Configuración general usando SAML 2.0

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones > Cómo administrar proveedor de identidad > Ejemplos con SAML 2.0 >

Configuración general usando SAML 2.0

Introducción

Para integrar sus portales cloud con su proveedores de identidad usando SAML 2.0 usted necesita llevar a cabo los pasos de configuración que se explican en esta sección. Estos se hacen usualmente solo una vez, y típicamente por un usuario administrador del Customer Portal que tenga acceso a su proveedores de identidad.

 

Una vez haya realizar estos pasos, los usuarios pueden iniciar sección a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.

 

1. Prerrequisitos

Para configurar cualquier proveedor de identidad soportando SAML 2.0, necesita:

 

1.1 Haber generado e importado previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar aserciones, también necesita esta información para otro certificado.

 

Para obtener más información sobre certificados, consulte Consideraciones sobre certificados para la autenticación SAML.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

1. 2. Haber registrado usuarios en el Customer Portal

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.

Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML.  Vea Crear usuarios en la compañía.

 

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.

 

Qué necesitas hacer

Un esquema que describe la configuración necesaria para iniciar sesión con su proveedor de identidad considera estos pasos:

1.Configure su proveedor de identidad en el Customer Portal.

2.Descargue el archivo de metadatos de Bizagi.

3.Registre una aplicación autorizada en Azure AD.

 

Configuración

Siga los pasos presentados para integrar su IdP después de haber creado los usuarios de la empresa:

 

1. Configure su IdP en el Customer Portal

Ingrese el Customer Portal como administrador de la compañía, seleccione el ícono de Configuraciones, abra el menú de Protocolos y haga clic en Agregar autenticador.

 

customerportal_117

 

Seleccione la opción SAML 2.0 en la lista desplegable de protocolos y configure estos ajustes:

IDP: Nombre del proveedor de identidad asociado con el protocolo seleccionado.

Nombre para mostrar: nombre del autenticador que se muestra en el Customer Portal.

Descripción: Breve descripción del autenticador.

 

customerportal_131

 

Definir los dominios

Si necesita activar varios autenticadores, puede definir los dominios de correo electrónico asociados con cada autenticador. Consulte Múltiples autenticadores para portales basados ​​en la nube.

 

Archivo de metadatos

Proporcione la ruta donde se encuentra el archivo de metadatos IdP. Esta ubicación suele ser una URL. Esta propiedad no es obligatoria y se puede proporcionar más adelante al final del procedimiento de configuración.

 

También puede pegar el XML o cargar un archivo XML.

 

customerportal_132

 

Certificado de firma

Certificado de firma: Utilice el botón Examinar para ubicar y cargar el certificado digital (en formato P12 o PFX), que contiene la clave pública y privada que se utilizará para firmar las aserciones generadas por Bizagi.

Contraseña del certificado de firma: proporcione la contraseña del certificado digital utilizado para la firma de aserciones.

Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: seleccione SHA1 o SHA256.

 

Certificado de cifrado

 

note_pin

Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

Solicitud de autenticación: no tiene información sensible, por lo tanto, no está encriptada por definiciones estándar.

Solicitud de cierre de sesión: esta afirmación contiene información confidencial y se puede cifrar. Si activa esta propiedad, Bizagi cifra las solicitudes de cierre de sesión. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

Verifique que su proveedor de identidad admita el cifrado de mensajes. Si no lo sabe o el cifrado no es compatible, deje estos campos vacíos.

 

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las afirmaciones generadas por Bizagi.

Contraseña del certificado de cifrado: proporcione la contraseña del certificado digital utilizado para el cifrado de las afirmaciones.

 

customerportal_126

 

Opciones de inicio de sesión

Binding SSO: recomendamos seleccionar POST para que haya soporte para mensajes más largos. Consulte a su proveedor de identidad los enlaces compatibles con SSO.

Forzar autenticación: configúrelo en Sí para deshabilitar las capacidades de SSO para que cada vez que los usuarios intenten iniciar sesión en Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requisitos y expectativas de autenticación.

Formato de política de ID de nombre SAML: este es el formato del ID de nombre (identificador de usuario principal) esperado por su proveedor de identidad. Recomendamos utilizar la dirección de correo electrónico.

 

Opciones de cierre de sesión

Binding SLO: indica si las solicitudes de cierre de sesión deben utilizar el método HTTP POST o REDIRECT (GET). Consulte a su proveedor de identidad los enlaces compatibles con SSO.

Cifrar mensajes: Bizagi envía una aserción de solicitud de cierre de sesión. Esta afirmación contiene información confidencial y se puede cifrar. Si establece esta propiedad en Sí, la solicitud de cierre de sesión es encriptada por Bizagi usando el certificado de encriptación. Asegúrese de que su proveedor de identidad admita la recepción de solicitudes de cierre de sesión cifradas.

 

customerportal_127

 

Información de la empresa

Nombre de la organización: nombre de su empresa enviada en la afirmación.

URL de la organización: URL de su empresa enviada en la afirmación.

Dirección de contacto de correo electrónico técnico: dirección de correo electrónico del administrador de su plataforma.

 

customerportal_128

 

2. Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Los proveedores de identidad suelen requerir este archivo para definir configuraciones predefinidas.

 

Asegúrese de cargar el certificado de firma y establecer la contraseña del certificado de firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints.

 

Puede revisar este archivo de metadatos buscándolo en:

https://accounts- [empresa].bizagi.com/saml2/metadata

 

Puede obtener una vista previa o descargar el archivo:

 

customerportal_129

 

3. Configure su proveedor de Identidad

Usted necesita registrar a Bizagi como el proveedor de servicio. Para ello necesita los diferentes endpoints que Bizagi provee para propositos de autenticación.

 

Endpoints

Identifier (Entity ID):  Es la URL de Bizagi del modulo de autenticación, tiene este formato https://accounts-<companyname>.bizagi.com

Reply URL: Esta es la destinación de la respuesta de SAML, por ejemplo,, https://accounts-<companyname>.bizagi.com/saml2/assertionConsumer

Sign on URL: is the Bizagi 's Work Portal URL, for example, https://accounts-<companyname>.bizagi.com

Logout URL: Es la URL de cierre de sesión de Bizagi, por ejemplo, https://accounts-<companyname>.bizagi.com/saml2/logout

 

Definir los usuarios que se van a autenticar en Bizagi usando el IdP SSO

Defina los usuarios que se van a autenticar en Bizagi, utilizando el IdP SSO. Agréguelos manualmente o con cualquier grupo predefinido. Recuerde que los usuarios deben estar registrados en Bizagi.

 

Definir el identificador de usuario único

Para identificar a los usuarios cuando están siendo autenticados por Bizagi, necesita definir un Identificador Único. En Bizagi, el identificador único para los usuarios es el correo electrónico. Recomendamos configurar el correo electrónico como Identificador único.

 

3.1 Obtenga la URL de metadatos y configúrela en el Customer Portal

Por último, copie la URL de metadatos de federación de aplicaciones u obtenga una muestra del archivo de metadatos de federación en XML.

 

Acceda al Customer Portal como administrador de la empresa, haga clic en el icono Configuración, abra el menú Protocolos y edite el autenticador SAML 2.0 creado anteriormente. , Pegue la URL de metadatos. Luego guarde sus cambios.

 

AzureAD_portal20

 

Finalmente necesita activar el autenticador. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración. Bizagi muestra un mensaje de advertencia al activar el protocolo.

 

AzureAD_portal21

 

Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.

 

Solución de problemas

En caso de que el autenticador falle puede revisar

Solución de problemas en intercambio de mensajes SAML

Códigos de Error SAML