Autenticación con Azure AD usando OAuth 2.0

<< Click para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con OAuth >

Autenticación con Azure AD usando OAuth 2.0

Introducción

Openid es un protocolo de autenticación, construido sobre OAuth2.0 para extender la especificación de autorización. Se puede utilizar para iniciar sesión de forma segura en las aplicaciones web de los usuarios (en este caso, el portal de trabajo).

Al usar esta función, puede externalizar el inicio de sesión, el inicio de sesión y otras experiencias de administración de identidad en sus aplicaciones web a Azure AD. Esto le permite tener capacidades de inicio de sesión único a nivel del navegador.

 

Este mecanismo de autenticación introduce el concepto de un id_token, que es un token de seguridad que permite la debida verificación de la identidad del usuario al obtener parte de su información de perfil básica.

Debido a que OpenId extiende OAuth 2.0, también permite que las aplicaciones adquieran access_tokens de forma segura. Access_tokens le permite acceder a recursos que están protegidos por un servidor de autorización.

 

note_pin

Los estándares actualmente admitidos en este mecanismo son:

OpenId v1.0, confiando en el flujo de autorización de OAuth 2.0.

 

Aunque OAuth2.0 considera aspectos de autorización, estas definiciones se aplican a los recursos.

Esto significa que, para las definiciones de permisos de acceso en el Portal de Trabajo de Bizagi (es decir, qué perfiles pueden ver, trabajar o usar ciertas opciones de Bizagi), aún deberá ingresar definiciones de autorización en Bizagi.

 

Qué necesita hacer

Para configurar Bizagi para autenticar usuarios a través de Azure AD, por favor siga los siguientes pasos:

 

1. Registr el Portal de Trabajo de Bizagi como una app autorizada en su Azure AD.

2. Configure el tipo de autenticación en la Consola de Administración

3. Sincronize usuarios en Bizagi

 

note_pin

Los pasos orientados hacia la configuración de la integración con Azure AD requerirán detalles técnicos específicos (por ejemplo, puntos finales, credenciales autorizadas) que generalmente administra un administrador de TI. Por lo tanto, estos pasos requerirán un perfil que tenga experiencia en este asunto y que tenga acceso a la información mencionada anteriormente.

 

1. Registre su Portal de Trabajo como una aplicación autorizada en su Azure AD.

El primer paso es definir la configuración necesaria para registrar el portal de trabajo de Bizagi (su URL) en Azure AD.

Esto incluye ingresar Endpoints de Bizagi para obtener llaves de acceso adecuadas para una conexión autorizada.

 

1.1 Ingrese a su servicio de Azure AD

Ingrese a su suscripción AzureAD. Para eso ingrese a https://portal.azure.com.

 

AzureAD_portal01

 

 

1.2 Vaya a las opciones de Directorio  Activo

Haga clic en la opción Active Directory en el panel izquierdo y haga clic en en Registros de la aplicación para luego agregarle una nueva aplicación (haciendo clic en Nuevo registro de aplicación).

 

Azure_auth1

 

1.3 Registre las propiedades

Dé un nombre a la aplicación y seleccione Web App / API para este tipo.

Para su URL de inicio de sesión, tenga en cuenta que debe ingresar la URL base donde sus usuarios finales acceden al Portal de Trabajo de Bizagi.

 

Considerare:

Para Automation Services (proyectos en la nube), esta URL se especifica como:

https: // [entorno_proyecto] - [su_proyecto] - [su_empresa] .bizagi.com

Al reemplazar [su_empresa] y [su_proyecto] por los valores de su suscripción en consecuencia.

Del mismo modo, reemplace [project_environment] con prueba para un entorno de prueba, o con nada para un entorno de producción.

 

Para proyectos On-premises de Bizagi, esta URL se especifica como:

https: // [su_servidor] / [su_proyecto]

Al reemplazar [su_servidor] y [su_proyecto] dependiendo de cómo configure su entorno.

 

Azure_auth2

 

Haga clic en crear cuando esté listo.

 

1.4 Vaya a los detalles de su aplicación

Una vez la aplicación está creada, haga clic en esta para ver sus detalles. Tenga en cuenta el Application  ID de la aplicación creada.

 

Azure_auth3

 

1.5 Crear una llave de acceso válida para la app

Vaya a las configuraciones y haga clic en llaves.

 

Azure_auth4

 

En la siguiente pantalla, asegúrese de agregar un número descriptivo largo para su llave. Ingrese dicho número en la Descripción. Asegúrese de establecer la caducidad de dicha clave y luego haga clic en Guardar para que la llave se genere y se le muestre.

 

Azure_auth5

 

note_pin

Tenga en cuenta que las claves de acceso anteriores deben tener una fecha de vencimiento y, por lo tanto, usted es responsable de administrar y velar por su validez.

 

 

En este punto, debe copiar el valor de la llave.

Asegúrese de pegarlo en un lugar que controle teniendo las medidas adecuadas para su custodia y reconozca que este valor será su llave.

 

Azure_auth6

 

1.6 Complete detalles adicionales de URL

Regrese a Configuración pero esta vez explore las Propiedades de su aplicación.

Allí, puede buscar el URI de ID de aplicación actual y cambiarlo a uno más descriptivo (como uno que incluya la URL de su Portal de Trabajo Bizagi).

Aún así, es necesario que este URI sea único.

 

Complete otras URL, como la URL de la página de inicio o LogoutURL.

 

Azure_auth7

 

1.7 Configurar puntos finales de Bizagi en Azure AD

Vuelva a Configuración pero esta vez vaya a la URL de respuesta de su aplicación.

Allí, edite el valor actual para que use la misma URL que se especificó para la URL de inicio de sesión, pero esta vez se adjunta al final el siguiente sufijo:

/oauth2/client/callback

 

Azure_auth9

 

Luego haga clic en salvar.

 

1.8 Busque sus puntos finales AD

Vuelva a los registros de la aplicación y busque los endpoints para recopilar estas URL que deberá configurar más adelante en Bizagi.

 

Azure_auth8

 

Asegurese de copiar los siguientes endpoints:

OAuth 2.0 Token Endpoint

OAuth 2.0 Authorization Endpoint

 

note_pin

Por lo general, las configuraciones de autorización adecuadas se configuran correctamente, lo que significa que no debería necesitar configurarlas.

Por defecto, las nuevas aplicaciones y sus claves se otorgan con Iniciar sesión y leer el perfil de usuario, que es lo que requiere Bizagi.

Tenga en cuenta que está bien que esta configuración NO requiera Admin:

 

Azure_auth10

 

 

En este punto, se configura directamente en Azure AD y ahora puede ir a Bizagi para completar el procedimiento.

 

2. Configure el tipo de autenticación en Bizagi con la Consola de Administración.

En este punto, después de haber verificado que el acceso en Azure AD es adecuado, ahora deberá ingresar los detalles de Azure AD en Bizagi.

Para ello, use la Consola de Administración de Bizagi dirigida al entorno al que desea que se aplique esta configuración (por ejemplo, entorno de desarrollo, entorno de prueba, entorno de producción).

 

2.1 Abra su proyecto con la consola de administración.

Abra la consola de administración de Bizagi y cargue su proyecto.

 

Cloud_OpenProj_MC

 

2.2 Vaya a las configuraciones de seguridad

Haga clic en el módulo de Seguridad

 

AzureAD_MC

 

2.3 Seleccione la autenticación de Azure.

Para hacer esto, haga clic en Autenticación en el panel central y use la siguiente configuración para los parámetros en el panel de la derecha:

Tipo: OAuth2.

Cliente: Azure AD.

Haz clic en Actualizar.

 

AzureAD_Bizagi

 

Una vez que se eligen OAuth2 y AzureAD, notará que se muestran nuevos parámetros para dicha autenticación.

 

2.4 Configure los paramétros y endpoints

Para hacerlo considere los siguientes detalles:

 

 

PROPIEDAD

VALOR

Client ID

Debería coincidir con el Id. De aplicación registrado en Azure AD.

Client Secret

Debe coincidir con la clave generada para esa aplicación establecida en Azure AD.

Redirect Uri

Debe coincidir con el URI de respuesta registrado en Azure AD, que debe corresponder a la URL de respuesta (que termina en /oauth2/client/callback ).

OAuth2 Authorization Endpoint

Debe coincidir con el endpoint de autorización de OAuth 2.0 según su Azure AD.

Use la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/authorize

 

Considere:

[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure).

Token Endpoint

Debe coincidir con el punto final del token de OAuth 2.0 según su Azure AD.

Use la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/token

 

Considere:

[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure).

Logout Endpoint

Debe hacer referencia a un endpoint de logout de sesión como lo maneja Azure AD, que generalmente tiene la siguiente URL:

https://login.microsoftonline.com/[tenant]/oauth2/logout?post_logout_redirect_uri=[homeRedirect]

 

Considere:

[tenant]: Debe especificar su ID de tenant (según la suscripción de su Azure).

[homeRedirect]: Debe especificar la URL utilizada para dirigir después de un cierre de sesión.

por lo general, utiliza la misma URL de inicio de sesión, que es la que dirige al Portal de Trabajo de Bizagi.

 

note_pin

Si aplicó este cambio en un entorno distinto del desarrollo, debe asegurarse de que los mismos cambios se apliquen en su ambiente de Desarrollo.

Para hacer esto, siga el mismo procedimiento mencionado anteriormente mientras usa Bizagi Studio.

 

 

3 Sincronice los usuarios de su Azure AD con Bizagi.

En este punto, la configuración está completa.

Sin embargo, antes de usar o probar la autenticación integrada en tiempo de ejecución, deberá importar explícitamente a los usuarios de  a Bizagi (ya que está a cargo de administrar los usuarios). Vea cómo sincronizar usuarios.

 

note_pin

Si aún no va a sincronizar a los usuarios, entonces puede probar que la autenticación funciona como se esperaba simplemente creando un usuario manualmente en el portal de Bizagi Work para fines de validación. Para crear dicho usuario, considere:

1. Es posible que deba volver a usar temporalmente la autenticación de Bizagi para poder iniciar sesión.

2. Asegúrese de que su usuario creado esté configurado con la combinación exacta de dominio / nombre de usuario que coincida con sus usuarios en Azure AD.

 

Autenticación en tiempo de ejecución

Una vez que se llevan a cabo estos pasos, se establecerá la autenticación para sus usuarios finales en tiempo de ejecución.

Los usuarios finales podrán iniciar sesión, y usted puede verificarlos utilizando un navegador para acceder al portal de Bizagi Work.

 

La siguiente imagen ejemplifica el acceso al portal de trabajo del entorno de prueba para el servicio de automatización (utilizando https://[project_environment]-[your_project]-[your_company].bizagi.com)

 

AzureAD_AgilityURL

 

Cuando su Portal de Trabajo cargue, se redireccionaraá a la página de login de Azure AD.

 

AzureAD_portal01

 

Después de iniciar sesión correctamente en Azure AD, se lo redirige de nuevo al Portal de Trabajo de Bizagi con una sesión válida:

 

Cloud_WorkportalSession

 

note_pin

Si ya inició sesión con una sesión válida, no necesitará ingresar credenciales.

Las capacidades de SSO se mantienen en el nivel del navegador mientras se tiene una sesión válida autenticada. La duración de la sesión depende de las configuración en Bizagi, y no son heredadas del IdP