Configurar ADFS usando WS-Federation

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con WS-Federation >

Configurar ADFS usando WS-Federation

Introducción

Para integrar su Customer Portal con su ADFS corporativo, realice los pasos de configuración descritos en esta sección.

Estos pasos se realizan una sola vez, normalmente por un usuario administrador del Customer Portal que tiene acceso a su sistema ADFS.

 

note_pin

Recomendamos usar el protocolo SAML 2.0 en lugar de WS-Federation. See Configurar ADFS usando SAML 2.0.

 

Una vez realizados estos pasos, los usuarios se conectan a cualquier servicio basado en la nube directamente a través de su ADFS, tal y como se describe en la sección Ingreso a los portales y aplicaciones de Bizagi Cloud.

 

Antes de Empezar

El Customer Portal y servicios basados en la nube soporta ADFS usando el protocolo WS-Federation. La versión de WS-Federation soportada es 1.0. Otras versiones no se soportan. Adicionalmente necesita:

 

Tener ya usuarios en el Customer Portal

Al integrar cualquier proveedor de identidad, necesita registrar las cuentas autorizadas para que puedan acceder a los portales basados en la nube de Bizagi.

Registrar significa proveer o actualizar los identificadores principales de la cuenta. El email de Bizagi debe coincidir con el atributo usado como identificador principal del usuario. Por lo general, el correo electrónico es el parámetro más común. Consulte Crear usuarios de la empresa.

 

Bizagi no almacena contraseñas al integrar un proveedor de identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque se considera parte del identificador principal.

 

Una vez que haya verificado en el Portal del Cliente que hubo al menos una importación inicial de sus usuarios a Bizagi, puede continuar.

 

Revisar la compatibilidad con ADFS

Antes de empezar, asegúrese de que su sistema ADFS cumple con estos requisitos:

La versión 3.0 y 4.0 del ADFS es compatible.

El ADFS es accesible a través de una URL pública.

 

Lo que debe hacer

Estos son los pasos para configurar Bizagi para el inicio de sesión utilizando ADFS:

1.Cree una relación de confianza.

2.Comuníquese con Bizagi para los próximos pasos.

 

Configuración

Siga estos pasos para integrar el Customer Portal con su ADFS después de haber creado usuarios en la reserva de la empresa:

 

Cree una relación de confianza para usuario autenticado

Para establecer la relación de confianza entre los servicios de la plataforma de la nube y su ADFS, cree una relación de confianza para usuario autenticado.

 

Haga clic en Agregar relación de confianza para usuario autenticado.

 

SSO_idp0

 

Haga clic en Iniciar.

 

Seleccione la opción Escribir manualmente los datos acerca del usuario de confianza para especificar la fuente de datos.

 

ADFS_01

 

Haga clic en Siguiente.

 

Especifique el nombre para mostrar y una descripción significativa.

 

ADFS_02

 

Haga clic en Siguiente.

 

Configure el certificado para fines de cifrado de token como una medida de seguridad adicional (opcional).

Puede omitir este paso y hacer clic en Siguiente.

 

ADFS_03

 

Configure la URL seleccionando la opción Activar soporte para el protocolo WS-Federation.

Especifique la siguiente URL: https://accounts-[su_empresa].bizagi.com

 

ADFS_04

 

Haga clic en Siguiente.

 

Configure los identificadores utilizando la misma URL especificada anteriormente.

Esta URL debe aparecer debajo de las URL identificadas/válidas.

Si necesita introducir otra URL con un identificador diferente, introduzca esta URL y utilice el botón Añadir.

 

ADFS_05

 

Haga clic en Siguiente.

 

Configure las reglas de Autorización de Emisión eligiendo la opción Permitir a todos los usuarios el acceso a este usuario de confianza.

 

ADFS_06

 

Haga clic en Siguiente.

 

Revise la configuración.

Revise el resumen de la configuración que realizó para esta relación de confianza para usuario autenticado.

Cuando esté seguro de que no necesita hacer cambios, haga clic en Siguiente.

 

ADFS_07

 

Cree las reglas de notificaciones para esta relación de confianza para usuario autenticado, seleccionando el cuadro de diálogo Editar reglas de notificación para esta relación de confianza.

De esta forma, al crear la relación de confianza, se crea inmediatamente una regla de notificación y se termina la configuración.

 

ADFS_08

 

Haga clic en Cerrar.

 

En el árbol de la consola de ADFS, abra Relying Party Trust y seleccione el cliente creado anteriormente. Haga clic con el botón derecho en el cliente y seleccione Editar política de emisión de reclamos.

 

ADFS_09

 

Agregue una regla usando el botón Agregar regla.

 

ADFS_1_10

 

Asegúrese de que puede enviar el UPN, la dirección de correo electrónico y el nombre como información dentro de la reclamación que se pasa al Customer Portal.

 

Por ejemplo, puede crear una nueva regla de notificación seleccionando la plantilla Enviar atributos LDAP como notificaciones:

 

ADFS_1_12

 

Haga clic en Siguiente.

 

Configure la regla dándole un nombre, e incluyendo explícitamente:

Almacén de atributos: Attribute Directory.

Mapeo de los atributos del LDAP a los tipos de reclamación salientes, incluyendo:

oUser-Principal-Name mapeado a UPN

oEmail-Addresses mapeado a E-mail Address.

 

note_pin

Bizagi considera las siguientes prioridades en las aserciones:

1. UPN

2. Email

 

Tanto la UPN como la dirección de email deben estar en el siguiente formato:  [name]@[provider].[domain]. Por ejemplo: john.smith@mycompany.com.

 

Para el tipo de notificación UPN asegúrese de que el email se defina como el nombre del usuario.

 

ADFS_1_13

 

Haga clic en Terminar.

Debería tener una regla de notificación registrada para su configuración específica de la relación de confianza para usuario autenticado.

Una vez que haya verificado que esto es correcto, haga clic en Aceptar.

 

Establecer el algoritmo de hash seguro en ADFS 3

Si está utilizando ADFS 3, asegúrese de que el algoritmo de hash seguro sea SHA-256. Para cambiar eso, haga clic con el botón derecho en el cliente creado anteriormente y seleccione propiedades. Haga clic en la pestaña Avanzado y seleccione SHA-256 como Algoritmo hash seguro.

 

2. Configurar ADFS en el Customer Portal

Para configurar ADFS como proveedor de identidad de su Customer Portal, debe acceder este como administrador de la empresa, seleccionar el icono de configuración, abrir el menú Protocolos y hacer clic en Agregar autenticador.

 

customerportal_117

 

Seleccione la opción WS-Federation en la lista desplegable del protocolo y configure estas configuraciones:

Nombre para mostrar: nombre del autenticador que se muestra en el Portal del cliente.

Descripción: Breve descripción del autenticador.

Dirección de metadatos: esta es la URL de metadatos de la federación de ADFS. Se debe acceder a esta URL a través de HTTPS mientras el autenticador está activo. Esta URL debe permitir descargar el archivo de metadatos XML.

 

customerportal_135

 

Definir los dominios

Si necesita activar varios autenticadores, puede definir los dominios de correo electrónico asociados con cada autenticador. Consulte Múltiples autenticadores para portales basados ​​en la nube.

 

Finalmente, debe activar el autenticador. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración. Bizagi muestra un mensaje de advertencia al activar el protocolo.

 

customerportal_136

 

Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.