Configuración SAML2 alternativa manual con Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML > Configuración SAML2 con Azure AD >

Configuración SAML2 alternativa manual con Azure AD

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Azure AD.

Esta sección es una guía paso a paso de la configuración necesaria, tanto en Azure como en Bizagi, para tener una autenticación intregrada en Bizagi contra Azure AD.

 

SAML_Azure_OV

 

Nótese que para usar SAML 2.0, se requiere que tanto su IdP como proyecto de Bizagi, estén configurados para soportar HTTPS.

Para información introductoria sobre SAML 2.0, refiérase a Autenticación con SAML.

 

note_pin

Si planea utilizar un método de autenticación diferente a Bizagi y está realizando un deployment a un ambiente que no tiene información de usuarios (normalmente es el caso en el primer deployment de un proyecto), siga estos pasos para que pueda configurar adecuadamente sus usuarios y autenticación sin tener problemas para acceder al Portal de Trabajo:

1.Haga el deployment con el método de autenticación establecido como Bizagi. Esto le permite acceder al Portal de Trabajo con el usuario Admon sin proveer credenciales.

2.Una vez haya ingresado al Portal de Trabajo, ingrese manualmente sus usuarios o alternativamente puede utilizar en el método de su elección para sincronizar la información de sus usuarios a la tabla WFUser (SOAP, Sincronización LDAP, Archivo de Excel, o haciendo un procedimiento de sincronización de datos.

3.Haga un IISRESET para que el usuario Admon no pueda acceder al Portal de Trabajo.

4.Después de tener sus usuarios registrados en el Portal de Trabajo, use el Management Console para establecer el método de autenticación al que prefiera y se adecue a sus necesidades.

 

Si planea usar autenticación LDAP con sincronización periódica de usuarios, puede ignorar los pasos anteriores dado que solo necesitará esperar a que ocurra la siguiente sincronización para que sus usuarios puedan acceder el Portal de Trabajo.

 

1. Generar certificados para firmar afirmaciones (obligatorio)

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.

 

Para continuar con estos pasos guiados, debe tener:

Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

2. Configure su IdP en Bizagi

Debe ingresar a Bizagi Studio o la Consola de Administración y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.

 

3. Descargue el archivo de metadata de Bizagi

Después de configurar el proveedor de identidad debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.

 

4. Configure la aplicación Entreprise en Azure AD

4.1. ingrese a sus servicios de Azure con derechos de administrador. Acceda a su suscripción a Azure con el servicio Azure AD usando alguno de estos roles: Global Administrator, Cloud Application Administrator, Application Administrator, or owner of the service principal.

Acceda a su suscripción de Azure con el servicio de Azure AD.

Para hacerlo, debe ingresar en el portal de Azure https://portal.azure.com.

 

AzureAD_portal01

 

4.2. Vaya a su Directorio Activo-

Clic en Active Directory en el panel de la izquierda, y seleccione App registrations para añadir una aplicación (haciendo clic en New registration).

 

Azure_auth1

 

4.3. Ingrese los detalles básicos de la aplicación.

Asígnele un nombre a la aplicación, y seleccione un Supported Account Type (se recomienda Single Tenant).

Para su Redirect URI, ingrese la URL por la cual acceden sus usuarios finales al portal de Trabajo de Bizagi. Se debe seleccionar la opción Web.

 

Considere:

Para Automation Service (proyectos en la nube), esta URL se especifica como:

https://[project_environment]-[your_project]-[your_company].bizagi.com/

Reemplace [your_company] y [your_project] por los valores correspondientes de sus suscripción.

Similarmente, reemplace [project_environment] con Test para un ambiente de pruebas, o dejándolo vacío para producción.

Para proyectos locales de Bizagi, la URL se especifica como:

https://[your_server]/[your_project]

Reemplace [your_server] y [your_project] con los valores correspondientes a la configuración de su ambiente.

 

AzureAD_20

 

Dé clic en Register cuando haya terminado.

 

4.4. Configure Application ID URI en la aplicación creada recientemente. La URL configurada en este parámetro debe coincidir EXACTAMENTE con la registrada en la propiedad URL del proveedor de servicios de Bizagi Studio o Management Console, esta propiedad, tanto en Bizagi como en Azure, distingue entre mayúsculas y minúsculas, y así es como Bizagi y Azure se vinculan, en otras palabras, es un identificador entre los dos sistemas.

Para esto, vaya a la opción Add an Application ID URI de la app agregada recientemente.

 

Azure_auth3

 

4.5. Dé clic en Set junto a Application ID URI y configure App ID URI para referenciar el Portal de Trabajo de Bizagi.

Para Automation Service dicha URL tiene el formato:

https://[environment]-[project]-[company].bizagi.com/

Para proyectos locales, la URL tiene el formato:

https://[server]/[project]

Recuerde que la URL anterior es sensible a mayúsculas y que [Environment] - se debe dejar en blanco cuando se está en ambiente de producción.

 

AzureAD_5

 

La URL solicitada puede ser diferente según la arquitectura que tenga. Por ejemplo, en un ambiente clúster, debe establecer la URL del balanceador o del servidor proxy, que es la misma URL utilizada para acceder al portal de trabajo.

 

Dé clic en Register cuando haya terminado.

 

4.6 Vaya a la opción Authentication y agregue una redirect URI para que referencie el Work Portal con el sufijo /saml2/assertionConsumer. Se debe seleccionar la opción Web.

Para Automation Service, dicha URL usa el formato:

https://[environment]-[project]-[company].bizagi.com/saml2/assertionConsumer

Considere si su proyecto cuenta con este formato a su vez:

https://[environment]-[project]-[company].bizagi.com/[proyecto]/saml2/assertionConsumer

 

Para proyectos locales, dicha URL usa el formato:

https://[server]/[project]/saml2/assertionConsumer

 

AzureAD_6

 

4.7 Localice Logout URL e ingrese la URL del Portal de Trabajo añadiéndole el sufijo /saml2/logout.

 

AzureAD_5b

 

Guarde los cambios cuando haya terminado.

 

4.8. Revise los endpoints.

Vaya a Overview y busque los Endpoints para obtener la URL de la ruta de la metadata que necesitará luego para configurar Bizagi.

 

AzureAD_7

 

note_pin

Las configuraciones adecuadas de autorizaciones por lo general son correctas por defecto, lo que significa que no necesita establecer estas configuraciones. Por defecto, la aplicación nueva y sus llaves se dan con la opción Sign in and read user profile, que es lo que requiere Bizagi.

Note que es correcto que esta configuración NO requiera Admin consent:

 

Azure_auth10

 

En este punto, las configuraciones de Azure AD han sido establecidas y puede seguir en Bizagi para completar el procedimiento.

 

Abra su configuración de Autenticación de Bizagi Studio, o usando su Management Console, y pegue la URL:

 

SAML_Bizagiparams2PingF

Ahora, cuando ejecuta el Portal de trabajo, Bizagi muestra la página de inicio de sesión de su proveedor de identidad y los usuarios pueden autenticarse con este.

 

note_pin

Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción.

 

Reinicie sus servicios de Bizagi.

Para proyectos locales, esto significa ejecutar un IISReset.

Recuerde que cualquier cambio en el tipo de autenticación, o cualquier configuración, no se refleja de inmediato a no ser que la caché de la aplicación sea actualizada explícitamente.

 

En este punto ya tendrá configurado su Azure AD para que utilice SAML 2.0 para una autenticación integrada con Bizagi!