Configurar ADFS con SAML 2.0

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con SAML 2.0 >

Configurar ADFS con SAML 2.0

Introducción

Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Microsoft ADFS.

Esta sección es una guía paso a paso de la configuración necesaria, tanto en ADFS como en Bizagi, para tener una autenticación intregrada en Bizagi contra Microsoft ADFS.

 

SAML_ADFS_OV

 

Nótese que para usar SAML 2.0, se requiere que su IdP esté configurados para soportar HTTPS.

 

1. Prerrequisitos

Para configurar Azure AD soportando SAML 2.0, necesita:

 

1.1 Haber generado e importado previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar aserciones, también necesita esta información para otro certificado.

 

Para obtener más información sobre certificados, consulte Consideraciones sobre certificados para la autenticación SAML.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

1. 2. Haber registrado usuarios en el Customer Portal

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.

Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML. Vea Crear usuarios en la compañía.

 

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.

 

3. Una versión instalada, completamente configurada y soportada de ADFS

Bizagi soporta ADFS versión 3.0 o 4.0

Si desea usar una versión diferente, que soporte SAML 2.0, se recomienda revisarlo primero con nuestro equipo de soporte.

 

Qué necesitas hacer

Un esquema que describe la configuración necesaria para iniciar sesión con su proveedor de identidad considera estos pasos:

1.Configure su proveedor de identidad en el Customer Portal.

2.Descargue el archivo de metadatos de Bizagi.

3.Registre una aplicación autorizada en Azure AD.

 

Configuración

Siga los pasos presentados para integrar su IdP después de haber creado los usuarios de la empresa:

 

1. Configure su IdP en el Customer Portal

Ingrese el Customer Portal como administrador de la compañía, seleccione el ícono de Configuraciones, abra el menú de Protocolos y haga clic en Agregar autenticador.

 

customerportal_117

 

Seleccione la opción SAML 2.0 en la lista desplegable de protocolos y configure estos ajustes:

IDP: Nombre del proveedor de identidad asociado con el protocolo seleccionado.

Nombre para mostrar: nombre del autenticador que se muestra en el Customer Portal.

Descripción: Breve descripción del autenticador.

 

customerportal_131

 

Definir los dominios

Si necesita activar varios autenticadores, puede definir los dominios de correo electrónico asociados con cada autenticador. Consulte Múltiples autenticadores para portales basados ​​en la nube.

 

Archivo de metadatos

Proporcione la ruta donde se encuentra el archivo de metadatos IdP. Esta ubicación suele ser una URL.

 

https://[my_federateserver]/FederationMetadata/2007-06/FederationMetadata.xml

 

Esta propiedad no es obligatoria y se puede proporcionar más adelante al final del procedimiento de configuración.

 

También puede pegar el XML o cargar un archivo XML.

 

customerportal_132

 

Certificado de firma

Certificado de firma: Utilice el botón Examinar para ubicar y cargar el certificado digital (en formato P12 o PFX), que contiene la clave pública y privada que se utilizará para firmar las aserciones generadas por Bizagi.

Contraseña del certificado de firma: proporcione la contraseña del certificado digital utilizado para la firma de aserciones.

Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: seleccione SHA1 o SHA256.

 

Certificado de cifrado

 

note_pin

Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

Solicitud de autenticación: no tiene información sensible, por lo tanto, no está encriptada por definiciones estándar.

Solicitud de cierre de sesión: esta afirmación contiene información confidencial y se puede cifrar. Si activa esta propiedad, Bizagi cifra las solicitudes de cierre de sesión. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

Verifique que su proveedor de identidad admita el cifrado de mensajes. Si no lo sabe o el cifrado no es compatible, deje estos campos vacíos.

 

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las afirmaciones generadas por Bizagi.

Contraseña del certificado de cifrado: proporcione la contraseña del certificado digital utilizado para el cifrado de las afirmaciones.

 

customerportal_126

 

Opciones de inicio de sesión

Binding SSO: recomendamos seleccionar POST para que haya soporte para mensajes más largos. Consulte a su proveedor de identidad los enlaces compatibles con SSO.

Forzar autenticación: configúrelo en Sí para deshabilitar las capacidades de SSO para que cada vez que los usuarios intenten iniciar sesión en Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requisitos y expectativas de autenticación.

Formato de política de ID de nombre SAML: este es el formato del ID de nombre (identificador de usuario principal) esperado por su proveedor de identidad. Recomendamos utilizar la dirección de correo electrónico.

 

Opciones de cierre de sesión

Binding SLO: indica si las solicitudes de cierre de sesión deben utilizar el método HTTP POST o REDIRECT (GET). Consulte a su proveedor de identidad los enlaces compatibles con SSO.

Cifrar mensajes: Bizagi envía una aserción de solicitud de cierre de sesión. Esta afirmación contiene información confidencial y se puede cifrar. Si establece esta propiedad en Sí, la solicitud de cierre de sesión es encriptada por Bizagi usando el certificado de encriptación. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

customerportal_127

 

Información de la empresa

Nombre de la organización: nombre de su empresa enviada en la afirmación.

URL de la organización: URL de su empresa enviada en la afirmación.

Dirección de contacto de correo electrónico técnico: dirección de correo electrónico del administrador de su plataforma.

 

customerportal_128

 

2. Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Los proveedores de identidad suelen requerir este archivo para definir configuraciones predefinidas.

 

Asegúrese de cargar el certificado de firma y establecer la contraseña del certificado de firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints.

 

Puede revisar este archivo de metadatos buscándolo en:

https://accounts- [empresa].bizagi.com/saml2/metadata

 

Puede obtener una vista previa o descargar el archivo:

 

customerportal_129

 

 

3. Configurar Bizagi como Proveedor de Servicios en ADFS

Realice esto entrando a las opciones de administración de ADFS.

 

3.1. En su servidor ADFS, abra la consola para su administración.

 

3.2. Inicie la creación de un tercero de confianza.

Puede hacer esto desde las opciones de tercero de confianza (Relying party trust) que le permitirá usar su asistente de configuración con un clic derecho.

 

ADFS_1

 

Seleccione atento a solicitdues, y Haga clic en Iniciar.

 

ADFS_15

 

3.3. Seleccione la fuente de datos.

Para configurar el tercero como se describe, seleccione Importar datos del tercero desde un archivo para navegar al archivo de metadata generado por Bizagi.

 

ADFS_16

 

Dé clic en Siguiente al terminar.

 

3.4. Ingrese un nombre único.

Dé un nombre para desplegar esta configuración y para su conveniencia.

 

ADFS_17

 

 

3.5. Seleccione la autorización de emisión.

Seleccione la opción Permitir el acceso a todos los usuarios del tercero y dé clic en Siguiente cuando haya terminado.

 

ADFS_18

 

Se le presentará un resumen de la información a establecer para el tercero de confianza, incluyendo la que viene del archivo de metadata de Bizagi.

 

ADFS_19

 

Dé clic en Siguiente cuando haya terminado.

También puede revisar el algoritmo establecido (use SHA1 o SHA256), asegúrese de que coincida con el que haya seleccionado en Bizagi (lo puede revisar en la vista Avanzada).

 

3.6. Abra el editor de reglas de recogida.

Antes de cerrar la configuración actual, asegúrese de seleccionar la opción Abrir el editor de reglas de notificación para el tercero de confianza cuando se cierre el asistente.

 

ADFS_20

 

Luego puede dar clic en Cerrar.

 

3.7. Haga clic derecho en el Party Trust creado y luego seleccione Editar una Política de definición de reclamo.

 

ADFS_21

 

Defina una nueva regla de recogida dando clic en Añadir regla.

 

ADFS_22

 

Asegúrese de que puede enviar el UPN, la dirección de correo electrónico y el nombre como información dentro de la reclamación que se pasa al Customer Portal.

 

Por ejemplo, puede crear una nueva regla de notificación seleccionando la plantilla Enviar atributos LDAP como notificaciones:

 

ADFS_1_12

 

Haga clic en Siguiente.

 

Configure la regla dándole un nombre, e incluyendo explícitamente:

Almacén de atributos: Attribute Directory.

Mapeo de los atributos del LDAP a los tipos de reclamación salientes, incluyendo:

oUser-Principal-Name mapeado a UPN

oEmail-Addresses mapeado a E-mail Address.

 

note_pin

Bizagi considera las siguientes prioridades en las aserciones:

1. UPN

2. Email

 

Tanto la UPN como la dirección de email deben estar en el siguiente formato:  [name]@[provider].[domain]. Por ejemplo: john.smith@mycompany.com.

 

Para el tipo de notificación UPN asegúrese de que el email se defina como el nombre del usuario.

 

ADFS_1_13

 

Haga clic en Terminar.

Debería tener una regla de notificación registrada para su configuración específica de la relación de confianza para usuario autenticado.

Una vez que haya verificado que esto es correcto, haga clic en Aceptar.

 

Establecer el algoritmo de hash seguro en ADFS 3

Si está utilizando ADFS 3, asegúrese de que el algoritmo de hash seguro sea SHA-256. Para cambiar eso, haga clic con el botón derecho en el cliente creado anteriormente y seleccione propiedades. Haga clic en la pestaña Avanzado y seleccione SHA-256 como Algoritmo hash seguro.

 

Finalmente, debe activar el autenticador. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración. Bizagi muestra un mensaje de advertencia al activar el protocolo.

 

customerportal_136

 

Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.

 

Solución de problemas

En caso de que el autenticador falle puede revisar

Solución de problemas en intercambio de mensajes SAML

Códigos de Error SAML