<< Clic para mostrar Tabla de Contenidos >> Hardening de Web parts |
Introducción
Cuando tiene una aplicación externa, que está conectada a su ambiente de Bizagi mediante Wen parts, es importante realizar configuraciones que proporcionen un nivel adecuado de seguridad.
Recomendamos crear una instancia de su Aplicación Web de Bizagi a la que puedan acceder usuarios externos. Esta aplicación web debe tener acceso a la base de datos de su proyecto para que ambas aplicaciones (internas y externas) utilicen los mismos datos.
El siguiente diagrama le ofrece un ejemplo de la arquitectura sugerida:
Los usuarios externos acceden a la aplicación web Bizagi a través de un portal personalizado donde usted instala los Web Parts. El acceso a este portal debe realizarse a través de un proxy reverso donde se requieren configuraciones de hardening para proteger el acceso no autorizado.
Antes de empezar
Tenga en cuenta lo siguiente antes de realizar la configuración de hardening para usuarios externos:
•El proxy reverso debe estar configurado previamente.
•El portal personalizado debe ser creado previamente.
•Se debe acceder al portal personalizado externo a través de Internet.
¿Qué necesita hacer?
Siga estos pasos para realizar esta configuración
1. Configure un dominio en su servidor DNS para la aplicación externa
Este paso crea una conexión desde su zona militarizada al servidor externo donde los usuarios externos acceden a través de Internet.
2. Cree en su Servicio de Información de Internet externo una copia de su Aplicación Web de Bizagi
Este paso le permite tener una aplicación web de Bizagi en su zona desmilitarizada que está conectada a su base de datos Bizagi. Esto evita que los usuarios externos tengan acceso a su aplicación web interna de Bizagi
3. Configure los Web parts en su portal personalizado
Configure los Web parts en su portal externo personalizado para que expongan la aplicación web externa de Bizagi.
4. Establezca reglas de bloqueo para las API de inicio de sesión y autenticación.
Como Web parts usan Autenticación de Formularios, debe bloquear cualquier acceso a su aplicación web interna de Bizagi.
Procedimiento
Para fortalecer los Bizagi Web Parts, siga estos pasos:
1. Configure un dominio en su servidor DNS para la aplicación externa
Abra su Administrador de DNS en su servidor interno (Inicio -> Todos los programas -> Herramientas administrativas - Administrador de DNS), luego ubique su dominio dentro del nodo Zonas de búsqueda directa.
Haga clic derecho en el dominio y haga clic en Nuevo host. Agregue la siguiente información en el asistente.
•Nombre: nombre del sitio externo. Este nombre es obligatorio en el siguiente paso.
•Dirección IP: dirección IP del sitio externo.
2. Cree en su Servicio de Información de Internet externo una copia de su Aplicación Web de Bizagi
2.1 Copie el contenido de la carpeta de su proyecto (es decir, C:\Bizagi\[Nombre_Proyecto]\WebApplication) y péguelo en una nueva ruta en su servidor.
Cree la misma ruta en su servidor interno y pegue todas las carpetas copiadas.
2.2 En su servidor externo, abra el Administrador de Internet Information Service (IIS) y agregue un nuevo sitio usando el nombre utilizado en el Servidor DNS en el paso uno.
2.3 Seleccione Bindings en su servidor y agregue [NombreSitio].[SuDominio] al parámetro Host Name de los bindings http y https.
2.4 Haga clic derecho en el sitio creado en su Administrador de IIS y seleccione Agregar aplicación, use la siguiente información
•Alias: selecciona un nombre descriptivo. Por ejemplo, puede usar el mismo nombre de la aplicación interna más "External".
•Ruta física: elija la ruta donde copió la carpeta WebApplication incluyéndola.
3. Configure los Web parts en su portal personalizado
Establezca la URL de la aplicación externa en su portal personalizado para conectar los Web Parts
4. Establezca reglas de bloqueo para las API de inicio de sesión y autenticación.
Como Web parts usan Autenticación de Formularios en su aplicación interna, debe bloquear algunas funcionalidades de la aplicación externa. Siga los siguientes pasos:
4.1 De vuelta en el Administrador de Internet Information Service (IIS), seleccione el sitio externo y seleccione Reescritura de dirección URL (URL Rewrite).
4.2 Agregue las siguientes reglas haciendo clic en la opción Agregar reglas.
Regla 1
•Nombre: NotLoginPage
•Condiciones
oEntrada: {URL}
oTipo: Coincide con el patrón
oPatrón: login.desktop.production.tmpl.html
•Acción
oTipo de acción: Redirect
oReescribir dirección URL: URL de su proxy reverso
Regla 2
•Nombre: AuthN backend protection
•Condiciones
oEntrada: {URL}
oTipo: Coincide con el patrón
oPatrón: Api/Authentication/User$
•Acción
oTipo de acción: Respuesta personalizada
oCódigo de estado: 401
4.3 Se recomienda realizar las recomendaciones mencionadas en las Recomendaciones intermedias, principalmente los pasos dos y tres.
En este punto, ha fortalecido su arquitectura para permitir que un usuario externo se conecte a su aplicación Bizagi.