Introducción
Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Azure AD.
Esta sección es una guía paso a paso de la configuración necesaria, tanto en Azure como en Bizagi, para tener una autenticación intregrada en Bizagi contra Azure AD.
Nótese que para usar SAML 2.0, se requiere que tanto su IdP como proyecto de Bizagi, estén configurados para soportar HTTPS.
Para información introductoria sobre SAML 2.0, refiérase a Autenticación con SAML.
1. Generar certificados para firmar afirmaciones (obligatorio)
Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).
Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.
Para continuar con estos pasos guiados, debe tener:
•Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.
•Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.
|
Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad). |
Debe ingresar a Bizagi Studio o la Consola de Administración y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.
3. Descargue el archivo de metadata de Bizagi
Después de configurar el proveedor de identidad debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.
4. Configure la aplicación Entreprise en Azure AD
4.1. ingrese a sus servicios de Azure con derechos de administrador. Acceda a su suscripción a Azure con el servicio Azure AD usando alguno de estos roles: Global Administrator, Cloud Application Administrator, Application Administrator, or owner of the service principal.
Acceda a su suscripción de Azure con el servicio de Azure AD.
Para hacerlo, debe ingresar en el portal de Azure https://portal.azure.com.
4.2. Vaya a su Directorio Activo-
Clic en Active Directory en el panel de la izquierda, y seleccione App registrations para añadir una aplicación (haciendo clic en New registration).
4.3. Ingrese los detalles básicos de la aplicación.
Asígnele un nombre a la aplicación, y seleccione un Supported Account Type (se recomienda Single Tenant).
Para su Redirect URI, ingrese la URL por la cual acceden sus usuarios finales al Portal de Trabajo de Bizagi. Se debe seleccionar la opción Web.
Considere:
•Para Automation Service (proyectos en la nube), esta URL se especifica como:
https://[project_environment]-[your_project]-[your_company].bizagi.com/
Reemplace [your_company] y [your_project] por los valores correspondientes de sus suscripción.
Similarmente, reemplace [project_environment] con Test para un ambiente de pruebas, o dejándolo vacío para producción.
•Para proyectos locales de Bizagi, la URL se especifica como:
https://[your_server]/[your_project]
Reemplace [your_server] y [your_project] con los valores correspondientes a la configuración de su ambiente.
Dé clic en Register cuando haya terminado.
4.4. Configure Application ID URI en la aplicación creada recientemente. La URL configurada en este parámetro debe coincidir EXACTAMENTE con la registrada en la propiedad URL del proveedor de servicios de Bizagi Studio o Management Console, esta propiedad, tanto en Bizagi como en Azure, distingue entre mayúsculas y minúsculas, y así es como Bizagi y Azure se vinculan, en otras palabras, es un identificador entre los dos sistemas.
Para esto, vaya a la opción Add an Application ID URI de la app agregada recientemente.
4.5. Dé clic en Set junto a Application ID URI y configure App ID URI para referenciar el Portal de Trabajo de Bizagi.
Para Automation Service dicha URL tiene el formato:
https://[environment]-[project]-[company].bizagi.com/
Para proyectos locales, la URL tiene el formato:
https://[server]/[project]
Recuerde que la URL anterior es sensible a mayúsculas y que [Environment] - se debe dejar en blanco cuando se está en ambiente de producción.
La URL solicitada puede ser diferente según la arquitectura que tenga. Por ejemplo, en un ambiente clúster, debe establecer la URL del balanceador o del servidor proxy, que es la misma URL utilizada para acceder al Portal de Trabajo.
Dé clic en Register cuando haya terminado.
4.6 Vaya a la opción Authentication y agregue una redirect URI para que referencie el Portal de Trabajo con el sufijo /saml2/assertionConsumer. Se debe seleccionar la opción Web.
Para Automation Service, dicha URL usa el formato:
https://[environment]-[project]-[company].bizagi.com/saml2/assertionConsumer
Considere si su proyecto cuenta con este formato a su vez:
https://[environment]-[project]-[company].bizagi.com/[proyecto]/saml2/assertionConsumer
Para proyectos locales, dicha URL usa el formato:
https://[server]/[project]/saml2/assertionConsumer
4.7 Localice Logout URL e ingrese la URL del Portal de Trabajo añadiéndole el sufijo /saml2/logout.
Guarde los cambios cuando haya terminado.
4.8. Revise los endpoints.
Vaya a Overview y busque los Endpoints para obtener la URL de la ruta de la metadata que necesitará luego para configurar Bizagi.
|
Las configuraciones adecuadas de autorizaciones por lo general son correctas por defecto, lo que significa que no necesita establecer estas configuraciones. Por defecto, la aplicación nueva y sus llaves se dan con la opción Sign in and read user profile, que es lo que requiere Bizagi. Note que es correcto que esta configuración NO requiera Admin consent:
|
En este punto, las configuraciones de Azure AD han sido establecidas y puede seguir en Bizagi para completar el procedimiento.
Abra su configuración de Autenticación de Bizagi Studio, o usando su Management Console, y pegue la URL:
Ahora, cuando ejecuta el Portal de Trabajo, Bizagi muestra la página de inicio de sesión de su proveedor de identidad y los usuarios pueden autenticarse con este.
|
Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción. |
Reinicie sus servicios de Bizagi.
Para proyectos locales, esto significa ejecutar un IISReset.
Recuerde que cualquier cambio en el tipo de autenticación, o cualquier configuración, no se refleja de inmediato a no ser que la caché de la aplicación sea actualizada explícitamente.
En este punto ya tendrá configurado su Azure AD para que utilice SAML 2.0 para una autenticación integrada con Bizagi!