicación autorizada en su Azure AD.
El primer paso es definir la configuración necesaria para registrar el Portal de Trabajo de Bizagi (su URL) en Azure AD.
Esto incluye ingresar los puntos de conexión (Endpoints) de Bizagi para obtener llaves de acceso adecuadas para una conexión autorizada.
1.1 Ingrese a su servicio de Azure AD
Acceda a su suscripción AzureAD. Para eso ingrese a https://portal.azure.com.
1.2 Vaya a las opciones de Directorio Activo
Haga clic en la opción Active Directory en el panel izquierdo y luego haga clic en en Registros de la aplicación para agregarle una nueva aplicación (haciendo clic en Nuevo registro).
1.3 Registre las propiedades basicas de la aplicación
Dé un nombre a la aplicación y seleccione Web App / API para su tipo.
Para su URL de inicio de sesión, tenga en cuenta que debe ingresar la URL base donde sus usuarios finales acceden al Portal de Trabajo de Bizagi.
Considere:
•Para Automation Services (proyectos en la nube), esta URL se especifica como:
https: // [entorno_proyecto] - [su_proyecto] - [su_empresa] .bizagi.com/oauth2/client/callback
Reemplace [su_empresa] y [su_proyecto] por los valores de su suscripción en consecuencia.
Del mismo modo, reemplace [project_environment] con prueba para un ambiente de Prueba, o con nada para un ambiente de Producción.
•Para proyectos On-premises de Bizagi, esta URL se especifica como:
https: // [su_servidor] / [su_proyecto]/oauth2/client/callback
Reemplace [su_servidor] y [su_proyecto] dependiendo de cómo configure su ambiente.
Haga clic en Crear cuando esté listo.
1.4 Crear un nuevo ID de la aplicación
Una vez la aplicación está creada, necesita crear un ID de la aplicación y el Ambito relacionado con este
Edite el Ambito, y seleccione la opción Adminitradores y Usuarios en el campo Quién puede dar su consentimiento.
|
Por lo general, las configuraciones de autorización adecuadas se configuran correctamente, lo que significa que no debería necesitar configurarlas. Por defecto, las nuevas aplicaciones y sus claves se otorgan con Iniciar sesión y leer el perfil de usuario, que es lo que requiere Bizagi. Tenga en cuenta que está bien que esta configuración NO requiera Admin:
|
1.5 Crear una llave de acceso válida para la aplicación
Vaya a Certificados & secretos y haga clic en Nuevo secreto de cliente.
En la siguiente pantalla, asegúrese de agregar un secreto descriptivo largo para su llave. Ingrese dicho número en la Descripción. Asegúrese de establecer la caducidad de dicha clave y luego haga clic en Agregar para que la llave se genere y se le muestre.
|
Tenga en cuenta que las claves de acceso anteriores deben tener una fecha de vencimiento y, por lo tanto, usted es responsable de administrar y velar por su validez. |
En este punto, debe copiar el valor de la llave.
Asegúrese de pegarlo en un lugar que controle teniendo las medidas adecuadas para su custodia y reconozca que este valor será su llave.
1.6 Complete detalles adicionales de URL
Puede registrar detalles de Personalización de marca adicionales como el nombre o la URL de la página de inicio. En la URL de la página de inicio puede configurar la URL de los Portales de Trabajo de Bizagi.
1.7 Configurar los puntos de conexión de Bizagi en Azure AD
Abra el módulo de Autenticación. Allí, asegúrese de que la URL de Inicio de sesión del URI de redireccionamiento (también denominada URL de respuesta) tenga al final el siguiente sufijo:
/oauth2/client/callback
Luego haga clic en Guardar.
1.8 Busque sus puntos de coneión del AD
Vuelva al Resumen (overview) y busque los Puntos de conexión para recopilar estas URL que deberá configurar más adelante en Bizagi.
Asegúrese de copiar los siguientes puntos de conexión:
•OAuth 2.0 Token Endpoint
•OAuth 2.0 Authorization Endpoint
|
Los puntos de conexión de OAuth 2 V2 no están soportados. |
En este punto, se configura directamente en Azure AD y ahora puede ir a Bizagi para completar el procedimiento.
2. Configure el tipo de autenticación en Bizagi en el Management Console.
En este punto, después de haber verificado que el acceso en Azure AD funciona, deberá ingresar los detalles de Azure AD en Bizagi.
Para ello, use el Management Console de Bizagi dirigida al ambiente al que desea que se aplique esta configuración (por ejemplo, ambiente de Desarrollo, ambiente de Prueba, ambiente de Producción).
2.1 Abra su proyecto con el Manegement Console.
Abra el Management Console de Bizagi y cargue su proyecto.
2.2 Vaya a las configuraciones de seguridad
Seleccione el módulo de Seguridad
2.3 Seleccione la autenticación de Azure.
Para hacer esto, haga clic en la opciónde Autenticación en el panel central y use la siguiente configuración para los parámetros en el panel de la derecha:
•Tipo: OAuth2.
•Cliente: Azure AD.
Haz clic en Actualizar.
Una vez que se eligen OAuth2 y AzureAD, notará que se muestran nuevos parámetros para dicha autenticación.
2.4 Configure los parámetros y puntos de conexión
Para hacerlo considere los siguientes detalles:
PROPIEDAD |
VALOR |
|---|---|
Client ID |
Debería coincidir con el Id. de la aplicación registrado en Azure AD. |
Valor del Client Secret |
Debe coincidir con el valor de la llave generada para esa aplicación establecida en Azure AD. |
Redirect Uri |
Debe coincidir con el URI de respuesta registrado en Azure AD, que debe corresponder a la URL de respuesta (que termina en /oauth2/client/callback ). |
OAuth2 Authorization Endpoint |
Debe coincidir con el punto de conexión de autorización de OAuth 2.0 según su Azure AD. Use la siguiente URL: https://login.microsoftonline.com/[tenant]/oauth2/authorize
Considere: •[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure). |
Token Endpoint |
Debe coincidir con el puntode conexión del token de OAuth 2.0 según su Azure AD. Use la siguiente URL: https://login.microsoftonline.com/[tenant]/oauth2/token
Considere: •[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure). |
Logout Endpoint |
Debe hacer referencia a un punto de conexión de cierre de sesión como lo maneja Azure AD, que generalmente tiene la siguiente URL: https://login.microsoftonline.com/[tenant]/oauth2/logout?post_logout_redirect_uri=[homeRedirect]
Considere: •[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure). •[homeRedirect]: Debe especificar la URL utilizada para dirigir después de un cierre de sesión. por lo general, utiliza la misma URL de inicio de sesión, que es la que dirige al Portal de Trabajo de Bizagi. |
Bizagi Server URL |
Introduzca la URL completa con la publicó y accedió al servidor Bizagi. |
Cookie type |
•Cookies persistentes: Permanecen en su disco duro hasta que usted las borra (cierra la sesión) o caducan. El tiempo que una cookie permanece en su navegador depende de cuánto tiempo se haya programado el tiempo de inactividad de la sesión.
•Cookies de sesión: Estas son temporales y se borran cuando usted cierra su navegador al final de su sesión. La próxima vez que visite el Portal de Trabajo no se guardará su sesión anterior y será como si ingresara por primera vez. |
Enable authentication logging in database |
Define si la aplicación web debe registrar cada evento de autenticación en la base de datos. |
Idle sessions time-out |
Determina la cantidad de minutos para una sesión antes de expirar. Valor por defecto: 20 |
Redirect to a logoff page after logoff process |
Por defecto, cuando se cierra la sesión, Bizagi redirige automáticamente a la página de inicio de sesión. Si desea cambiar este comportamiento y redirigir a una página estática de cierre de sesión, habilite esta opción. |
Show detailed authentication error messages |
Por razones de seguridad, las causas de error de autenticación no se muestran en el Portal de Trabajo, en cambio, se muestra un mensaje genérico sin detalles de la causa del error. Si desea mostrar las causas de los errores de autenticación, habilite esta opción. |
|
Si aplicó este cambio en un entorno distinto del desarrollo, debe asegurarse de que los mismos cambios se apliquen en su ambiente de Desarrollo. Para hacer esto, siga el mismo procedimiento mencionado anteriormente mientras usa Bizagi Studio. |
3. Sincronice los usuarios de su Azure AD con Bizagi.
En este punto, la configuración está completa.
Sin embargo, antes de usar o probar la autenticación integrada en tiempo de ejecución, deberá importar explícitamente a los usuarios a Bizagi (ya que está a cargo de administrar los usuarios). Vea cómo sincronizar usuarios.
|
Si aún no va a sincronizar a los usuarios, entonces puede probar que la autenticación funciona como se esperaba simplemente creando un usuario manualmente en el Portal de Bizagi Work para fines de validación. Para crear dicho usuario, considere: 1. Es posible que deba volver a usar temporalmente la autenticación de Bizagi para poder iniciar sesión. 2. Asegúrese de que su usuario creado esté configurado con la combinación exacta de dominio / nombre de usuario que coincida con sus usuarios en Azure AD. |
Autenticación en tiempo de ejecución
Una vez que se llevan a cabo estos pasos, se establecerá la autenticación para sus usuarios finales en tiempo de ejecución.
Los usuarios finales podrán iniciar sesión, y usted puede verificarlos utilizando un navegador para acceder al Portal de Trabajo de Bizagi.
La siguiente imagen ejemplifica el acceso al Portal de Trabajo del ambiente de Prueba para el servicio de automatización (utilizando https://[project_environment]-[your_project]-[your_company].bizagi.com):
Cuando el Portal de Trabajo cargue, se redireccionaraá a la página de login de Azure AD.
Después de iniciar sesión correctamente en Azure AD, se redirige de nuevo al Portal de Trabajo con una sesión válida:
|
Si ya inició sesión con una sesión válida, no necesitará ingresar credenciales. Las capacidades de SSO se mantienen en el nivel del navegador mientras se tiene una sesión válida autenticada. Otras propiedades como la duración de la sesión depende de las configuración en Bizagi, y no son heredadas del IdP |