Configuración SAML2 con ADFS

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML >

Configuración SAML2 con ADFS

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Microsoft ADFS.

Esta sección es una guía paso a paso de la configuración necesaria, tanto en ADFS como en Bizagi, para tener una autenticación intregrada en Bizagi contra Microsoft ADFS.

 

SAML_ADFS_OV

 

Nótese que para usar SAML 2.0, se requiere que tanto su IdP como proyecto de Bizagi, estén configurados para soportar HTTPS.

Para información introductoria sobre SAML 2.0, refiérase a Autenticación con SAML.

 

note_pin

Si planea utilizar un método de autenticación diferente a Bizagi y está realizando un deployment a un ambiente que no tiene información de usuarios (normalmente es el caso en el primer deployment de un proyecto), siga estos pasos para que pueda configurar adecuadamente sus usuarios y autenticación sin tener problemas para acceder al Portal de Trabajo:

1.Haga el deployment con el método de autenticación establecido como Bizagi. Esto le permite acceder al Portal de Trabajo con el usuario Admon sin proveer credenciales.

2.Una vez haya ingresado al Portal de Trabajo, ingrese manualmente sus usuarios o alternativamente puede utilizar en el método de su elección para sincronizar la información de sus usuarios a la tabla WFUser (SOAP, Sincronización LDAP, Archivo de Excel, o haciendo un procedimiento de sincronización de datos.

3.Haga un IISRESET para que el usuario Admon no pueda acceder al Portal de Trabajo.

4.Después de tener sus usuarios registrados en el Portal de Trabajo, use el Management Console para establecer el método de autenticación al que prefiera y se adecue a sus necesidades.

 

Si planea usar autenticación LDAP con sincronización periódica de usuarios, puede ignorar los pasos anteriores dado que solo necesitará esperar a que ocurra la siguiente sincronización para que sus usuarios puedan acceder el Portal de Trabajo.

 

1. Generar certificados para firmar afirmaciones (obligatorio)

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.

 

Para continuar con estos pasos guiados, debe tener:

Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

2. Configure su IdP en Bizagi

Debe ingresar a Bizagi Studio o la Consola de Administración y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.

 

3. Descargue el archivo de metadata de Bizagi

Después de configurar el proveedor de identidad debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.

 

4. Configurar Bizagi como Proveedor de Servicios en ADFS

Realice esto entrando a las opciones de administración de ADFS.

 

4.1. En su servidor ADFS, abra la consola para su administración.

 

4.2. Inicie la creación de un tercero de confianza.

Puede hacer esto desde las opciones de tercero de confianza (Relying party trust) que le permitirá usar su asistente de configuración con un clic derecho.

 

ADFS_1

 

Hagal clic en Iniciar.

 

ADFS_2

 

4.3. Seleccione la fuente de datos.

Para configurar el tercero como se describe, seleccione Importar datos del tercero desde un archivo para navegar al archivo de metadata generado por Bizagi.

 

ADFS_3

 

4.4. Seleccione el archivo de metadata correspondiente.

Al dar clic en Navegar asegúrese de localizar el archivo de Bizagi metadata.xml.

 

ADFS_4

 

Dé clic en Siguiente al terminar.

 

4.5. Ingrese un nombre único.

Dé un nombre para desplegar esta configuración y para su conveniencia.

 

ADFS_5

 

Dé clic en Siguiente al terminar.

 

4.6. Saltar autenticación multi-factor.

Seleccione la opción No deseo configurar autenticación multi-factor para el tercero de confianza y dé clic en Siguiente cuando haya terminado.

 

ADFS_6

 

Dé clic Siguiente cuando haya terminado.

 

4.7. Seleccione la autorización de emisión.

Seleccione la opción Permitir el acceso a todos los usuarios del tercero y dé clic en Siguiente cuando haya terminado.

 

ADFS_7

 

Se le presentará un resumen de la información a establecer para el tercero de confianza, incluyendo la que viene del archivo de metadata de Bizagi.

Dé clic en Siguiente cuando haya terminado.

También puede revisar el algoritmo establecido (use SHA1 o SHA256), asegúrese de que coincida con el que haya seleccionado en Bizagi (lo puede revisar en la vista Avanzada).

 

4.8. Abra el editor de reglas de recogida.

Antes de cerrar la configuración actual, asegúrese de seleccionar la opción Abrir el editor de reglas de notificación para el tercero de confianza cuando se cierre el asistente.

 

ADFS_8

 

Luego puede dar clic en Cerrar.

 

4.9. Defina una nueva regla de recogida dando clic en Añadir regla.

 

ADFS_9

 

4.10. Seleccione el template de Send Claims Using a Custom Rule.

 

ADFS_10

 

Dé clic en Siguiente cuando lo haya hecho.

 

4.11. Cree las siguientes dos reglas:

 

Regla 1

 

Rule name: email

Custom rule: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

 

ADFS_12

 

Regla 2

 

Rule name: nameid

Custom rule: c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

 

ADFS_14

 

Al terminar, verá sus reglas como se muestra en la siguiente imagen:

 

ADFS_13

 

Es posible que las reglas no sean reconocidas inmediatamente. De ser el caso, elimine la regla, vuélvala a crear y reinicie el servidor ADFS.

 

En este punto tendrá configurado ADFS para usar SAML 2.0 como autenticación integrada con Bizagi!

Deberá realizar los pasos siguientes en caso de que haya usado certificados auto-firmados.

 

Pasos adicionales para certificados auto-firmados

Si emitió e instaló certificados auto-firmados para su ADFS (para firmar y encriptar mensajes), entonces deberá realizar lo siguiente:

1.Acceda a su servidor ADFS y abra la consola PowerShell.

2.Entre el siguiente comando:

Get-AdfsRelyingPartyTrust -Identifier [relying_party_trust] | Set-AdfsRelyingPartyTrust

-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None

Considere que debe cambiar [relying_party_trust] de acuerdo al nombre único dado en la configuración anterior (cuando registro Bizagi como tercero de confianza).

 

Ahora, cuando ejecuta el Portal de trabajo, Bizagi muestra la página de inicio de sesión de su proveedor de identidad y los usuarios pueden autenticarse con este.

 

note_pin

Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción.