Introducción
Bizagi ofrece la posibilidad de gestionar la configuración de seguridad del proyecto Bizagi a través de Bizagi Management Console.
La gestión de esta información se puede llevar a cabo de manera independiente para cualquiera de los entornos del proyecto: desarrollo, producción o pruebas.
Al utilizar Bizagi Management Console, encontrará la configuración relacionada a aspectos de seguridad, que podrá gestionar bajo el módulo con ese mismo nombre: Seguridad.
La configuración que es gestionada bajo este módulo incluye: el tipo de autenticación utilizado (Autenticación), el control de acceso (Autorización), y la Configurar la sincronización LDAP.
Configuración de la autenticación
Usted puede editar el tipo de autenticación usada por el proyecto y los parámetros adicionales que cada tipo de autenticación utiliza.
Los tipos de autenticación son:
•Autenticación Bizagi: Permite que Bizagi maneje la autenticación (el dominio, los usuarios y sus contraseñas se guardan en Bizagi).
•Autenticación LDAP: Usa un servidor LDAP (p. ej. un Directorio Activo) para verificar la información ingresada en la página de login (usuario, contraseña y dominio).
Mientras se use la autenticación contra un servidor LDAP, no se guardarán contraseñas en Bizagi.
•Autenticación Federada: Usa un proveedor de Identidad que autentica al usuario y facilitan las capacidades de Single Sing-On a través de servicios federados.
Mientas se use la autenticación Federada, no se guardarán las contraseñas en Bizagi y la autenticación es incrustada para ese proveedor de Identidad para cumplir con el estándar SAML 2.0.
•Autenticación Windows: Permite a Bizagi validar automáticamente, usuarios contra dominios y máquinas de Windows.
Esto se logra haciendo que el Portal de Trabajo delegue la autenticación a las máquinas de Windows del lado del cliente (Bizagi no almacenará contraseñas).
La Autenticación Windows no funciona en móviles si la autenticación anónima está deshabilitada. Para usarlo, tiene que habilitarla. Esto saltará la página de login.
•Autenticación personalizada; Permite que la autenticación sea manejada por una aplicación externa.
Con la autenticación personalizada, usted desarrolla su propio componente que sobre escribe los métodos de Bizagi en su componente de Autenticación.
De esta manera y por sí mismo, el componente que desarrolle puede contar con APIs u otros componentes de terceros y conexiones para autenticar al usuario (e.g. validar contra una base de datos MySQL, archivos XML o una base de datos de un sistema heredado, etc).
•Autenticación Mixta: Permite el uso de dos tipos diferentes de autenticación para usuarios de diferentes dominios. Uno de los tipos debe ser Autenticación Bizagi y el otro puede ser Windows o Autenticación personalizada
|
Considere los siguientes aspectos importantes:
1. Cualquier tipo de autenticación requiere que los usuarios hayan sido previamente creados o importados en la base de datos de Bizagi (aunque con ciertos tipos de autenticación, cierta información como la contraseña no se almacene en Bizagi).
2. Con cualquier tipo de autenticación, el usuario del sistema domain/admon debe mantenerse habilitado. Este usuario no debe asignarse a ningún usuario final específico, y deberá tener permisos restringidos en el menu y opciones del Portal de Trabajo. Se recomienda que usted crea y defina un usuario para el administrador de negocio de su solución de tal manera que sea ese otro usuario quien realice modificaciones en los valores de entidades paramétricas, la administración de sus usuarios, licencias o casos, etc. |
Los demás parámetros relacionados a cada tipo de autenticación que podrá modificar son:
Tipo de autenticación |
Opción |
Descripción |
|---|---|---|
Correo de notificación de cuenta activa - Asunto |
Define el asunto del correo que se envía a un usuario cuando su cuenta es creada y queda activa. Su uso está relacionado con Correo de notificación de cuenta activa - Mensaje. |
|
Correo de notificación de cuenta activa - Mensaje |
Define el cuerpo del correo que se envía a un usuario cuando su cuenta es creada y queda activa. Su uso está relacionado con Correo de notificación de cuenta activa - Asunto. |
|
Correo de solicitud de desbloqueo de cuenta - Asunto |
Define el asunto del correo que se envía al administrador cuando un usuario solicita el desbloqueo de una cuenta (cuando se usa Habilitar el envío de correos para desbloqueo de cuentas y se ha definido una Dirección de correo del administrador de cuentas). Su uso está relacionado con Correo de solicitud de desbloqueo de cuenta - Mensaje. |
|
Correo de solicitud de desbloqueo de cuenta - Mensaje |
Define el cuerpo del correo que se envía al administrador cuando un usuario solicita el desbloqueo de una cuenta (cuando se usa Habilitar el envío de correos para desbloqueo de cuentas y se ha definido una Dirección de correo del administrador de cuentas). Su uso está relacionado con Correo de solicitud de desbloqueo de cuenta - Asunto. |
|
Correo del recordatorio de contraseña - Asunto |
Define el asunto del correo que se envía al usuario cuando este solicita un recordatorio de contraseña. Su uso está relacionado con Correo del recordatorio - Mensaje. |
|
Correo del recordatorio de contraseña - Mensaje |
Define el cuerpo del correo que se envía al usuario cuando este solicita un recordatorio de contraseña. Su uso está relacionado con Correo del recordatorio - Asunto. |
|
Dirección de correo del administrador de cuentas |
Define la dirección de correo del administrador a cargo de las solicitudes de desbloqueo de cuentas (Correo de solicitud de desbloqueo de cuenta). Se requiere contar con Habilitar el envío de correos para desbloqueo de cuentas. |
|
Duración del bloqueo de cuenta |
Define la duración en minutos en que una cuenta permanece bloqueada por intentos fallidos al llegar al alcanzar el Número máximo de intentos fallidos, antes de ser automáticamente desbloqueada (cuando se tiene Habilitar el bloqueo de cuenta por intentos fallidos). Este parámetro debe ser igual o mayor al de la Tiempo de espera para intentos fallidos. |
|
Forzar el cambio de contraseña por primera vez |
Define si la contraseña debe ser cambiada después del primer inicio de sesión. Considere su uso, o de manera alternativa, optar por definir una Vigencia mínima de la contraseña. |
|
Forzar el uso de caracteres especiales en la contraseña |
Establece si la contraseña debe ser contener por lo menos un caracter especial (caracteres no alfa-numéricos). |
|
Forzar el uso de letras en la contraseña |
Establece si la contraseña debe ser contener por lo menos una letra. Considere en vez, el uso de Forzar el uso de mayúsculas en la contraseña y de Forzar el uso de mayúsculas en la contraseña. |
|
Forzar el uso de mayúsculas en la contraseña |
Establece si la contraseña debe ser contener por lo menos una letra mayúscula. |
|
Forzar el uso de minúsculas en la contraseña |
Establece si la contraseña debe ser contener por lo menos una letra minúscula. |
|
Forzar el uso de números en la contraseña |
Establece si la contraseña debe ser contener por lo menos un número. |
|
Forzar la validación de secuencias en contraseñas |
Establece si se valida que la contraseña no tenga secuencias de caracteres (p.e abc, ó 12). |
|
Forzar la validación del historial de contraseñas |
Define el número de contraseñas únicas que una cuenta debe tener antes de reutilizar una contraseña antigua. |
|
Habilitar el bloqueo de cuenta por intentos fallidos |
Establece si se deben bloquear las cuentas cuando se alcance el Número máximo de intentos fallidos. |
|
Habilitar el log de autenticación en la base de datos |
Establece si se debe crear un registro de auditoría con todos los eventos de autenticación. |
|
Habilitar el login rápido |
Aplica sólo para el ambiente de desarrollo y de pruebas.
Establece si el inicio de sesión en el Portal de Trabajo se realiza sin necesidad de ingresar la contraseña (un login rápido mediante la selección de cuenta desde una lista desplegable). La lista desplegable muestra los primeros 100 usuarios activos (para el usuario número 101 en adelante, habrá un campo de texto para escribir la cuenta). Su uso está orientado a pruebas unitarias o para verificar rápidamente prototipos (este parámetro no es válido en ambientes de producción). |
|
Habilitar el uso de pregunta secreta |
Establece si los usuarios establecen una pregunta secreta y su respuesta, de manera que puedan contar con la posibilidad de evitar un bloqueo de cuenta al olvidar la contraseña. |
|
Habilitar el envío de correos para desbloqueo de cuentas |
Establece si se debe o no enviar un correo al administrador cuando un usuario solicita el desbloqueo de su cuenta, según lo definido en Dirección de correo del administrador de cuentas y Correo de solicitud de desbloqueo de cuenta. |
|
Habilitar sesiones concurrentes por cuenta |
Establece si se permite más de un inicio de sesión concurrente para una misma cuenta. |
|
Longitud máxima de la contraseña |
Define el número máximo de caracteres que debe contener una contraseña (utilice cero si esta restricción no es deseada). |
|
Longitud mínima de la contraseña |
Define el número mínimo de caracteres que debe contener una contraseña. |
|
Número máximo de intentos fallidos |
Define el número máximo de intentos de inicio de sesión permitidos antes de que la cuenta quede bloqueada (si se cuenta con Habilitar el bloqueo de cuenta por intentos fallidos). |
|
Tiempo de espera para bloqueo de cuentas inactivas |
Define el número de días que transcurre antes de que una cuenta sea bloqueada por inactividad. |
|
Tiempo de espera para intentos fallidos |
Define la duración en minutos del contador de intentos fallidos. Después de este tiempo de espera, el conteo de intentos se reinicia (si no se llegó al tope de intentos fallidos Número máximo de intentos fallidos). |
|
Tiempo de espera para sesiones inactivas |
Define el tiempo en minutos, en el que una sesión inactiva expira. En dicho caso se deberá realizar la autenticación de nuevo. En caso de que desee aumentar este tiempo de espera a más de 60 minutos (no recomendado), entonces usted debe editar la configuración por defecto del servidor Web (por ejemplo, realizar la modificación directamente en el IIS). |
|
Acuerdo de nivel de servicio para desbloqueo de cuentas |
Define el tiempo esperado de servicio para procesar una solicitud de desbloqueo de cuenta (en horas). |
|
Vigencia máxima de la contraseña |
Define el número máximo de días en los que se puede utilizar una contraseña antes de que se exija una cambio (tiempo de expiración de la misma). |
|
Vigencia mínima de la contraseña |
Define el número mínimo de días que debe trascurrir antes de que la contraseña pueda ser cambiada de nuevo. Considere su uso, o de manera alternativa, optar por Forzar el cambio de contraseña por primera vez. |
|
LDAP |
AUTHOPTIONS_LDAP_Path |
Corresponde a la ruta de acceso al servidor LDAP (utilizando el formato de URL LDAP). |
AUTHOPTIONS_LDAP_UseIntegration |
Aplica si usted ya ha configurado Bizagi para sincronizar los usuarios del Directorio Activo en Bizagi. Si este es el caso, active esta opción, para utilizar la misma URL del LDAP y la configuración de los ajustes de sincronización de LDAP. Cuando esta opción está activada, el valor de la primera opción será ignorada. |
|
Personalizada |
Componente de Autenticación Personalizada: |
Define el nombre del assembly que llevará a cabo la autenticación. Este assembly debe estar presente en el bin de la aplicación Web o en el GAC. |
Clase de autenticación personalizada |
Define el nombre de la clase que realizará la autenticación personalizada dentro del componente especificado. Acá debería incluir el nombre del namespace de esa clase (definir este parámetro como Namespace.Clase). |
|
Mixta |
Bizagi Domain |
Especifique el nombre del dominio para los usuarios que van a ser autenticados mediante la autenticación de Bizagi.
|
Otro tipo de autenticación |
Seleccione el tipo de autenticación que utilizará (Windows o Personalizada). |
Configuración de la autorización
Usted puede editar los permisos otorgados o restringidos a los usuarios finales para administrar los perfiles que puedan acceder y modificar información, o utilizar ciertas opciones de administración del Portal de Trabajo.
Los permisos dentro de esta definición se apoyan en el concepto de roles y grupos de usuarios.
En el componente de Autorización usted puede administrar los accesos de los siguientes items:
MENÚ |
DESCRIPCIÓN |
|---|---|
Análisis
|
Permite o restringe acceso a información de Procesos específicos en las Herramientas de Análisis.
Si el acceso se restringe para un Proceso específico, usted podrá acceder el menú de Reportes, pero usted no podrá ver ese Proceso en el Monitoreo de Actividades de Negocio BAM, Sensores ni en el Análisis de Tareas y Procesos. |
Aplicaciones |
Permite o restringe acceso a Aplicaciones. Estos permisos se configuran para cada aplicación individualmente.
Si el acceso se restringe para una aplicación específica, usted no podrá crear nuevos casos de procesos que pertenezcan a esa aplicación; tampoco podrá ver casos relacionados a esos Procesos en su Inbox.
Usted debe saber que un usuario, pese a ser restringido a una Aplicación, podrá seguir siendo asignado a Procesos relacionados a ella pero no podrá acceder a sus tareas. Por esta razón sea cuidadoso al implementar esta restricción.
|
Entidades |
Permite o restringe privilegios de administración a Entidades Paramétricas en el Portal de Trabajo. Estos permisos se configuran para cada entidad individualmente.
Los privilegios de administración que se pueden configurar son:
•Control Total: Permite administración total de una entidad, es decir, si se concede, el usuario podrá crear nuevos registros de la entidad así como ver, modificar o eliminar los existentes.
•Ver Datos: Si se concede, el usuario únicamente podrá ver los registros de la entidad. Estos registros no podrán ser modificados.
•Modificar: Si se concede, el usuario podrá ver y modificar los registros de la entidad, pero no podrá crear nuevos registros.
•Crear: Si se concede, el usuario podrá crear nuevos registros en la entidad pero no podrá modificar los registros existentes. |
Administración |
Permite o restringe la administración de Alarmas, actividades asincronas, casos, usuarios por defecto y perfiles. |
Creación de Casos |
Permite o restringe la creación de nuevos casos. Estos permisos se conceden para cada Proceso individualmente.
Si se restringe para un Proceso específico, usted no podrá crear nuevos casos de ese Proceso; sin embargo, usted podrá ser asignado a las actividades de ese Proceso. |
Páginas |
Controla el acceso a las páginas de menús y sub-menús del Portal de Trabajo. Estos permisos se conceden para cada página individualmente.
IMPORTANTE: En el menú de Analysis, los permisos aplicados al menú Todos los Reportes se heredan para los sub-menús. Esto quiere decir que si se restringe el acceso a Todos los reportes usted no podrá acceder a ninguno de sus directorios de nivel más bajo (sub-meús). |
Políticas |
Permite o restringe acceso a Políticas. Estos permisos se conceden para cada política individualmente.
Si se restringe el acceso a una política específica, esta no será visible en el menú de Políticas de negocio del Portal de Trabajo; consecuentemente, usted no podrá acceder a ella. |
Consultas |
Permite o restringe acceso a Consultas de Caso. Estos permisos se conceden para cada consulta individualmente.
Si se restringe el acceso a una Consulta específica, esta no será visible en el menú de Consultas del Portal de Trabajo; consecuentemente, usted no podrá acceder a ella. |
Vocabularios |
Permite o restringe acceso a la Administración de Vocabularios. Estos permisos se conceden para cada definición individualmente.
Si se restringe el acceso a una Definición específica, esta no será visible en el menú de Políticas de negocio del Portal de Trabajo; consecuentemente, usted no podrá acceder a ella. |
Configurar la sincronización LDAP
Usted puede editar los parámetros de conexión a su sistema LDAP.
Al editar parámetros relacionados a la conectividad, o los relacionados a la sincronización como tal (p.e cuándo se efectúa la programación de esta sincronización, considere estas opciones:
Configuración |
Descripción |
|
|---|---|---|
Conexión |
LDAP URL |
Especifique la ruta o URL para acceder al servidor LDAP (formato de URL LDAP). |
Dominio\usuario |
Especifique un nombre de usuario y su dominio, para ser utilizado como el usuario autenticado que realiza la sincronización. |
|
Clave |
Especifique la contraseña de usuario del dominio utilizado como el usuario autenticado que realiza la sincronización. |
|
Hora de sincronización |
Defiar una hora del día para que el Programador realice la sincronización LDAP. Los valores permitidos para este campo son de 0 a 23. |
|
Configuración de importación |
FIltro |
Introduzca un filtro para importar sólo las cuentas correspondientes al proyecto (de acuerdo con un criterio de atributos LDAP). Se recomienda usar y configurar una condición de filtrado con el fin de importar el conjunto adecuado de los usuarios (especialmente al probar la configuración). Mayor información sobre los filtros posibles en Atributos de LDAP. |
Dominio |
Especifique el nombre del dominio al que los usuarios serán registrados en la entidad de usuario de Bizagi (WFUSER). |
|
Identificador de cuenta de usuario |
Seleccione el atributo LDAP que identifica de forma única cada cuenta. Por ejemplo, sAMAccountName es el atributo LDAP correspondiente al nombre de la cuenta de un usuario. |
|
Al editar los mapeos de atributos, añada, modifique o elimine los registros de mapeo de la definición en la pestaña de Agregar Mapeo.
Al editar los valores por defecto, añada, modifique o elimine los registros de la definición en la pestaña de Agregar Valor por defecto.
|
No especifique que el atributo Habilitado (enabled) se establezca en Verdadero, a menos que esté completamente seguro de que su licencia actual admitirá el número de usuarios importados. Tenga en cuenta que si el número total de usuarios activos es mayor que el número de usuarios con licencia, el Portal de Trabajo dejará de funcionar. |
Recuerde que en cualquier momento usted podrá probar la configuración de la sincronización con LDAP, especialmente útil si se ha realizado alguna modificación (p.e cambios en el filtro), de manera que los resultados de sincronización se mostrarán los registros encontrados en la última pestaña llamada Resultados de la prueba:
|
Probar la configuración no implica que se realice una sincronización inmediata en la base de datos de Bizagi. Esta opción únicamente es para propósitos de verificación y los resultados no se persisten dado que será el servicio Programador quien lleve a cabo la ejecución real en la hora programada. |
Importante
Las opciones presentadas en el módulo de Seguridad tienen un manejo especial.
La configuración de Autenticación y sincronización con LDAP se define inicialmente en el ambiente de desarrollo (por ejemplo, el método de Autenticación usado en el Portal de Trabajo o si se importan usuarios desde un Servidor LDAP).
Una vez que ya se haya hecho un Deployment a producción, esta configuración no es editable desde el ambiente de desarrollo (debe realizarse de manera separada a través del Management Console).
Para el ambiente de pruebas, los valores si se pueden redefinir nuevamente desde el ambiente de desarrollo (a través de Bizagi Studio) para que el Deployment los actualice.
En resumen, los cambios en la configuración de Autenticación y LDAP que ya está en producción, debe hacerse directamente sobre ese ambiente.