Introducción
Esta sección describe cómo configurar OAuth en su proyecto Bizagi, para que pueda delegar la autenticación en otro proyecto Bizagi. El proyecto Bizagi establecido para utilizar OAuth para propósitos de autenticación se referirá como el Proyecto de Cliente, mientras que el proyecto de objetivo que otorga acceso se referirá como el Proyecto de Servidor.
El siguiente diagrama muestra los pasos para autenticar a un usuario cuando se utiliza un otro proyecto Bizagi.
1. Redirigir al proveedor de identidad y validar las claves del servidor OAuth. Cuando un usuario intenta acceder al proyecto del cliente Bizagi, éste redirige la solicitud al servidor Bizagi. Primero, el servidor Bizagi valida las claves de OAuth (ID de Cliente y Secreto de Cliente), y la URI de redireccionamiento. Si alguna de ellas no coincide, el cliente Bizagi muestra un mensaje de error.
2. El servidor Bizagi solicita la credencial de usuario utilizando la página de inicio de sesión para el proyecto del servidor Bizagi.
3. Después de que el usuario introduce las credenciales, el servidor Bizagi valida las credenciales del usuario.
4. Si las credenciales dadas por el usuario son correctas, el servidor Bizagi devuelve el token de autenticación, de manera que da acceso al Portal de Trabajo del cliente Bizagi. Para ello, Bizagi cuenta con un servicio de callback, que está configurado como la URI de redirección, que espera la respuesta del servidor Bizagi en el procedimiento de autenticación utilizando el protocolo OAuth.
Lo que debe hacer
Para configurar su proyecto Cliente para que se registre confiando en un proyecto Servidor, por favor siga estos pasos:
1. Asegúrese de que el proyecto Servidor soporta OAuth.
2. Genere las claves de acceso para el acceso a OAuth.
3. Establezca el tipo de autenticación en el proyecto Cliente, a través de Bizagi Studio.
4. Sincronice los usuarios de su proyecto Servidor en su proyecto Cliente.
|
Los pasos orientados a configurar dicha integración, requerirán detalles técnicos específicos (por ejemplo, puntos finales, credenciales autorizadas) que normalmente son gestionados por un administrador de TI. Por lo tanto, estos pasos requerirán un perfil que tenga conocimientos especializados en este asunto, y que tenga acceso a la información mencionada anteriormente. |
1. Asegúrese de que el proyecto Servidor soporta OAuth.
En el Servidor del proyecto Bizagi, se puede utilizar cualquier tipo de autenticación.
Primero necesitará asegurarse de que dicho proyecto fue creado en la versión 11.1 o superior, y que dicho proyecto NO fue migrado de una versión anterior de Bizagi 10.x
2. Genere las claves de acceso para el acceso a OAuth.
Una vez que se haya asegurado de que su proyecto Servidor soporte OAuth según su versión, vaya al Portal de Trabajo y proceda a obtener las credenciales de OAuth (ID de cliente y secreto de cliente) como se describe a continuación:
2.1 Registre la aplicación OAuth.
Haga clic en la opción Aplicaciones OAuth2 disponible bajo el menú Admin para otorgar el acceso a una aplicación externa.
Observe que esta opción enumera los servicios a los que acceden los dispositivos Bizagi, pero le permite incluir aplicaciones adicionales que representan el acceso otorgado a los servicios mediante la obtención de las claves de acceso apropiadas.
2.2 Añada una nuevo aplicación.
Haga clic en la opción para añadir un nuevo registro en esta table:
|
Tenga en cuenta que para la configuración predeterminada y del sistema, sólo puede elegir editar la vida útil del token, que determina un número de minutos tras los cuales expira el token (para mejorar la seguridad empleada por estos token, especialmente en lo que respecta a los ataques de repetición).
|
Al definir la nueva aplicación, asegúrese de considerar los siguientes detalles:
•Nombre: De un nombre único y representativo.
•Tipo de concesión: Para este escenario en particular (conectar un proyecto de Cliente a un proyecto de Servidor), utilice el Código de Autorización.
•Sitio Web: Especifique la URL de su proyecto de Cliente con fines descriptivos.
•Alcance permitido: Para este escenario en particular (conectar un proyecto de Cliente a un proyecto de Servidor), use Iniciar Sesión.
•Estrategia de redireccionamiento: Para esta prueba inicial y para un uso general, considere la posibilidad de configurar la Aplicación web.
•URI de redireccionamiento: Defina la URL a la que se dirigirá la llamada una vez que el usuario introduzca sus credenciales.
•Vida de Token: Defina el número de minutos durante los cuales un mismo token es válido y puede ser reutilizado para otra invocación (normalmente para mejorar la seguridad y evitar ataques de repetición). Un ajuste habitual o recomendado debe considerar no exceder los 15 minutos.
Una vez que ha terminado, haga clic en la opción Guardar.
Podrá observar que su nueva aplicación registrada aparece junto con sus claves de acceso.
2.3 Copie las claves de acceso un vez registrada la aplicación.
Las claves de acceso que serán necesarias en el siguiente paso son: ID de Cliente y Secreto de Cliente.
3. Establezca el tipo de autenticación en el proyecto Cliente, a través de Bizagi Studio.
Para eligir explícitamente la autenticación Bizagi, siga estos pasos:
3.1 Abra su proyecto Bizagi Studio.
Abra Bizagi Studio y cargue su proyecto (Ambiente de Desarrollo).
2.2 Vaya a los ajustes de seguridad.
Haga clic en la vista Experto, y seleccione el módulo Seguridad.
Haga clic en Autenticación en el panel central, y asegúrese de que la lista desplegable en el panel de la derecha muestra OAuth.
A continuación, para el desplegable que aparece justo debajo, asegúrese de seleccionar Bizagi.
Haga clic en Actualizar si antes tenía otra opción.
Al establecer este tipo de autenticación, note que los demás parámetros se enumerarán como subpuntos:
2.3 Configure parámetros OAuth.
Consulte los detalles que figuran en el cuadro a continuación:
PARÁMETRO |
DESCRIPCIÓN |
|---|---|
Proveedor de Identidad Servidor URL |
Define la URL del servidor de Bizagi, para ese Proyecto de servidor encargado de autentificar a los usuarios. Para el Automation Service, esto se establece como https://[ambiente_proyecto]-[su_proyecto]-[su_empresa].bizagi.com |
Identificación de Cliente |
Mantiene la identificación de cliente tal y como se generó en su aplicación Servidor del proyecto OAuth. |
Secreto de Cliente |
Mantiene el secreto de cliente tal y como se genera en su aplicación Servidor del proyecto OAuth. |
Tipo de Cookie |
Define si Bizagi usa cookies Persistentes o de Sesión. El tiempo de inactividad define el tiempo de expiración de las cookies. |
Habilitar el registro de autenticación |
Establece si se registra un registro de auditoría con todos los eventos de autenticación. Si está activado, busca la tabla AUTHOLOG en la base de datos. |
Habilitar el Token de Actualización |
Permite un tratamiento de actualización automática del token (si está Activado), de modo que los usuarios no tengan que volver a introducir sus credenciales si la ficha ha caducado. Tenga en cuenta que a través de esta configuración, la caducidad del token sigue vigente sólo que Bizagi recuperará automáticamente un nuevo token. |
Habilitar el Registro Único en la Cookie |
Permite una experiencia de Inicio de Sesión Única confiando en las cookies (si están Activadas). |
Tiempo de inactividad |
Define el tiempo en minutos en el que una sesión inactiva expira; en cuyo caso sería necesario autenticarse de nuevo. Esta configuración define el tiempo de expiración de las cookies. En caso de que desee incrementar este tiempo de expiración a más de 60 minutos (no recomendado), tenga en cuenta que tendrá que editar la configuración predeterminada en su servidor web (por ejemplo, hacerlo directamente en el IIS |
Redirigir a una página de cierre de sesión después del proceso de cierre de sesión |
Define si los usuarios son redirigidos a una página de cierre de sesión estática cuando cierran la sesión. |
Redirigir la URI |
Define la llamada URI después de una autenticación exitosa. Para el Servicio de Automatización, esto se establece como https://[ambiente_proyecto]-[su_proyecto]-[su_empresa].bizagi.com/oauth2/client/callback |
Mostrar mensajes de error de autenticación detallados |
Define si los errores de autenticación se muestran de forma detallada cuando se producen.
|
Notas importantes
Considere las siguientes restricciones en este uso particular, al hacer que un Proyecto de Cliente se conecte a un Proyecto de Servidor y actualmente en relación con el manejo de errores:
•Los mensajes de error no son actualmente localizados en diferentes idiomas (se muestran sólo in inglés)
•Los mensajes de error no son diferentes en los distintos ambientes (Desarrollo, Prueba o Producción)
•No se muestra ninguna página de error cuando falla la conectividad entre el Proyecto de Cliente y el Proyecto de Servidor -especialmente si se prueban más de un proyecto bajo este tratamiento.
•Los registros no se registran con más detalle (es decir, el visor de eventos).
•Los siguientes ajustes en el Proyecto de Servidor (se aplica cuando se utiliza la autenticación Bizagi) no son configurables para el Proyecto de Cliente:
Habilite el cambio de contraseña después del primer ingreso, la Duración de la cuenta inactiva antes del bloqueo o las Opciones de restauración de la contraseña.