Configuración SAML con Okta para el Portal de Trabajo

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Okta.

Esta sección es una guía paso a paso de la configuración necesaria, tanto en Okta como en Bizagi, para tener una autenticación intregrada en Bizagi contra Okta.

Nótese que para usar SAML 2.0, se requiere que tanto su IdP como proyecto de Bizagi, estén configurados para soportar HTTPS.

Para información introductoria sobre SAML 2.0, refiérase a Autenticación con SAML.

1. Generar certificados para firmar afirmaciones (obligatorio)

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.

Para continuar con estos pasos guiados, debe tener:

•Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

•Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

2. Configure su IdP en Bizagi

Debe ingresar a Bizagi Studio o la Consola de Administración y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.

3. Descargue el archivo de metadata de Bizagi

Después de configurar el proveedor de identidad debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.

4. Configurar Bizagi como Proveedor de Servicios en Okta

Realice esto en las opciones de administrador que tiene Okta.

4.1. Entre con los derechos de administrador a su portal de Okta.

4.2. Localice el menú Aplicaciones y haga clic en él para seleccionar Aplicaciones.

Luego haga clic en Añadir aplicación:

4.3. Dé clic en Crear nueva app dado que es una no existente.

4.4. Llene los siguientes detalles:

•Platform: Seleccione Web.

•Sign on method: Dé clic en SAML 2.0.

•Platform: Seleccione Web.

Dé clic en Crear cuando haya terminado.

4.5. Vaya a Crear Integración SAML.

4.6. Llene las configuraciones generales.

•App name: Defina el un nombre único para darle a su aplicación-

•App logo: Seleccione un logo representativo de su elección.

Dé clic en Siguiente cuando termine..

4.7. Llene las configuraciones de SAML:

•URL de SSO: entre la URL del Portal de Trabajo seguida por el sufijo /saml2/assertionConsumer.

Para Automation Service, dicha URL tiene el formato:

https://[environment]-[project]-[company].bizagi.com/saml2/assertionConsumer

Para proyectos locales, la URL tiene el formato:

https://[server]/[project]/saml2/assertionConsumer

•Use this for Recipient URL and Destination URL: Seleccione esta opción.

•Audience URI (SP Entity ID): Entre la URL del Portal de Trabajo como se configuró en Bizagi Studio (o el management console).

Para Automation Service, la URL tiene el formato:

https://[environment]-[project]-[company].bizagi.com

Para proyectos locales, dicha URL tiene el formato:

https://[server]/[project]

•Use this for Recipient URL and Destination URL: Seleccione esta opción.

•Default RelayState: Déjela vacía.

•Name ID format: Seleccione E-mailAddress.

•Application Surname: Seleccione E-mail.

4.8. Llene las Opciones avanzadas:

•Response: Seleccione Signed.

•Assertion Signature: Seleccione Signed.

•Signature Algorithm: Seleccione RSA-SHA1 o RSA-SHA256, dependiendo del que haya configurado en Bizagi.

•Digest Algorithm: Seleccione SHA1 o SHA256. Recomendamos usar SHA256 ya que SHA1 es un algoritmo obsoleto.

•Assertion Encryption: Seleccione Encrypted.

•Encryption Algorithm: Seleccione AES256-CBC.

•Key Transport Algorithm: Seleccione RSA-1.5.

•Encryption Certificate: Busque el certificado público para encripción y súbalo.

•Enable Single Logout: Seleccione Allow application to initiate Single Logout.

•Single Logout URL: Entre la URL del Portal de Trabajo seguida del sufijo /saml2/logout.

Para Automation Service. la URL tiene el formato:

https://[environment]-[project]-[company].bizagi.com/saml2/logout

Para proyectos locales, la URL tiene el formato:

https://[server]/[project]/saml2/logout

•SP Issuer: Entre la URL del Portal de Trabajo como se configuró en Bizagi Studio (o en el management console).

Para Automation Service, la URL tiene el formato:

https://[environment]-[project]-[company].bizagi.com

Para proyectos locales, la URL tiene el formato:

https://[server]/[project]

•Signature Certificate: Busque el certificado de seguridad para firmas y súbalo.

•Authentication context class: Seleccione PasswordProtectedTransport.

•Honor force authentication: Seleccione Yes.

•SAML Issuer ID: Deje el valor por defecto como Generado por Okta.

Dé clic cuando haya terminado.

4.9. Deje los valores por defecto y en blanco para las demás opciones y haga clic en Siguiente.

Note que puede dar una vista previa de cómo quedarán las aserciones en ejecución.

4.10. Note que en la pestaña Feedback, puede escoger establecer:

•Are you a customer or partner: Seleccione I'm an Okta customer adding an internal app.

•App type: Seleccione This is an internal app that we have created.

Dé clic en finalizar cuando haya terminado.

4.11. Finalmente y cuando se haya creado la app, navegue a sus detalles y a la pestaña Sign On.

4.12. Dé clic y seleccione el hipervínculo identificado como Metadata del Proveedor de identidad.

Recuerde que puede copiar la URL, para poderla configurar en Bizagi, haciendo que la ruta del archivo de metadata del IdP apunte a el.

Ahora, cuando ejecuta el Portal de Trabajo, Bizagi muestra la página de inicio de sesión de su proveedor de identidad y los usuarios pueden autenticarse con este.