Introducción
Bizagi proporciona una aplicación Azure Enterprise que le ayuda a configurar su Okta con SSO fácilmente. Esta sección explica cómo puede configurar la aplicación Enterprise.
Una vez haya realizar estos pasos, los usuarios pueden iniciar seción a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.
Para configurar el proveedor de identidad, siga estos pasos:
1. Generar certificados para firmar afirmaciones (obligatorio)
Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).
Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Certificados para autenticación SAML 2.0.
Para continuar con estos pasos guiados, debe tener:
•Un certificado para firmar afirmaciones (obligatorio) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada.
•Un certificado para cifrar mensajes (opcional) en formato de archivo .P12 o .PFX. Necesita la contraseña para el archivo de certificado, tal como la definió cuando exportó las claves pública y privada. También necesita la llave en formato CER o CRT para que se suba en Okta.
|
Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad). |
2. Registrar una aplicación autorizada en Okta
Abra el portal Okta como administrador, seleccione la sección Aplicaciones y cree una nueva Integración de aplicaciones.
Seleccione SAML 2.0.
De un nombre a la aplicación.
Configure los siguientes parámetros.
Endpoints
•Single sign on URL: Esta es la destinación de la respuesta SAML. https://accounts-<companyname>.bizagi.com/saml2/assertionConsumer
•Use this for Recipient URL and Destination URL: active esta opción.
•Audience URI (SP Entity ID): Es la URL de Bizagi usada para autenticación. https://accounts-<companyname>.bizagi.com
•Default RealyState: Déjelo vació.
•Name ID format: EmailAddress
•Application username: Email
Habra las opciones avanzadas y configure los siguientes parámetros:
•Response: Seleccione Signed.
•Assertion Signature: Seleccione Signed.
•Signature Algorithm: Recomendamos usar RSA-SHA256. El mismo valor debe configurarse en el Customer Portal.
•Digest Algorithm: Recomendamos usar RSA-SHA256.
•Assertion Encryption: Opcional, si seleccione Encrypted necesita un certificado.
•Encryption Algorithm: Seleccione AES256-CBC si usted activa Assertion Encryption.
•Key Transport Algorithm: Seleccione RSA-1.5 si usted activa Assertion Encryption..
•Encryption Certificate: suba el certificado de encripción en formato in cer o crt.
•Enable Single Logout: Seleccione Allow application to initiate Single Logout.
•Single Logout URL: Es la URL de logout de Bizagi https://accounts-<companyname>.bizagi.com/saml2/logout
•SP Issuer: Es la URL usada para autenticación con el siguiente formato. https://accounts-<companyname>.bizagi.com
•Signature Certificate: suba el certificado de en formato in cer o crt. El mismo certificado debe subirse en el Customer Portal.
•Authentication context class: Seleccione PasswordProtectedTransport.
•Honor force authentication: Seleccione Yes.
•SAML Issuer ID: Deje el valor por defecto.
Haga clic en Siguiente, y luego Finalizar.
Abra la pestaña de asignaciones (Assignments) y seleccione usuarios o grupos de usuarios que van a ser autenticados usando esta aplicación.
Finalmente, obtenga la metadata de URL. Abra la pestaña de Sing On, y haga clic en Identity Provider Metadata.
Copie la URL en la pestaña del navegador que se abre, debe tener el siguiente formato:
https://[company].okta.com/app/[id]/sso/saml/metadata
3. Configure su IdP en el Customer Portal
Después de configurar la aplicación en Okta, ahora debe acceder al Portal del Cliente de Bizagi y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.
Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.
Solución de problemas
En caso de que el autenticador falle puede revisar