Configurar Azure AD B2C con SAML 2.0

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con SAML 2.0 >

Configurar Azure AD B2C con SAML 2.0

Introducción

Azure AD B2C es un sistema de administración de identidad y accesos que permite a los usuarios utilizar cuentas de redes sociales, empresariales o personales para obtener un inicio de sesión único (SSO) en la aplicación donde se configure.

Este artículo provee una guía paso a paso para la configuración necesaria en Azure AD y en Bizagi, para tener una autenticación intregrada en Bizagi contra Azure AD.

 

 

AzureADB2C_00

 

Una vez haya realizar estos pasos, los usuarios pueden iniciar seción a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.

 

Antes de comenzar

Para configurar Azure AD soportando SAML 2.0, necesita:

 

Contar con un recurso de Azure AD B2C

Crear un Tenant B2C dentro del Azure AD B2C. Para saber cómo crear un Tenant B2C, haga clic aquí.

 

note_pin

El flujo de Olvidó Su Contraseña no se soporta.

 

Asociar el protocolo de SAML 2.0 con el B2C.

 

Configure las políticas necesarias para soportar SAML 2.0

Para hacer esto, diríjase a la configuración de su tenant y vaya al Marco de experiencia de identidad.

 

AzureADB2C_02

 

note_pin

Tenga en cuenta que debe estar en la suscripción y en el directorio activo donde el tenant B2C fue creado.

 

Cree las claves de directtiva necesarias para identificar los servicios con los que se va a integrar. Para hacer esto, haga clic en Claves de directiva y después en Agregar.

 

AzureADB2C_03

 

AzureADB2C_04

 

Registre la aplicación SAML en el Azure AD B2C. Para más información sobre cómo registrar una aplicación SAML en su B2C, haga clic aquí.

 

AzureADB2C_10

 

Para saber más sobre claves de directiva personalizadas, haga clic aquí.

 

Generar e importar previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar aserciones, también necesita esta información para otro certificado.

 

Para obtener más información sobre certificados, consulte Consideraciones sobre certificados para la autenticación SAML.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

Registrar usuarios en el Customer Portal

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.

Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML. Vea Crear usuarios en la compañía.

 

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.

 

¿Qué necesita hacer?

Un esquema que describe la configuración necesaria para iniciar sesión con Azure AD considera estos pasos:

1.Configure su proveedor de identidad en el Customer Portal.

2.Descargue el archivo de metadatos de Bizagi.

3.Registre una aplicación autorizada en Azure AD.

 

Configuración

Siga los pasos presentados para integrar su Azure AD después de haber creado los usuarios de la empresa:

 

1. Configure su IdP en el Portal del cliente

Acceda al Customer Portal como administrador de la empresa, seleccione el icono Configuración, abra el menú Protocolos y haga clic en Agregar autenticador.

 

customerportal_117

 

Seleccione la opción SAML 2.0 en la lista desplegable de protocolos y configure estos ajustes:

IDP: Nombre del proveedor de identidad asociado con el protocolo seleccionado.

Nombre para mostrar: nombre del autenticador que se muestra en el Customer Portal.

Descripción: Breve descripción del autenticador.

 

customerportal_131

 

Definir los dominios

Si necesita activar varios autenticadores, puede definir los dominios de correo electrónico asociados con cada autenticador. Consulte Múltiples autenticadores para portales basados ​​en la nube.

 

Archivo de metadatos

Proporcione la ruta donde se encuentra el archivo de metadatos de Azure AD. Esta ubicación suele ser una URL. Dicha URL en Azure AD generalmente se encuentra en:

 

https://login.microsoftonline.com/[tenant]/federationmetadata/2007-06/federationmetadata.xml

 

Debe proporcionar el ID de su inquilino / suscripción (como se copió en su portapapeles en los primeros pasos para configurar Azure AD). Esta propiedad no es obligatoria y se puede proporcionar más adelante al final del procedimiento de configuración. Consulte Obtener el archivo de metadatos de Azure.

 

También puede pegar el XML o cargar un archivo XML.

 

customerportal_124

 

Certificado de firma

Certificado de firma: Utilice el botón Examinar para ubicar y cargar el certificado digital (en formato P12 o PFX), que contiene la clave pública y privada que se utilizará para firmar las aserciones generadas por Bizagi.

Contraseña del certificado de firma: proporcione la contraseña del certificado digital utilizado para la firma de aserciones. Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: seleccione SHA1 o SHA256.

 

Certificado de cifrado

note_pin

Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

Solicitud de autenticación: no tiene información sensible, por lo tanto, no está encriptada por definiciones estándar.

Solicitud de cierre de sesión: esta afirmación contiene información confidencial y se puede cifrar. Si activa esta propiedad, Bizagi cifra las solicitudes de cierre de sesión. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

Verifique que su proveedor de identidad admita el cifrado de mensajes. Si no lo sabe o el cifrado no es compatible, deje estos campos vacíos.

 

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las afirmaciones generadas por Bizagi.

Contraseña del certificado de cifrado: proporcione la contraseña del certificado digital utilizado para el cifrado de las serciones.

 

customerportal_126

 

Opciones de inicio de sesión

Binding SSO: recomendamos seleccionar POST para que haya soporte para mensajes más largos.

Forzar autenticación: configúrelo en Sí para deshabilitar las capacidades de SSO para que cada vez que los usuarios intenten iniciar sesión en Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requisitos y expectativas de autenticación.

Formato de política de ID de nombre SAML: este es el formato del ID de nombre (identificador de usuario principal) esperado por su proveedor de identidad. Recomendamos utilizar la dirección de correo electrónico.

 

Opciones de cierre de sesión

Binding SLO: Recomendamos seleccionar REDIRECT ya que es soportado específicamente por Azure AD.

Cifrar mensajes: Bizagi envía una aserción de solicitud de cierre de sesión. Esta afirmación contiene información confidencial y se puede cifrar. Si establece esta propiedad en Sí, la solicitud de cierre de sesión es encriptada por Bizagi usando el certificado de encriptación. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

customerportal_127

 

Información de la empresa

Nombre de la organización: nombre de su empresa enviada en la afirmación.

URL de la organización: URL de su empresa enviada en la afirmación.

Dirección de contacto de correo electrónico técnico: dirección de correo electrónico del administrador de su plataforma.

 

customerportal_128

 

2 Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Los proveedores de identidad suelen requerir este archivo para definir configuraciones predefinidas.

 

Asegúrese de cargar el certificado de firma y establecer la contraseña del certificado de firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints.

 

Puede revisar este archivo de metadatos buscándolo en:

https://accounts- [empresa].bizagi.com/saml2/metadata

 

Puede obtener una vista previa o descargar el archivo:

 

AzureADB2C_01

 

3. Configure la aplicación Entreprise en Azure AD

 

3.1 Acceda a sus servicios de Azure con una cuenta de usuario con derechos de administrador.

Acceda a su suscripción a Azure con el servicio Azure AD.

Tendrá que registrarse en el portal de Azure en https://portal.azure.com.

 

AzureAD_portal01

 

Asegúrese de estar en la suscripción y en el directorio activo donde el tenant B2C fue creado.

 

AzureADB2C_05

 

3.2 Registre la aplicación

Abra el Azure AD, y seleccione el menú de Registros de aplicaciones. Haga clic en Nuevo registro:

 

AzureADB2C_06

 

De un nombre a su aplicación. Después, seleccióne el tipo de cuentas compatibles. Asegúrese de seleccionar el tenant asociado al B2C. Finalmente, digite la URL de su proyecto.

 

AzureADB2C_07

 

3.3 Cambie el manifiesto de la aplicación

Una vez su aplicación haya sido registrada, ustted podrá verla en el menú de Registros de aplicaciones. Diríjase a la aplicación.

 

AzureADB2C_08

 

En el manifiesto, cambie los siguientes parámetros por los valores a continuación:

identifiersURIs: https://myproject-bizagi.com

logoutURl: https://myproject-bizagi.com/saml2/logout

replyURL withType

ourl: https://myproject-bizagi.com/saml2/assertionConsumer

samlMetadataURL; https://myproject-bizagi.com/saml2/metadata?mode=preview

signInURL: https://myproject-bizagi.com

 

AzureADB2C_09

 

3.4 Obtenga la URL de los metadatos

Diríjase al Marco de experiencia de identidad y abra el archivo llamado TrustFrameWorkBase.

 

AzureADB2C_11

 

Busque el nodo de TechnicalProfile asociado al protocolo SAML. Dentro de este encontrará el IssuerUri, donde se encuentra la metadata asociada al generador de aserciones de SAML configurado en Azure AD B2C

 

AzureADB2C_12

 

Finalmente, agrege el siguiente sufijo a la URL copiada: Samlp/metadata

 

note_pin

La URL de metadata URL debe tener el siguiente formato:

 

https://<B2Ctenant>.b2clogin.com/<B2Ctenant>.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata

 

Donde <B2Ctenant> es el nombre de su tenant configurado en el Azure AD B2C active directory.

 

Acceda al Customer Portal como administrador de la empresa, haga clic en el icono Configuración, abra el menú Protocolos y edite el autenticador SAML 2.0 creado anteriormente. , Pegue la URL de metadatos. Luego guarde sus cambios.

 

AzureAD_portal20

 

Finalmente necesita activar el autenticador. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración. Bizagi muestra un mensaje de advertencia al activar el protocolo.

 

AzureAD_portal21

 

Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.

 

Solución de problemas

En caso de que el autenticador falle puede revisar

Solución de problemas en intercambio de mensajes SAML

Códigos de Error SAML