Introducción
Azure AD B2C es un sistema de administración de identidad y accesos que permite a los usuarios utilizar cuentas de redes sociales, empresariales o personales para obtener un inicio de sesión único (SSO) en la aplicación donde se configure.
Este artículo provee una guía paso a paso para la configuración necesaria en Azure AD y en Bizagi, para tener una autenticación intregrada en Bizagi contra Azure AD.
Una vez haya realizar estos pasos, los usuarios pueden iniciar seción a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.
Antes de comenzar
Para configurar Azure AD soportando SAML 2.0, necesita:
•Contar con un recurso de Azure AD B2C
•Crear un Tenant B2C dentro del Azure AD B2C. Para saber cómo crear un Tenant B2C, haga clic aquí.
|
El flujo de Olvidó Su Contraseña no se soporta. |
Asociar el protocolo de SAML 2.0 con el B2C.
Configure las políticas necesarias para soportar SAML 2.0
Para hacer esto, diríjase a la configuración de su tenant y vaya al Marco de experiencia de identidad.
|
Tenga en cuenta que debe estar en la suscripción y en el directorio activo donde el tenant B2C fue creado. |
Cree las claves de directtiva necesarias para identificar los servicios con los que se va a integrar. Para hacer esto, haga clic en Claves de directiva y después en Agregar.
Registre la aplicación SAML en el Azure AD B2C. Para más información sobre cómo registrar una aplicación SAML en su B2C, haga clic aquí.
Para saber más sobre claves de directiva personalizadas, haga clic aquí.
Registrar usuarios en el Customer Portal
Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.
Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML. Vea Crear usuarios en la compañía.
Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.
|
No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal. |
Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.
1. Generar certificados para firmar afirmaciones (obligatorio)
Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).
Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.
Para continuar con estos pasos guiados, debe tener:
•Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.
•Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.
|
Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad). |
2. Configure la aplicación Entreprise en Azure AD
2.1 Acceda a sus servicios de Azure con una cuenta de usuario con derechos de administrador.
Acceda a su suscripción a Azure con el servicio Azure AD.
Tendrá que registrarse en el portal de Azure en https://portal.azure.com.
Asegúrese de estar en la suscripción y en el directorio activo donde el tenant B2C fue creado.
2.2 Registre la aplicación
Abra el Azure AD, y seleccione el menú de Registros de aplicaciones. Haga clic en Nuevo registro:
De un nombre a su aplicación. Después, seleccióne el tipo de cuentas compatibles. Asegúrese de seleccionar el tenant asociado al B2C. Finalmente, digite la URL de su proyecto.
2.3 Cambie el manifiesto de la aplicación
Una vez su aplicación haya sido registrada, ustted podrá verla en el menú de Registros de aplicaciones. Diríjase a la aplicación.
Abra el manifiesto.
Cambie los siguientes parámetros por los valores a continuación:
Endpoints
•identifiersURI: Es la URL de Bizagi del modulo de autenticación, tiene este formato https://accounts-<companyname>.bizagi.com
•replyURL: Esta es la destinación de la respuesta de SAML, por ejemplo,, https://accounts-<companyname>.bizagi.com/saml2/assertionConsumer
•signInURL: Es la URL de Bizagi del modulo de autenticación, tiene este formato https://accounts-<companyname>.bizagi.com
•logoutURl: Es la URL de cierre de sesión de Bizagi, por ejemplo, https://accounts-<companyname>.bizagi.com/saml2/logout
•samlMetadataURL:Puede revisar este archivo de metadatos buscándolo en:
https://accounts- [empresa].bizagi.com/saml2/metadata
Llaves adicionales
Debe agregar la siguiente llave accessTokenAcceptedVersion y debe tener el valor 2:
"accessTokenAcceptedVersion": 2
2.4 Obtenga la URL de los metadatos
Diríjase al Marco de experiencia de identidad y abra el archivo llamado TrustFrameWorkBase.
Busque el nodo de TechnicalProfile asociado al protocolo SAML. Dentro de este encontrará el IssuerUri, donde se encuentra la metadata asociada al generador de aserciones de SAML configurado en Azure AD B2C
Finalmente, agrege el siguiente sufijo a la URL copiada: Samlp/metadata
|
La URL de metadata URL debe tener el siguiente formato:
https://<B2Ctenant>.b2clogin.com/<B2Ctenant>.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata
Donde <B2Ctenant> es el nombre de su tenant configurado en el Azure AD B2C active directory. |
3. Configure su IdP en el Customer Portal
Después de configurar la aplicación en Azure AD, ahora debe acceder al Portal del Cliente de Bizagi y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.
Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.
Solución de problemas
En caso de que el autenticador falle puede revisar