Configurar Azure AD usando SAML 2.0

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con SAML 2.0 >

Configurar Azure AD usando SAML 2.0

Introducción

Bizagi proporciona una aplicación Azure Enterprise que le ayuda a configurar su Azure AD con SSO fácilmente.  Esta sección explica cómo puede configurar la aplicación Enterprise.

 

Una vez haya realizar estos pasos, los usuarios pueden iniciar seción a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.

 

1. Prerrequisitos

Para configurar Azure AD soportando SAML 2.0, necesita:

 

1.1 Haber generado e importado previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar aserciones, también necesita esta información para otro certificado.

 

Para obtener más información sobre certificados, consulte Consideraciones sobre certificados para la autenticación SAML.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

1. 2. Haber registrado usuarios en el Customer Portal

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.

Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML. Vea Crear usuarios en la compañía.

 

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.

 

Qué necesitas hacer

Un esquema que describe la configuración necesaria para iniciar sesión con Azure AD considera estos pasos:

1.Configure su proveedor de identidad en el Customer Portal.

2.Descargue el archivo de metadatos de Bizagi.

3.Registre una aplicación autorizada en Azure AD.

 

Configuración

Siga los pasos presentados para integrar su Azure AD después de haber creado los usuarios de la empresa:

 

1. Configure su IdP en el Portal del cliente

Acceda al Customer Portal como administrador de la empresa, seleccione el icono Configuración, abra el menú Protocolos y haga clic en Agregar autenticador.

 

customerportal_117

 

Seleccione la opción SAML 2.0 en la lista desplegable de protocolos y configure estos ajustes:

IDP: Nombre del proveedor de identidad asociado con el protocolo seleccionado.

Nombre para mostrar: nombre del autenticador que se muestra en el Customer Portal.

Descripción: Breve descripción del autenticador.

 

customerportal_131

 

Definir los dominios

Si necesita activar varios autenticadores, puede definir los dominios de correo electrónico asociados con cada autenticador. Consulte Múltiples autenticadores para portales basados ​​en la nube.

 

Archivo de metadatos

Proporcione la ruta donde se encuentra el archivo de metadatos de Azure AD. Esta ubicación suele ser una URL. Dicha URL en Azure AD generalmente se encuentra en:

 

https://login.microsoftonline.com/[tenant]/federationmetadata/2007-06/federationmetadata.xml

 

Debe proporcionar el ID de su inquilino / suscripción (como se copió en su portapapeles en los primeros pasos para configurar Azure AD). Inicialmente, puede usar una metadata ficticita. Por ejemplo puede usar la compañía fictia de microsoft llamada constos usada para pruebas:

 

https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

 

Más adelante, puede configurar el archivo de metadatos correcto. Esta propiedad no es obligatoria y se puede proporcionar más adelante al final del procedimiento de configuración. Consulte Obtener el archivo de metadatos de Azure.

 

También puede pegar el XML o cargar un archivo XML.

 

customerportal_124

 

Certificado de firma

Certificado de firma: Utilice el botón Examinar para ubicar y cargar el certificado digital (en formato P12 o PFX), que contiene la clave pública y privada que se utilizará para firmar las aserciones generadas por Bizagi.

Contraseña del certificado de firma: proporcione la contraseña del certificado digital utilizado para la firma de aserciones. Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: seleccione SHA1 o SHA256.

 

Certificado de cifrado

note_pin

Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

Solicitud de autenticación: no tiene información sensible, por lo tanto, no está encriptada por definiciones estándar.

Solicitud de cierre de sesión: esta afirmación contiene información confidencial y se puede cifrar. Si activa esta propiedad, Bizagi cifra las solicitudes de cierre de sesión. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

Verifique que su proveedor de identidad admita el cifrado de mensajes. Si no lo sabe o el cifrado no es compatible, deje estos campos vacíos.

 

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las afirmaciones generadas por Bizagi.

Contraseña del certificado de cifrado: proporcione la contraseña del certificado digital utilizado para el cifrado de las serciones.

 

customerportal_126

 

Opciones de inicio de sesión

Binding SSO: recomendamos seleccionar POST para que haya soporte para mensajes más largos.

Forzar autenticación: configúrelo en Sí para deshabilitar las capacidades de SSO para que cada vez que los usuarios intenten iniciar sesión en Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requisitos y expectativas de autenticación.

Formato de política de ID de nombre SAML: este es el formato del ID de nombre (identificador de usuario principal) esperado por su proveedor de identidad. Recomendamos utilizar la dirección de correo electrónico.

 

Opciones de cierre de sesión

Binding SLO: Recomendamos seleccionar REDIRECT ya que es soportado específicamente por Azure AD.

Cifrar mensajes: Bizagi envía una aserción de solicitud de cierre de sesión. Esta afirmación contiene información confidencial y se puede cifrar. Si establece esta propiedad en Sí, la solicitud de cierre de sesión es encriptada por Bizagi usando el certificado de encriptación. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

customerportal_127

 

Información de la empresa

Nombre de la organización: nombre de su empresa enviada en la afirmación.

URL de la organización: URL de su empresa enviada en la afirmación.

Dirección de contacto de correo electrónico técnico: dirección de correo electrónico del administrador de su plataforma.

 

customerportal_128

 

2 Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Los proveedores de identidad suelen requerir este archivo para definir configuraciones predefinidas.

 

Asegúrese de cargar el certificado de firma y establecer la contraseña del certificado de firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints.

 

Puede revisar este archivo de metadatos buscándolo en:

https://accounts- [empresa].bizagi.com/saml2/metadata

 

Puede obtener una vista previa o descargar el archivo:

 

customerportal_129

 

3. Configure la aplicación Entreprise en Azure AD

Hágalo en las opciones de administración proporcionadas por Azure AD.

 

3.1 Acceda a sus servicios de Azure con una cuenta de usuario con derechos de administrador.

Acceda a su suscripción a Azure con el servicio Azure AD.

Tendrá que registrarse en el portal de Azure en https://portal.azure.com.

 

AzureAD_portal01

 

3.2 Registre la aplicación Enterprise

Abra el Azure AD, y seleccione el menú de Aplicaciones de la Empresa. Haga clic en Nueva aplicación:

 

EnterpriseApp_01

 

Busque la aplicación Bizagi y selecciónela:

 

EnterpriseApp_04

 

3.3 Definir los usuarios que van a ser autentificados en Bizagi usando Azure SSO

Defina los usuarios que van a ser autentificados en Bizagi usando Azure SSO. Ingreselos manualmente o con cualquier grupo predefinido en su Azure AD. Recuerde que los usuarios deben estar registrados en Bizagi.

 

EnterpriseApp_05

 

3.4 Configure las propiedades de Inicio de sesión único

Seleccione el menú Inicio de sesión único y haga clic en la opción SAML:

 

EnterpriseApp_06

 

3.4 Configure el archivo de metadatos

Ahora puede subir el archivo de metadatos descargado en el paso 2.

 

EnterpriseApp_07

 

Ingrese el resto de los campos obligatorios:

 

AzureAD_portal18

 

Identifier (Entity ID):  Es la URL de Bizagi del modulo de autenticación, tiene este formato https://accounts-<companyname>.bizagi.com

Reply URL: Esta es la destinación de la respuesta de SAML, por ejemplo,, https://accounts-<companyname>.bizagi.com/saml2/assertionConsumer

Sign on URL: is the Bizagi 's Work Portal URL, for example, https://accounts-<companyname>.bizagi.com

Logout URL: Es la URL de cierre de sesión de Bizagi, por ejemplo, https://accounts-<companyname>.bizagi.com/saml2/logout

 

3.5 Verifique o suba el certificado

Usted debe incluir el certificado de firma de SAML. Si la configuració no tiene un certificado, haga click en Agregar un certificado. y suba el mismo certificado que usó en la configuración de Bizagi.

 

EnterpriseApp_16

 

Si el certificado es configurado correctamente, puede ver sus propiedades. Asegurese que el estado sea activo.

 

EnterpriseApp_17

 

3.6 Defina el Identificador Único de Usuario

Para identificar a los usuarios cuando están siendo autenticados por Bizagi, es necesario definir un Identificador Único. En Bizagi, el identificador único para los usuarios es el correo electrónico. Recomendamos establecer el correo electrónico como el Identificador Único. Haga clic en el icono de edición en las opciones de Atributos y Reclamos del Usuario:

 

EnterpriseApp_09

 

Haga clic en el Identificador Único:

 

EnterpriseApp_12

 

Seleccione el formato de dirección de correo electrónico y user.mail como atributo de origen:

 

EnterpriseApp_13

 

3.7 Obtenga la URL de los metadatos

Por último, copie la URL de los metadatos de la Federación de la Aplicación:

 

EnterpriseApp_11

 

note_pin

La URL de metadata URL debe tener el siguiente formato:

 

https://login.microsoftonline.com/<TenantID>/federationmetadata/2007-06/federationmetadata.xml?appid=<applicationID>

 

Es muy importante asegurarse que el parámetro appid esté incluido al final de la URL.

 

Acceda al Customer Portal como administrador de la empresa, haga clic en el icono Configuración, abra el menú Protocolos y edite el autenticador SAML 2.0 creado anteriormente. , Pegue la URL de metadatos. Luego guarde sus cambios.

 

AzureAD_portal20

 

Finalmente necesita activar el autenticador. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración. Bizagi muestra un mensaje de advertencia al activar el protocolo.

 

AzureAD_portal21

 

Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.

 

Solución de problemas

En caso de que el autenticador falle puede revisar

Solución de problemas en intercambio de mensajes SAML

Códigos de Error SAML