Introducción
Automation Service apoya la integración con los administradores de Identidad locales como los servidores LDAP (es decir, el Directorio Activo de Microsoft), a través de una configuración VPN.
Para obtener información introductoria sobre las opciones de autenticación en Bizagi, refiérase a Administración de identidad y accesos.
Cuando se utiliza la Autenticación LDAP en Bizagi, las credenciales introducidas en la página de inicio de sesión (nombre de usuario, contraseña y dominio) se envían a un servidor LDAP para su verificación.
Una vez que el servidor verifica la cuenta de usuario (que ya debe haber sido creada en Bizagi) y concede el acceso, el login es exitoso.
Con este tipo de autenticación, las contraseñas nunca se almacenan en Bizagi y usted es autónomo para confiar en su servidor LDAP para la configuración adecuada de la cuenta y las políticas de contraseña.
Antes de empezar
Necesita configurar una VPN para este tipo de autenticación.
Para detalles y requisitos sobre este paso, refiérase a Configuración de VPN
Lo que necesita hacer
Una vez una VPN está configurada, siga estos pasos para configurar la autenticación LDAP:
1. Configurar el tipo de autenticación en el Management Console (recomendado) o en Bizagi Studio.
2. Sincronizar las usuarios de su LDAP en Automation Service.
Procedimiento de configuración usando Management Console
1. Configurar el tipo de autenticación en Bizagi Studio.
Necesitará los detalles técnicos de su sistema LDAP.
1.1 Abra el Management Console de su proyecto
Para realizar cambios en las opciones de Autenticación, es necesario habilitar la ventana de mantenimiento. Para hacerlo, haga clic en el botón Ir a la ventana de mantenimiento.
Vaya a la pestaña Autenticación y asegúrese de que la lista desplegable muestre LDAP como la opción de seguridad. Haga clic en Guardar para actualizar la lista:
Una vez que elija LDAP, se mostrarán los subelementos de Autenticación.
Configure estos parámetros para finalizar los detalles y la configuración de conexión.
•Habilitar Autenticación basada den Formas: habilita la función con el protocolo de autenticación de Formas ASP.net, basado en el uso de Formas para autenticar usuarios. Para obtener más información, visite Autenticación de Formularios.
•Dominio de la Cookie de Autenticación Basada en Formas: escriba el dominio de la cookie en el campo disponible.
•Nombre de la Cookie de Autenticación Basada en Formas: el nombre de la cookie utilizada.
•Página de inicio de sesión de Autenticación Basada en Formas: establezca la URL de la página de inicio de sesión a la que Bizagi redirige en caso de que la sesión expire o la autenticación falle (por ejemplo, si usa la contraseña incorrecta).
•Tipo de cookie: define si Bizagi usa cookies persistentes o de sesión. El tiempo de espera para sesiones inactivas es el tiempo de vida para las cookies.
•Mostrar mensajes de error de autenticación detallados: Define si se muestran los errores de autenticación cuando ocurren.
•Habilitar el log de autenticación en la base de datos: Puede seleccionar esta opción para definir que la aplicación web debe registrar todos los eventos de autenticación (visto desde el Portal de Trabajo), de acuerdo a sus requerimientos de auditoría y expectativas.
•Tiempo de espera para sesiones inactivas: defina los minutos para los que una sesión expire. De acuerdo a sus requerimientos y expectativas de autenticación (por ejemplo, 5 minutos).
•Dirección URL del LDAP: Corresponde a la ruta de acceso al Servidor LDAP (usando el formato de URL de LDAP).
Es obligatorio que ingrese LDAP://myldap:389/OU=users,DC=domain,DC=com
El prefijo de LDAP con letras mayúsculas.
|
LDAP usando el protocolo SSL/TLS (LDAPS) NO es soportado.. |
•Usar configuraciones en la sincronización del LDAP: Aplica si usted ya ha configurado Bizagi para sincronizar los usuarios del Directorio Activo en Bizagi.
Si este es el caso, active esta opción, para utilizar la misma URL del LDAP y la configuración de los ajustes de sincronización de LDAP.
Cuando esta opción está activada, el valor de la primera opción será ignorado.
Procedimiento de configuración usando Bizagi Studio
Por defecto, los proyectos Bizagi Studio utilizan la Autenticación Bizagi, entonces el primer paso es cambiar esta configuración.
1. Configurar el tipo de autenticación en Bizagi Studio.
Necesitará los detalles técnicos de su sistema LDAP.
1.1 Abra su proyecto Bizagi Studio.
Abra Bizagi Studio y cargue su proyecto (ambiente de Desarrollo).
1.2 Vaya a la configuración de seguridad.
Haga clic en la vista de Experto y seleccione el módulo de Seguridad.
Haga clic en Autenticación en el panel central, y asegúrese de que la lista desplegable muestra LDAP como una opción de seguridad en el panel de la derecha. Haga clic en Actualizar para actualizar la lista:
Una vez que elija LDAP, aparecerán los subítems para la Autenticación.
Configure estos parámetros para finalizar los detalles y los ajustes de conexión.
•Dirección URL del LDAP: Corresponde a la ruta de acceso al Servidor LDAP (usando el formato de URL de LDAP).
Es obligatorio que ingrese LDAP://.. con tal prefijo de LDAP con letras mayúsculas.
•Habilitar Autenticación basada den Formas: habilita la función con el protocolo de autenticación de Formas ASP.net, basado en el uso de Formas para autenticar usuarios. Para obtener más información, visite Autenticación de Formularios.
•Dominio de la Cookie de Autenticación Basada en Formas: escriba el dominio de la cookie en el campo disponible.
•Nombre de la Cookie de Autenticación Basada en Formas: el nombre de la cookie utilizada.
•Página de inicio de sesión de Autenticación Basada en Formas: establezca la URL de la página de inicio de sesión a la que Bizagi redirige en caso de que la sesión expire o la autenticación falle (por ejemplo, si usa la contraseña incorrecta).
•Tipo de cookie: define si Bizagi usa cookies persistentes o de sesión. El tiempo de espera para sesiones inactivas es el tiempo de vida para las cookies.
•Habilitar el log de autenticación en la base de datos: Puede seleccionar esta opción para definir que la aplicación web debe registrar todos los eventos de autenticación (visto desde el Portal de Trabajo), de acuerdo a sus requerimientos de auditoría y expectativas.
•Tiempo de espera para sesiones inactivas: defina los minutos para los que una sesión expire. De acuerdo a sus requerimientos y expectativas de autenticación (por ejemplo, 5 minutos).
•Mostrar mensajes detallados de error de autenticación: Define si los errores de autenticación se muestran de forma detallada cuando ocurren.
•Utilice los ajustes en la sincronización LDAP: Esto aplica si usted ha configurado Bizagi para sincronizar sus usuarios de Directorio Activo en Bizagi (como se describe en el siguiente paso).
oActive esta opción para usar la misma URL LDAP y los mismos ajustes de la configuración de la sincronización LDAP.
oCuando esta opción está activada, el valor de la opción anterior será ignorado.
2. Sincronizar las usuarios de su LDAP en Automation Service.
Es su responsabilidad administrar los usuarios, y por lo tanto también necesita sincronizar los usuarios de su LDAP en Automation Service.
Para configurar y probar la sincronización LDAP en su proyecto, siga estos pasos:
2.1 Introduzca los ajustes de conexión e importación.
Esta configuración inicial se realiza en la pestaña de Configuración básica.
Para hacer eso, primero habilite la sincronización LDAP marcando la casilla de verificación Habilitado.
Luego, asegúrese de llenar tanto los ajustes de conexión como la de importación como se describe a continuación:
AJUSTES |
DESCRIPCIÓN |
|
Conexión |
URL LDAP |
Especifique la ruta URL para acceder al servidor LDAP (formato URL LDAP). |
Dominio/Nombre de usuario |
Especifique un nombre de usuario y su dominio, para ser usado como el usuario autentificado que realiza la sincronización. El usuario necesita acceso de lectura a estas definiciones. |
|
Contraseña |
Especifique la contraseña del nombre de usuario del dominio utilizado como usuario autenticado que realiza la sincronización. |
|
Hora de sincronización |
Define una hora del día en la que el Programador realizará la sincronización LDAP. Los valores permitidos para este campo son de 0 a 23. |
|
Ajustes de importación |
Filtro |
Proporcione un filtro para importar sólo las cuentas adecuadas en su proyecto (según un criterio de atributo LDAP). Recomendamos encarecidamente utilizar y establecer una condición de filtrado para importar el conjunto adecuado de usuarios (especialmente cuando se prueba la configuración). |
Dominio |
Especificar el nombre de dominio al que se registrarán los usuarios en la entidad de usuario de Bizagi (WFUser). |
|
Identificador de la cuenta de usuario |
Elija el atributo LDAP que identifica de manera ÚNICA cada cuenta. Por ejemplo, sAMAccountName es el atributo LDAP común que corresponde al nombre de cuenta de un usuario. |
|
Desde el Management Console
Desde Bizagi Studio
|
Puede definir la conexión y todos los ajustes de importación de LDAP relevantes por separado para cada uno de sus entornos (Desarrollo, Prueba y Producción).
Un despliegue inicial publicará esta configuración para cada entorno. A partir de entonces, los cambios en la configuración de importación LDAP deben gestionarse por separado para cada entorno. |
2.2. Especifique los mapas de atributos.
En la siguiente pestaña, Mapeos de Atributos, añada los mapeos necesarios para sus atributos WFUser (el nombre de la tabla que almacena los identificadores de usuarios en Bizagi).
Haga clic en el botón Agregar Mapeo. Seleccione los atributos de la Entidad WFUser y haga que coincidan con un atributo LDAP. Los atributos LDAP tienen la siguiente información entrante:
Desde Management Console
Desde Bizagi Studio
Este ejemplo muestra el mapeo de los atributos de correo y nombre, ya que estos dos son requeridos explícitamente en Bizagi (contactEmail y fullName).
2.3. Defina los valores por defecto (si los hay).
En la siguiente pestaña, Valores por Defecto, añada cualquier valor por defecto necesario para sus atributos WFUser.
Haga clic en el botón Agregar Valor por Defecto, y luego, seleccione atributos de la Entidad WFUser y asígneles valores.
Desde Management Console
Desde Bizagi Studio
|
No establezca el atributo habilitado como verdadero para todos los usuarios antes de confirmar que es el conjunto correcto de usuarios a importar y sincronizar. |
2.4. Pruebe y guarde su configuración.
Una vez que haya terminado la configuración, haga clic en el botón Probar para ver los resultados de la sincronización.
Tenga en cuenta que esto puede llevar un tiempo si tiene un gran número de usuarios y, por lo tanto, se recomienda que utilice la configuración de filtro mencionada en el paso 2.1.
Los resultados de la sincronización aparecen en la pestaña Resultados de la prueba.
|
Probar la configuración no implica que se haga una sincronización inmediata en Bizagi. Esto es sólo para propósitos de prueba. La lista de usuarios que se muestra no se actualiza automáticamente (esto sucede como tarea programada más tarde). |
Finalmente, guarde su configuración.
|
Al sincronizar sus usuarios, si un usuario ya no se encuentra en el servidor LDAP, Bizagi deshabilitará (pero no borrará) ese usuario en su importación. |