Configuración SAML2 con NetIQ

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML >

Configuración SAML2 con NetIQ

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como NetIQ Access Manager.

Esta sección es una guía paso a paso de la configuración necesaria, tanto en NetIQ Access Manager Access Manager como en Bizagi, para tener una autenticación intregrada en Bizagi contra NetIQ Access Manager.

 

SAML_NetIQ_OV

 

Nótese que para usar SAML 2.0, se requiere que tanto su IdP como proyecto de Bizagi, estén configurados para soportar HTTPS.

Para información introductoria sobre SAML 2.0, refiérase a Autenticación con SAML.

 

note_pin

Si planea utilizar un método de autenticación diferente a Bizagi y está realizando un deployment a un ambiente que no tiene información de usuarios (normalmente es el caso en el primer deployment de un proyecto), siga estos pasos para que pueda configurar adecuadamente sus usuarios y autenticación sin tener problemas para acceder al Portal de Trabajo:

1.Haga el deployment con el método de autenticación establecido como Bizagi. Esto le permite acceder al Portal de Trabajo con el usuario Admon sin proveer credenciales.

2.Una vez haya ingresado al Portal de Trabajo, ingrese manualmente sus usuarios o alternativamente puede utilizar en el método de su elección para sincronizar la información de sus usuarios a la tabla WFUser (SOAP, Sincronización LDAP, Archivo de Excel, o haciendo un procedimiento de sincronización de datos.

3.Haga un IISRESET para que el usuario Admon no pueda acceder al Portal de Trabajo.

4.Después de tener sus usuarios registrados en el Portal de Trabajo, use el Management Console para establecer el método de autenticación al que prefiera y se adecue a sus necesidades.

 

Si planea usar autenticación LDAP con sincronización periódica de usuarios, puede ignorar los pasos anteriores dado que solo necesitará esperar a que ocurra la siguiente sincronización para que sus usuarios puedan acceder el Portal de Trabajo.

 

1. Generar certificados para firmar afirmaciones (obligatorio)

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.

 

Para continuar con estos pasos guiados, debe tener:

Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

2. Configure su IdP en Bizagi

Debe ingresar a Bizagi Studio o la Consola de Administración y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.

 

3. Descargue el archivo de metadata de Bizagi

Después de configurar el proveedor de identidad debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.

 

4. Configurar Bizagi como Proveedor de Servicio en NetIQ Access Manager

Realice esto yendo a las opciones de administrador de NetIQ Access Manager.

 

4.1. Ingrese a las opciones de admin en el administrador de accesos de NetIQ Access Manager.

 

4.2. Localice el menú y vaya a Dispositivos -> Servidores de identidad -> <YOUR_SERVER>.

Considere que <YOUR_SERVER> debe ser reemplazado por el nombre de su servidor o clúster configurado de NetIQ Access Manager-

 

4.3. Asegúrese de seleccionar el protocolo SAML 2.0 para su servidor/clúster de NetIQ Access Manager.

Seleccione el recuadro de SAML en la sección Protocolos permitidos:

 

NetIQ_1

 

Dé clic en Ok cuando haya terminado.

 

4.4. Localice la pestaña de SAML 2.0 y dé clic en Nuevo.

Selecciones Proveedor de Servicios de la lista desplegable para registrar a Bizagi para que su conexión sea de confianza:

 

NetIQ_2

 

4.5. Llene los siguientes detalles:

Provider type: General.

Source: Metadata Text.

Name: entre un identificador único y para su propio mantenimiento y conveniencia. Se sugiere usar la URL de Bizagi.

Text: Pegue allí el contenido del archivo metadata.xml de Bizagi que fue producido en el paso #1.

 

NetIQ_3

 

Dé clic en Siguiente cuando haya terminado.

 

4.6. Confirme el certificado.

En este punto puede ver los detalles del certificado.

Confirme que es preciso (es el certificado usado por Bizagi como está en el archivo metadata.xml) dando clic en Terminar.

 

NetIQ_4

 

4.7. Localice el Proveedor de Servicios recientemente añadido (Bizagi) y haga clic en él.

Esto le permitirá definir qué información (atributos) retorna en la respuesta (aserción).

 

NetIQ_5

 

4.8. Localice la pestaña Atributos, y para su conjunto de atributos seleccione Emai.

Use las flechas para pasar atributos a la lista de Disponibles en la parte derecha.

 

NetIQ_6

 

Dé clic en Aplicar cuando haya terminado.

 

4.9. Vaya a la pestaña Respuesta de autenticación y para el Binding seleccione POST.

Luego, seleccione el recuadro de Email y asegúrese de que su Valor muestre el email correspondiente como fue seleccionado en el paso previo.

 

NetIQ_7

 

Dé clic en Aplicar cuando haya terminado.

 

4.10. Vaya al menú superior y localice la pestaña Segurdad -> Raíces de confianza.

Allí, importe el certificado de tal manera que sea localizable por la tienda de llaves de confianza de NetIQ Access Manager .

Es probable que estos pasos no sean siempre necesarios cuando no se esté trabajando con certificados auto-firmados. Si es el caso, entonces puede saltarlos o revisarlos con detenimiento (2.10 hasta el 2.15).

 

4.11. Clic en importar... para instalar el certificado (archivo .cer o .crt):

 

NetIQ_8

 

4.12. Navegue al certificado usando el botón Escoger archivo y nómbrelo (Certificate name):

 

NetIQ_9

 

Dé clic en Ok cuando haya terminado.

 

4.13. Dé clic en Añadir raíces de confianza a la tienda de confianza... y asegúrese de seleccionar el certificado recién importado para añadirlo:

 

NetIQ_10

 

4.14. Seleccione sus certificados y tiendas de confianza:

 

NetIQ_11

 

4.15. Dé clic en Ok al terminar.

Es posible que deba reiniciar sus servicios de NetIQ Access Manager.

 

NetIQ_12

 

4.16. Vaya al menú superior y ubique Dispositivos -> Servidores de Identidad -> <YOUR_SERVER>.

Considere que <YOUR_SERVER> debe ser reemplazado con el nombre de su servidor/cluster configurado de NetIQ Access Manager.

 

NetIQ_13

 

4.17. Vaya a la pestaña SAML 2.0 y seleccione la opción Encriptar aserciones para que NetIQ Access Manager cifre los mensajes enviados a Bizagi.

 

NetIQ_14

 

No seleccione Encriptar nombres de identificadores.

Guarde los cambios y salga cuando haya terminado.

En este punto tendrá la integración para autenticación de NetIQ Access Manager  con SAML 2.0 configurada con Bizagi!

 

Ahora, cuando ejecuta el Portal de trabajo, Bizagi muestra la página de inicio de sesión de su proveedor de identidad y los usuarios pueden autenticarse con este.

 

note_pin

Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción.